Wprowadzenie
Niniejszy artykuł jest czwartym z cyklu artykułów traktujących o wykorzystaniu rozporządzenia eIDAS
oraz certyfikatów kwalifikowanych w kontekście dyrektywy PSD2. Opiszemy w nim aspekty operacyjne walidacji kwalifikowanych certyfikatów eIDAS.
Walidacja certyfikatów w PSD2
Poprzednie artykuły naszego cyklu wprowadziły model pojęciowy oraz opisały zależność między certyfikatami kwalifikowanymi eIDAS, dyrektywą PSD2 oraz standardem PolishAPI. Spróbujmy się teraz zmierzyć z praktycznym zastosowaniem zdobytej wiedzy. Do realizacji tego celu potrzebujemy jeszcze kilku informacji na temat rozporządzenia eIDAS. Rozporządzenie wprowadziło w skali paneuropejskiej dwa byty: usługa zaufania oraz identyfikacja elektroniczna. Nas interesują usługi zaufania. Dokładniej dwie z nich, czyli: kwalifikowany certyfikat uwierzytelniania witryn internetowych (QWAC) oraz kwalifikowany certyfikat pieczęci elektronicznej (QSealC). Jeżeli mówimy o usłudze zaufania eIDAS to możemy ją sobie wyobrazić jako paneuropejskie PKI. Mamy tutaj kwalifikowanych dostawców usług zaufania (QTSP). Wydają oni certyfikaty rozpoznawane w całej Unii Europejskiej. Mamy również instytucje płatnicze (PSP) lub inne podmioty/osoby, którym te certyfikaty są wydawane. Przyjęcie abstrakcji PKI dla zrozumienia działania usługi zaufania do dalszych rozważań upraszcza nam proces opisu walidacji do jednego zdania: Walidacja certyfikatów PSD2 jest koncepcyjnie tożsama z procesem walidacji występującym w standardowym PKI. Implementacyjnie występują jednak różnice, które należy obsłużyć w „interfejsie specjalnym” / ”interfejsie awaryjnym” PSD2. Do najważniejszych należą:
- Urzędy certyfikacji (QTSP) występują w całej Europie. „Interfejs specjalny /awaryjny” powinien rozpoznawać certyfikaty TPP wydane przez wszystkie QTSP.
- Listy certyfikatów QTSP można znaleźć na stronach odpowiednich organów nadzorujących (głównych urzędów certyfikacji) w całej Europie. W Polsce lista (TSL) znajduje się pod adresem https://www.nccert.pl/tsl/PL_TSL.xml
- Na listach TSL znajdują się certyfikaty QTSP dla wszystkich usług EIDAS, np.: wydawanie certyfikatów
i znakowanie czasem. Czyli nie są to tylko usługi QWAC i QSealC. - Liczba certyfikatów QTSP jest zmienna w czasie i należy na bieżąco aktualizować wiedzę na temat list TSL oraz QTSP.
- Certyfikaty wydawane przez QTSP nie muszą zawierać odnośników do CRL i OCSP.
Jeżeli ktoś ma ochotę zapoznać się z obowiązującymi standardami w eIDAS to może je znaleźć na stronie: https://portal.etsi.org//TBSiteMap/ESI/ESIActivities.aspx
Wszystko powyższe implikuje jeden wniosek. „Interfejs specjalny” oraz „Interfejs awaryjny” musi zostać wyposażony w specjalistyczne rozwiązania informatyczne (takie jak nasz TPP Validator ) wspierające walidację certyfikatów eIDAS. Standardowo, w przypadku komunikacji między firmami, do walidacji certyfikatu wykorzystuje się gateway sprzętowy (np.: Netscaler czy F5) lub API Gateway. Takie rozwiązanie nie ma racji bytu w przypadku walidacji certyfikatów PSD2, z dwóch powodów:
- Lista urzędów certyfikacji (QTSP) jest zmienna w czasie (listy TSL mogą się zmieniać kilka razy dziennie). Nie ma możliwości zbudowania stabilnego repozytorium certyfikatów zaufanych.
- Walidacja w gateway’ach sprzętowych odbywa się z wykorzystaniem protokołu OSCP i/lub CRL.
W przypadku certyfikatów PSD2 wystawca certyfikatu nie ma obowiązku umieszczania informacji
o OSCP i CRL w certyfikacie. Może to zrobić na listach TSL.
Powyższe dwa punkty opisują tylko wierzchołek góry lodowej wymagań dotyczących walidacji certyfikatu PSD2. Certyfikaty PSD2 mają wiele dodatkowych atrybutów, które należy sprawdzić. Jednym z nich jest rola TPP (rozszerzenie certyfikatu opisane jest w ETSI TS 119 495), o którym będzie traktował kolejny artykuł.