Czym różni się standardowy certyfikat SSL/TLS od QWAC? Kiedy wystarczy zwykły certyfikat HTTPS, a kiedy potrzebny jest kwalifikowany certyfikat zgodny z przepisami UE? Jeśli działasz w sektorze finansowym, administracji publicznej lub integrujesz systemy regulowane, ta różnica ma realne znaczenie. W tym artykule wyjaśniamy, czym są certyfikaty SSL/TLS i QWAC, jakie są najważniejsze różnice między nimi oraz kiedy certyfikat QWAC może być wymagany.
Czym jest standardowy certyfikat SSL/TLS?
Certyfikat SSL (technicznie TLS) to cyfrowy certyfikat, który służy do szyfrowania połączeń internetowych w protokole HTTPS. Zapewnia poufność, integralność danych oraz uwierzytelnianie serwera, które umożliwia użytkownikom bezpieczne połączenie się z właściwą witryną.
Standardowe certyfikaty TLS są używane m.in. w:
- stronach internetowych – zabezpieczają połączenie HTTPS, widoczne np. po adresie URL rozpoczynającym się od https://
- formularzach online – zapieczają logowaniach użytkowników i przesyłane dane np. login hasło, chronione dane
- aplikacjach webowych z API – szyfrują wymianę danych między systemami, aplikacjami i usługami,
Strony internetowe, które używają zabezpieczenia w postaci certyfikatu SSL można rozpoznać i zweryfikować po charakterystycznym znaku kłódki w przeglądarce przy adresie URL, który po kliknięciu zawiera więcej informacji.
Przy mechanizmie szyfrowania SSL/TLS odnotowuje się trzy poziomy walidacji:
- DV (Domain Validation) – prosta walidacja sprawdzająca prawo do kontroli nad domeną np. darmowy certyfikaty SSL od Let’s Encrypt, ZeroSSL,
- OV (Organization Validation) – prosta walidacja domeny oraz weryfikacja organizacji na bazie dokumentów rejestrowych,
- EV (Extended Validation) – prosta walidacja domeny oraz rygorystyczna weryfikacja organizacji zapewniająca najwyższy poziom zaufania formalnego.
DV, OV i EV dają taki sam poziom szyfrowania TLS. Różnica to poziom potwierdzenia tożsamości właściciela certyfikatu, nie moc szyfrowania.
Warto wiedzieć, że SSL jest starszym protokołem zabezpieczania połączeń sieciowych, który został zastąpiony przez TLS (Transport Layer Security). Potocznie jednak wiele osób nadal używa określenia „certyfikat SSL” lub „SSL” mając na myśli obecny standard TLS i certyfikaty używane do jego obsługi.
Czym jest certyfikat QWAC?
QWAC (Qualified Website Authentication Certificate) to kwalifikowany certyfikat uwierzytelniania witryny internetowej SSL/TLS wydawany wyłącznie przez kwalifikowanego dostawcę usług zaufania (QTSP) wpisanego się na europejską listę zaufania (EUTL) oraz działającego zgodnie z rozporządzeniem eIDAS.
Certyfikat QWAC nie tylko zapewnia szyfrowanie połączenia internetowego tak jak SSL/TLS, ale też jednoznacznie potwierdza tożsamość prawną właściciela strony internetowej, np. firmy bądź innej organizacji. QWAC zapewnia najwyższą zgodność prawną z przepisami Unii Europejskiej, w tym z rozporządzeniem eIDAS i obowiązuje na terenie całej UE.
Certyfikat QWAC stosowany jest m.in. w:
- w sektorze finansowym, gdzie wymagana jest zgodność z PSD2, np. w bankach, u dostawców usług płatniczych,
- instytucjach o wysokim poziomie regulacji, gdzie wymagana jest kwalifikowana identyfikacja podmiotu
- organizacjach, w których wymagana jest duża wiarygodność podmiotu ze względu na specyfikę prowadzonej działalności, np. w ochronie zdrowia, firmach doradczych i prawniczych czy w administracji publicznej.
