Introduksjon

Våre PSD2-sertifikater er tidligere utstedt under CA-er som ble etablert for snart 10 år siden. PSD2 QWAC sertifikater utstedes under Buypass Class 3 CA 2, mens PSD2 QC eSeal utstedes under Buypass Class 3 CA 3.

CA hierarkiet for det vi kan kalle Generasjon 1 av Buypass Class 3 CA-er er vist nedenfor:

Begge utstedende CA-er kjeder tilbake til Buypass Class 3 Rot CA. Dette er en rot CA som er inkludert i mange rotsertifikatprogram, inkludert OS som Microsoft, Apple og nettlesere som Mozilla, Firefox, Google Chrome m.fl. 

Begge de to utstedende CA-ene er inkludert i EU Trusted List, noe som er forutsetning for at PSD2-sertifikatene blir anerkjent som PSD2-sertifikater i hht gjeldende reguleringer.

Fra 3. mai 2021 vil vi utstede PSD2-sertifikater under nye CA-er som vi omtaler som Generasjon 2 (G2), se CA hierarkiene nedenfor:

Image Modified

Her er det egne rot CA-er for hhv PSD2 QWAC og PSD2 QC eSeal og ingen av disse er inkludert i noen spesifikke rotsertifikatprogram. Men begge de to utstedende CA-ene er inkludert i EU Trusted List slik at sertifikatene blir anerkjent som PSD2-sertifikater.

Utstedende CA for PSD2 QWAC er Buypass Class 3 CA G2 QC WA (Qualified Certificates for Website Authentication), mens PSD2 QC eSeal utstedes under Buypass Class 3 CA G2 ST Business (Soft Token Business).

Denne omleggingen blir gjort for å skape større fleksibilitet siden PSD2-sertifikater generelt ikke må være anerkjent av andre OS og nettlesere tilsvarende det som gjelder for en del andre typer sertifikater. Dette gir oss feks anledning til å utstede PSD2 QWAC sertifikater med lengre levetid (2 år) enn det som normalt er tillatt for TLS-sertifikater som må følge gjeldende krav fra CA/Browser forum og nettlesere m.fl. (1 år). Krav om å registrere TLS-sertifikater i CT-logger kommer også fra browsere og vi har besluttet å ikke registrere disse sertifikatene i CT-logger.

Denne omleggingen skal ikke ha noen påvirkning for bruken av PSD2-sertifikater, men dersom det skulle oppstå problemer med bruken av disse sertifikatene i PSD2-infrastrukturen så må dere ta kontakt med oss umiddelbart.

Andre endringer

Det er også verdt å nevne at vi med Generasjon 2 CA-ene også tar i bruk nye adresser for både CRL- og OCSP-tjenestene knyttet til disse sertifikatene. Disse er nå tilgjengelig under buypassca.com og ikke buypass.no eller buypass.com som tidligere - se tabell nedenfor.

CA-sertifikater

De nye CA-sertifikatene er tilgjengelig her.

For PSD2 QWAC:

• http://crt.buypassca.com/BPCl3RootCaG2QC.cer
• http://crt.buypassca.com/BPCl3CaG2QCWA.cer

For PSD2 QC eSeal:

• http://crt.buypassca.com/BPCl3RootCaG2ST.cer
• http://crt.buypassca.com/BPCl3CaG2STBS.cer

Test sertifikater 

Vi vil utstede test PSD2 sertifikater på tilsvarende måte fra nye G2 CA-er fra 15. april 2021. CA-sertifikatene for test er tilgjengelig her:

For PSD2 QWAC:

• http://crt.test4.buypassca.com/BPCl3RootCaG2QC.cer
• http://crt.test4.buypassca.com/BPCl3CaG2QCWA.cer

For PSD2 QC eSeal:

• http://crt.test4.buypassca.com/BPCl3RootCaG2ST.cer
• http://crt.test4.buypassca.com/BPCl3CaG2STBS.cer

Mer informasjon

For mer informasjon om sertifikatprofilene

• Buypass Class 3 sertifikatprofiler

For mer informasjon om EU Trusted List:

• https://esignature.ec.europa.eu/efda/tl-browser/#/screen/home 
• https://www.nkom.no/internett/elektronisk-id-og-tillitstjenester/tillitsliste-trusted-list