¿Por qué las CA no utilizan mecanismos de identificación electrónica gubernamentales?

Porque el eIDAS no es suficiente para cumplir con los requisitos en los que se confía a la CA para validar, con el propósito de la comunicación TLS del navegador. Es importante entender que el trabajo de una CA es verificar un conjunto de aseveraciones contra un CPS (Declaración de práctica de certificación). Una CA puede declarar casi cualquier cosa en su CPS, pero en última instancia es la parte que confía que verificará si un CPS es adecuado para su uso. A los efectos del certificado HTTPS, la parte que confía son los fabricantes de navegadores, y los fabricantes de navegadores solo incluirían productos de CA cuyo CPS sea adecuado para la comunicación de HTTPS.

La directriz CA / B especifica los requisitos de validación para los certificados x509 emitidos con el propósito de la comunicación HTTPS. Para la comunicación HTTPS, el requisito de validación más central es la validación de control de dominio, con la cual la identificación electrónica no ayuda en absoluto.

En el nivel de OV, también se requiere que la CA verifique la empresa / organización nombrada en el certificado contra un registro de negocios del gobierno (o contra alguna otra fuente de información independiente calificada), la tarjeta de identidad electrónica solo prueba la identidad de una persona , no es una organización, por lo que tampoco ayuda aquí.

A nivel de EV, también se requiere que la CA verifique que el contacto principal de la organización esté autorizado para actuar en nombre de la empresa para comprar el certificado. Uno de los pasos en EV requiere la verificación de la identidad del representante, aquí la identidad electrónica ciertamente ayuda con la verificación de la identidad del representante, pero no ayuda con la verificación de que el representante designado está autorizado por la organización. A nivel de EV, hay tantos otros requisitos de validación que la verificación de la identidad del representante es solo un punto pequeño entre muchos, por lo que el impacto de la disponibilidad de la identidad electrónica es bastante menor en el gran esquema de las cosas.

¿Esto significa que el eIDAS es inútil? No exactamente. Según tengo entendido, eIDAS proporciona un marco legal que afirma que las firmas digitales, incluidas las firmas de x509, serán al menos tan legalmente vinculantes como las firmas basadas en tinta. Una ley como esa puede proporcionar un marco legal que haga que los certificados de correo electrónico y de clientes sean más útiles en general.

Solo puedo responder esto desde una perspectiva alemana:

Este artículo describe tres preocupaciones principales con la solución alemana:

1. el software utilizado no es de código abierto
2. el ToS establece que solo el uso privado es gratuito
3. el software recopila datos del titular de la licencia y los envía a los desarrolladores para su procesamiento posterior

Para responder a su pregunta con un poco de opinión: Una parte involucrada en el desarrollo de esta CA es conocida por una línea constante de fallas en los últimos 20 años dentro de la comunidad de TI en Alemania y, por lo tanto, no es muy apreciada. ni de confianza. (Eso sería la Deutsche Telekom)

Dos puntos vienen a la mente:

1. Riesgo de los menos entendidos: El CPS (Declaración de Práctica de Certificado) de una AC está escrito no solo para aclarar sus procesos / procedimientos, sino también para minimizar y mantener deterministas, sus responsabilidades. Debido a esto, el CPS suele estar redactado por profesionales de la gestión de riesgos o, como mínimo, revisado y revisado por ellos. Esto generalmente significa que las prioridades luchan por el equilibrio. El riesgo de que los mecanismos de confianza fallen en un sistema de verificación completamente electrónico a menudo los pone en desventaja.
2. Costo: Conectarse y recuperar información personal de un sistema eIDAS puede ser costoso. Las regulaciones de privacidad, especialmente en Europa, significarían riesgos de alto impacto.