Ny Europeisk standard for sertifikater - SEID 2.0

For første gang på over 15 år fornyes Norges digitale sertifikater for å samsvare med en ny EU-standard. Les mer om endringene, når de kommer og hva du bør gjøre.

Den nye standarden er laget for å samsvare med EU-forordningen eIDAS. Bakgrunnen for endringen er å øke tilliten i digitale transaksjoner innenfor EU og skape et felles grunnlag for å sikre digitale interaksjoner, slik at hverdagen blir enklere.

Mange av dagens IT-systemer vil ikke støtte SEID 2.0. Sertifikatutstederne, Buypass og Commfides, vil i løpet av året oppgradere flere sertifikater fra SEID versjon 1.0 til 2.0, slik at de samsvarer med europeisk regelverk.

En ny standard krever at systemene som behandler sertifikater til ansatte og virksomheter i Norge, må endres. Det kan gjerne ta flere måneder å gjøre slike endringer, og derfor er det viktig at norske bedrifter følger ekstra godt med nå. I verste fall kan kritiske systemer knekke sammen, dersom man ikke følger den nye standarden som er laget for å samsvare med resten av Europa. 

Mads Henriksveen, fagansvarlig for Tillitstjenester i Buypass AS

Generelle råd

Sjekk om eget fagsystem/løsning støtter nye sertifikater

  1. Klarer ditt fagsystem å bruke nye sertifikat?
  2. Klarer ditt fagsystem å håndtere at fellesløsningen identifiserer seg med- og bruke nye sertifikat?

Ulike fellesløsninger vil være klar på ulikt tidspunkt. Vent med å kjøpe nye sertifikater til støtte er på plass i den aktuelle fellesløsningen.

Tidsplan sertifikatutstederne

Dato Aktivitet Leverandør
01.09.2021 Starter innføring av SEID 2.0, men det vil fortsatt være mulig å bestille sertifikater etter SEID 1.0 standarden. Buypass, Commfides
01.06.2022 Slutter utstedelse av virksomhets- og personsertifikater med SEID 1.0 profil Commfides, Buypass
31.12.2024 End of life - Virksomhets- og personsertifikater med SEID 1.0 profil. Commfides
31.05.2025 Siste utløpsdato for Virksomhets- og personsertifikater med SEID 1.0 profil. Buypass

Status for støtte av sertifikatprofiler i fellesløsningene

ID-porten SAML

Når
Støtte for kunder er klar nå.
ID-portens metadata-sertifikat utløper Q1 2022, og vil da bruke ny profil.

Vurdering

SAML metadata blir lagt inn i manuelt i openam med direkte trust til sertifikatet skal fungere «out-of-the-box».

Både HSM og openam skal støtte nye, sterke krypto-algoritmer, men impact på ID-portens totalytelse er usikker.

Dette må kundene gjøre

  • Sjekke om eget IAM-produkt støtter nye sertifikater for egne metadata.
  • Sjekke om eget IAM-produkt støtter nye sertifikater for egne metadata.

Digdirs plan

  • Teste funksjonelt nye sertifikater med sterk krypto.
  • Teste ytelse med ulike sterk kryptoalgoritmer.
     

ID-porten OIDC
​​​​​

Når

Q4 – 2021 for kunders integrasjoner.

.well-known/jwks går ut oktober ‘23.

Vurdering

Ikke støttet idag, for de integrasjoner som benytter virk.sert til klient-autentisering.

Dette må kundene gjøre

  • Sjekke om eget IAM-produkt støtter nye sertifikater
    • for klient-autentisering (private_key_jwt)
    • at produktet håndterer at ID-porten (i 2023) signerer tokens med slike sertifikat.

Digdirs plan

  • Teste nye sertifikater med sterk krypto.

Når

Q3 2021

Vurdering

Mangler støtte for nye CA-er, nytt orgno-format og policies-validering

Dette må kundene gjøre

  • Sjekke egen løsning

Digdirs plan

  • Implementere nødvendig støtte

 

Når

Høsten 2021

Meldingsformilder støtter i dag både SEID 1.0 og SEID 2.0.

Vurdering

I dag skal avsendervirksomheten validere gyldigheten av innbyggersertifikatene (virksomhetssertifikat til PL).

Det er meldingsformidler og ikke klientbibliotekene som foretar en validering av avsendersertifikat.

Med ny transportinfrastruktur går DPI delvis over på eFormidling som bringer med seg ny funksjonalitet til sertifikatvalidering

Dette må kundene gjøre

  • Foreløpig trenger ikke kundene å gjøre noe, men når kundens virksomhetssertifikat utløpet etter september 2021, må kunden installere nytt sertifikat i key store.
  • Når leverandøren Posten fornyer virksomhetssertifikatet sitt, 21.11.21, må kunden legge inn nytt rotsertifikat i truststore

Digdirs plan

  • Teste nye sertifikater parallelt med overgang til ny transportinfrastruktur (MF fjernes)

Når

Q3-2021

Vurdering

  • Avhengig av støtten er på plass i Maskinporten først.
  • SR: Sjekk på at vi returnerer gyldig sertifikat ved oppslag.
  • Integrasjonspunktet: Sjekker at man starter opp IP med gyldig sertifikat, samt at orgnr stemmer med det man har satt opp IP med.
  • Virksertifikat sjekker at man legger inn gyldig sertifikat samt at sertifikatet tilhører organisasjonsnummer man legger inn på.

Dette må kundene gjøre

Vi kommer tilbake med mer informasjon om hva kundene må foreta seg.

Digdirs plan

  • Teste nye sertifikater med sterk krypto

Når
Q3-2021

Vurdering
Avhengig av eFormidling.

Antatt tidspunkt for release av SEID2- sertifikater er september 2021.

Validering av SEID2.0 virksomhetssertifikat i eksterne API støtter både SEID 1.0 og SEID 2.0.

Validering av SEID2.0 personsertifikat (gjelder kun for avansert signatur) er planlagt i 2022.

Sertifikatskifte Posten (API): 21.11.21
 

Vurdering
Behov for å støtte SEID2-seritifikat i API med mutual TLS og signaturvalidering for ASIC-dokumentpakker. 

Vil komme tilbake med eget informasjonsløp for tjenesteeiere i Altinn.