Nemlog-in

Ændret brug af certifikater

NemID er baseret på certifikater i en såkaldt Public Key Infrastructure (PKI). MitID og den nye erhvervsløsning vil derimod ikke være PKI-baseret. I vil dog fortsat kunne udstede certifikater til særlige behov.

OCES-certifikaterne og certifikatpolitikkerne, som anvendes i dag, revideres og tilpasses de fremtidige behov.

Det betyder bl.a. at:

  • Indholdet i navnene i certifikaterne ændres (SubjectDN og IssuerDN) – RID, UID og FID forsvinder.
  • Certifikatpolitik for OCES Person (POCES) videreføres ikke.
  • Certifikatpolitikker for OCES funktionscertifikater (FOCES) og OCES virksomhedscertifikater (VOCES) samles i én opdateret certifikatpolitik for OCES virksomhedscertifikater.
  • OCES certifikatpolitikkerne suppleres med nye offentlige certifikatpolitikker for kvalificerede certifikater for fysiske personer (borgere), fysiske personer associeret med en juridisk person (medarbejdere) og juridiske personer (virksomheder).
  • Der er udarbejdet en ny offentlig politik for kvalificeret tidsstempling. Samtlige politikker opbygges efter en struktur fastlagt i internetstandarden RFC 3647.
    Kravene følger NSIS og eIDAS.
  • Politikkerne er bragt i overensstemmelse med europæiske standarder for politikker for tillidstjenester.
  • Certifikatpolitikken for MOCES strammes op, så sikkerhedskravene til opbevaring og håndtering af nøglefiler tydeliggøres, hvilket begrænser muligheden for lokalt installerede nøglefiler.

Læs mere om certifikatpolitikkerne
Se certifikatpolitikker og revisionsvejledninger

 

Nedenfor kan du læse mere om, hvordan certifikattyperne ændrer sig, og hvilke der hører op i den nye erhvervsløsning.

Medarbejdercertifikater bliver erstattet af brugercertifikater

I kan fortsat udstede certifikater til medarbejdere (MOCES-certifikater) i den nye erhvervsløsning. Certifikatet skifter navn til ’brugercertifikat’.
Der vil ske følgende ændringer ved overgangen til brugercertifikater:

  • Indholdet i certifikaterne bliver ændret.
  • Understøttelse af MOCES-certifikater med central opbevaring af nøgle hos certifikatudsteder hører op (gælder NemID medarbejdersignatur med nøglekort).
  • Udstedelse af softwarebeskyttede MOCES-certifikater vil fortsat være understøttet, men udstedelsessnitfladen vil være en anden.

Brugeren skal anvende egen standard hardware/software-løsning til at håndtere og opbevare brugercertifikatet. Der bliver ikke udviklet specielle programmer eller udarbejdet vejledninger til håndtering og opbevaring i den valgte standard hardware/software-løsning, og der ydes heller ikke support til denne del.

Læs certifikatpolitikkens krav til bruger og organisation  

Virksomhedssignatur (VOCES) og funktionssignatur (FOCES)

  • Virksomhedssignatur bliver erstattet af organisationscertifikat.
  • Funktionssignatur (FOCES) bliver erstattet af systemcertifikat.

Når jeres nuværende certifikater udløber, skal I skifte til de nye certifikattyper. I skal være opmærksomme på at teste de nye certifikattyper i god tid inden udskiftning.

I kan udstede og forny de nuværende certifikattyper i migreringsperioden, indtil NemID lukker.

Kvalificerede certifikater

Kvalificerede brugercertifikater og organisationscertifikater, der er udstedt af Digitaliseringsstyrelsen, skal være beskyttet af såkaldte kvalificerede signaturgenereringssystemer (QSCD) jf. eIDAS.

Signeringsløsningen har en QSCD inkluderet. Certifikater til løsningen vil have kort levetid og vil ikke blive persisteret. Derfor kan de ikke bruges i andre sammenhænge.

Med den nye erhvervsløsning bliver det også muligt at udstede kvalificerede certifikater med lang levetid til anden brug end signering. Det vil kræve en særlig aftale med Digitaliseringsstyrelsen om processer for håndtering af den aktuelle QSCD.

Signering

Man skal ikke hente et brugercertifikat for at kunne anvende signeringsløsningen. Der udstedes automatisk et kvalificeret brugercertifikat i signeringsøjeblikket. Det vil være korttidscertifikater, der kun bliver brugt, når en medarbejder skal underskrive et dokument eller en indberetning.

Avancerede medarbejdersignaturer (splitcertifikater) udgår

Nogle få organisationer anvender i dag løsningen ’Medarbejdersignatur avanceret’. Den bliver også kaldt ’splitcertifikater’. I løsningen er funktioner for signering og dekryptering splittet op. Signering sker lokalt med et medarbejdercertifikat på certifikatholderens udstyr. Dekryptering sker i en gateway, der er placeret centralt i organisationen ved brug af et særligt virksomhedscertifikat.

Denne løsning vil ikke blive videreført i den nye erhvervsløsning.