Perché le CA non utilizzano i meccanismi di identificazione elettronica governativa?

Poiché eIDAS non è sufficiente per soddisfare i requisiti che la CA è considerata attendibile per la comunicazione TLS del browser. È importante capire che il compito di un'Autorità di certificazione è di verificare un insieme di asserzioni rispetto a un CPS (Dichiarazione di pratiche di certificazione). Una CA può dichiarare praticamente qualsiasi cosa nel proprio CPS, ma è in definitiva la parte relying che verificherà se un CPS è adatto per il loro uso. Ai fini del certificato HTTPS, la parte relying è il produttore del browser e i produttori di browser includono solo i prodotti CA i cui CPS sono adatti per la comunicazione HTTPS.

La linea guida CA / B specifica i requisiti di convalida per i certificati x 509 emessi ai fini della comunicazione HTTPS. Per la comunicazione HTTPS, il requisito di convalida più centrale è la convalida del controllo del dominio, a cui l'ID elettronico non aiuta affatto.

Nel livello di OV, la CA è anche richiesta per verificare l'azienda / organizzazione nominata nel certificato rispetto a un registro aziendale governativo (o contro qualche altra fonte di informazione indipendente qualificata), la carta di identità elettronica prova solo l'identità di un individuo non un'organizzazione, quindi non aiuta neanche qui.

A livello di EV, la CA è anche tenuta a verificare che il contatto principale dell'organizzazione sia autorizzato ad agire per conto dell'azienda per l'acquisto del certificato. Uno dei passaggi in EV richiede la verifica dell'identità del rappresentante, in questo caso l'identità elettronica aiuta certamente a verificare l'identità del rappresentante, ma non aiuta a verificare che il rappresentante nominato sia autorizzato dall'organizzazione. A livello di EV, ci sono così tanti altri requisiti di convalida che la verifica dell'identità del rappresentante è solo un piccolo punto tra molti, in modo tale che l'impatto della disponibilità dell'identità elettronica è piuttosto minore nel grande schema delle cose.

Significa che l'eIDAS è inutile? Non proprio. Da quanto ho capito, eIDAS fornisce un quadro legale che asserisce che le firme digitali incluse le firme di x509 saranno almeno giuridicamente vincolanti come la firma basata su inchiostro. Una legge del genere può fornire un quadro legale che renda i certificati email e client più ampiamente utili.

Posso solo rispondere da una prospettiva tedesca:

Questo articolo delinea tre preoccupazioni principali con la soluzione tedesca:

1. il software utilizzato non è open source
2. il ToS afferma che solo l'uso privato è gratuito
3. il software raccoglie i dati del licenziatario e lo invia agli sviluppatori per un'ulteriore elaborazione

Per rispondere alla tua domanda con un po 'di opinione: una parte che è stata coinvolta nello sviluppo di questa CA è nota per una costante linea di insuccesso negli ultimi 20 anni all'interno della comunità IT in Germania e quindi non è nemmeno piaciuta né fidato. (Sarebbe la Deutsche Telekom)

Mi vengono in mente due punti:

1. Rischio dei meno capiti: Il CPS (Certificate Practice Statement) di un CA è scritto non solo per chiarire i loro processi / procedure, ma anche per ridurre al minimo e mantenere deterministico, le loro passività. A causa di ciò, il CPS viene spesso scritto da professionisti della gestione del rischio o, per lo meno, rivisto e revisionato da loro. Questo di solito significa che le priorità combattono per l'equilibrio. Il rischio che i meccanismi di fiducia falliscano in un sistema di verifica completamente elettronico spesso li mette in una situazione di svantaggio.
2. Costo: la connessione e il recupero di informazioni personali da un sistema eIDAS possono essere costosi. Le norme sulla privacy, in particolare in Europa, comporterebbero rischi di alto impatto.