PSD2 sertifikater under nye CA-er fra 3. mai 2021
- Sissel Hoel
- Lise Kristoffersen
Introduksjon
Våre PSD2-sertifikater er tidligere utstedt under CA-er som ble etablert for snart 10 år siden. PSD2 QWAC sertifikater utstedes under Buypass Class 3 CA 2, mens PSD2 QC eSeal utstedes under Buypass Class 3 CA 3.
CA hierarkiet for det vi kan kalle Generasjon 1 av Buypass Class 3 CA-er er vist nedenfor:
Begge utstedende CA-er kjeder tilbake til Buypass Class 3 Rot CA. Dette er en rot CA som er inkludert i mange rotsertifikatprogram, inkludert OS som Microsoft, Apple og nettlesere som Mozilla, Firefox, Google Chrome m.fl.
Begge de to utstedende CA-ene er inkludert i EU Trusted List, noe som er forutsetning for at PSD2-sertifikatene blir anerkjent som PSD2-sertifikater i hht gjeldende reguleringer.
Nye G2 CA-er tas i bruk 3. mai 2021
Fra 3. mai 2021 vil vi utstede PSD2-sertifikater under nye CA-er som vi omtaler som Generasjon 2 (G2), se CA hierarkiene nedenfor:
Her er det egne rot CA-er for hhv PSD2 QWAC og PSD2 QC eSeal og ingen av disse er inkludert i noen spesifikke rotsertifikatprogram. Men begge de to utstedende CA-ene er inkludert i EU Trusted List slik at sertifikatene blir anerkjent som PSD2-sertifikater.
Utstedende CA for PSD2 QWAC er Buypass Class 3 CA G2 QC WA (Qualified Certificates for Website Authentication), mens PSD2 QC eSeal utstedes under Buypass Class 3 CA G2 ST Business (Soft Token Business).
Denne omleggingen blir gjort for å skape større fleksibilitet siden PSD2-sertifikater generelt ikke må være anerkjent av andre OS og nettlesere tilsvarende det som gjelder for en del andre typer sertifikater. Dette gir oss feks anledning til å utstede PSD2 QWAC sertifikater med lengre levetid (2 år) enn det som normalt er tillatt for TLS-sertifikater som må følge gjeldende krav fra CA/Browser forum og nettlesere m.fl. (1 år). Krav om å registrere TLS-sertifikater i CT-logger kommer også fra browsere og vi har besluttet å ikke registrere disse sertifikatene i CT-logger.
Denne omleggingen skal ikke ha noen påvirkning for bruken av PSD2-sertifikater, men dersom det skulle oppstå problemer med bruken av disse sertifikatene i PSD2-infrastrukturen så må dere ta kontakt med oss umiddelbart.
Andre endringer
Det er også verdt å nevne at vi med Generasjon 2 CA-ene også tar i bruk nye adresser for både CRL- og OCSP-tjenestene knyttet til disse sertifikatene. Disse er nå tilgjengelig under buypassca.com og ikke buypass.no eller buypass.com som tidligere - se tabell nedenfor.
| Sertifikat type | Generasjon | CRL-tjeneste | OCSP-tjeneste |
|---|---|---|---|
| PSD2 QWAC | 1 | http://crl.buypass.no/crl/BPClass3CA2.crl | http://ocsp.buypass.com |
| PSD2 QWAC | 2 | http://crl.buypassca.com/BPCl3CaG2QCWA.crl | http://ocspwa.buypassca.com |
| PSD2 QC eSeal | 1 | http://crl.buypass.no/crl/BPClass3CA3.crl | http://ocspec.buypass.com |
| PSD2 QC eSeal | 2 | http://crl.buypassca.com/BPCl3CaG2STBS.crl | http://ocspbs.buypassca.com |
CA-sertifikater
De nye CA-sertifikatene er tilgjengelig her.
For PSD2 QWAC:
For PSD2 QC eSeal:
Test sertifikater
Vi vil utstede test PSD2 sertifikater på tilsvarende måte fra nye G2 CA-er fra 15. april 2021. CA-sertifikatene for test er tilgjengelig her:
For PSD2 QWAC:
For PSD2 QC eSeal:
Mer informasjon
For mer informasjon om sertifikatprofilene
For mer informasjon om EU Trusted List: