Poiché eIDAS non è sufficiente per soddisfare i requisiti che la CA è considerata attendibile per la comunicazione TLS del browser. È importante capire che il compito di un'Autorità di certificazione è di verificare un insieme di asserzioni rispetto a un CPS (Dichiarazione di pratiche di certificazione). Una CA può dichiarare praticamente qualsiasi cosa nel proprio CPS, ma è in definitiva la parte relying che verificherà se un CPS è adatto per il loro uso. Ai fini del certificato HTTPS, la parte relying è il produttore del browser e i produttori di browser includono solo i prodotti CA i cui CPS sono adatti per la comunicazione HTTPS.
La linea guida CA / B specifica i requisiti di convalida per i certificati x 509 emessi ai fini della comunicazione HTTPS. Per la comunicazione HTTPS, il requisito di convalida più centrale è la convalida del controllo del dominio, a cui l'ID elettronico non aiuta affatto.
Nel livello di OV, la CA è anche richiesta per verificare l'azienda / organizzazione nominata nel certificato rispetto a un registro aziendale governativo (o contro qualche altra fonte di informazione indipendente qualificata), la carta di identità elettronica prova solo l'identità di un individuo non un'organizzazione, quindi non aiuta neanche qui.
A livello di EV, la CA è anche tenuta a verificare che il contatto principale dell'organizzazione sia autorizzato ad agire per conto dell'azienda per l'acquisto del certificato. Uno dei passaggi in EV richiede la verifica dell'identità del rappresentante, in questo caso l'identità elettronica aiuta certamente a verificare l'identità del rappresentante, ma non aiuta a verificare che il rappresentante nominato sia autorizzato dall'organizzazione. A livello di EV, ci sono così tanti altri requisiti di convalida che la verifica dell'identità del rappresentante è solo un piccolo punto tra molti, in modo tale che l'impatto della disponibilità dell'identità elettronica è piuttosto minore nel grande schema delle cose.
Significa che l'eIDAS è inutile? Non proprio. Da quanto ho capito, eIDAS fornisce un quadro legale che asserisce che le firme digitali incluse le firme di x509 saranno almeno giuridicamente vincolanti come la firma basata su inchiostro. Una legge del genere può fornire un quadro legale che renda i certificati email e client più ampiamente utili.