Porque el eIDAS no es suficiente para cumplir con los requisitos en los que se confía a la CA para validar, con el propósito de la comunicación TLS del navegador. Es importante entender que el trabajo de una CA es verificar un conjunto de aseveraciones contra un CPS (Declaración de práctica de certificación). Una CA puede declarar casi cualquier cosa en su CPS, pero en última instancia es la parte que confía que verificará si un CPS es adecuado para su uso. A los efectos del certificado HTTPS, la parte que confía son los fabricantes de navegadores, y los fabricantes de navegadores solo incluirían productos de CA cuyo CPS sea adecuado para la comunicación de HTTPS.
La directriz CA / B especifica los requisitos de validación para los certificados x509 emitidos con el propósito de la comunicación HTTPS. Para la comunicación HTTPS, el requisito de validación más central es la validación de control de dominio, con la cual la identificación electrónica no ayuda en absoluto.
En el nivel de OV, también se requiere que la CA verifique la empresa / organización nombrada en el certificado contra un registro de negocios del gobierno (o contra alguna otra fuente de información independiente calificada), la tarjeta de identidad electrónica solo prueba la identidad de una persona , no es una organización, por lo que tampoco ayuda aquí.
A nivel de EV, también se requiere que la CA verifique que el contacto principal de la organización esté autorizado para actuar en nombre de la empresa para comprar el certificado. Uno de los pasos en EV requiere la verificación de la identidad del representante, aquí la identidad electrónica ciertamente ayuda con la verificación de la identidad del representante, pero no ayuda con la verificación de que el representante designado está autorizado por la organización. A nivel de EV, hay tantos otros requisitos de validación que la verificación de la identidad del representante es solo un punto pequeño entre muchos, por lo que el impacto de la disponibilidad de la identidad electrónica es bastante menor en el gran esquema de las cosas.
¿Esto significa que el eIDAS es inútil? No exactamente. Según tengo entendido, eIDAS proporciona un marco legal que afirma que las firmas digitales, incluidas las firmas de x509, serán al menos tan legalmente vinculantes como las firmas basadas en tinta. Una ley como esa puede proporcionar un marco legal que haga que los certificados de correo electrónico y de clientes sean más útiles en general.