Certyfikat SSL a QWAC – różnice i zastosowanie
Standardowy SSL/TLS odpowiada za techniczne zabezpieczenie połączenia i szyfrowanie danych, natomiast QWAC rozszerza tę funkcję o kwalifikowane potwierdzenie tożsamości podmiotu zgodne z przepisami UE.
Technicznie QWAC jest certyfikatem TLS, jednak nie należy do klasyfikacji DV, OV czy EV, ponieważ podlega odrębnemu porządkowi prawnemu wynikającemu z rozporządzenia eIDAS. Poniższa tabela przedstawia najważniejsze różnice między certyfikatami SSL/TLS a QWAC oraz ich zastosowanie.
| Cecha | Certyfikat SSL/TLS | Certyfikat QWAC |
| Cel | Bezpieczne połączenie HTTPS | Bezpieczne połączenie HTTPS + kwalifikowana identyfikacja podmiotu w danych certyfikatu |
| Status „kwalifikowany” | Nie | Tak |
| HTTPS | Tak | Tak |
| Dostawca | Centrum certyfikacji (CA) | Kwalifikowany dostawca usług zaufania (QTSP) |
| Weryfikacja danych organizacji |
Zależnie od typu certyfikatu: – brak (DV) – podstawowa (OV) – rozszerzona (EV) |
Tak – rozszerzona kwalifikowana, przeprowadzana przez kwalifikowanego dostawcę usług zaufania (QTSP) |
| Podstawa prawna | Standardy techniczne (IETF, CA/Browser Forum) | Rozporządzenie eIDAS, normy ETSI |
| Zastosowanie | Strony internetowe WWW, sklepy e-commerce | Banki, dostawcy usług płatniczych, instytucje regulowane, podmioty podlegające PSD2, firmy w sektorach wymagających dużej wiarygodności podmiotu |
| Wymogi formalne | Niskie do średnich | Wysokie, kwalifikowana weryfikacja podmiotu |
Powyższa tabela potwierdza, że choć certyfikat QWAC jest technicznie oparty na tej samej technologii co TLS, to jednak funkcjonuje w zupełnie innym kontekście prawnym i operacyjnym niż standardowe certyfikaty SSL/TLS. Te ostatnie służą przede wszystkim do szyfrowania połączenia i podstawowego uwierzytelnienia domeny internetowej. Traktowane są jako standard branżowy, a za ich wydawanie odpowiadają centra certyfikacji (CA).
Dla porównania certyfikaty QWAC mają bardziej rygorystyczny charakter. Nie tylko zapewniają szyfrowanie połączenia, ale też kwalifikowane uwierzytelnienie podmiotu będącego właścicielem domeny. Funkcjonowanie i zastosowanie certyfikatów QWAC regulowane jest przez unijne rozporządzenie eIDAS. Jednocześnie procedura ich uzyskania jest bardziej złożona niż w przypadku SSL/TLS.
WAŻNE: Certyfikaty QWAC stosuje się tam, gdzie potrzebny jest wysoki poziom zaufania i zgodności regulacyjnej, np. w bankowości, usługach płatniczych czy innych instytucjach objętych dyrektywą PSD2. To rozwiązanie specjalistyczne o podwyższonym standardzie bezpieczeństwa w porównaniu z certyfikatami SSL/TLS stosowanymi do szyfrowania połączeń w internecie na poziomie ogólnym.
Ten artykuł może Cię zainteresować:
Różnice techniczne i operacyjne
W przypadku certyfikatów SSL/TLS (DV, OV, EV) oraz certyfikatu QWAC występują zarówno różnice na poziomie technicznym, jak i operacyjnym. Wybrane elementy są jednak takie same, np. format certyfikatu. Szczegóły przedstawia poniższa tabela.
| Cecha | Standardowy SSL/TLS | QWAC |
| Format certyfikatu | X.509 | X.509 + PSD2/QCStatements |
| Model zaufania | Root store przeglądarki | EUTL + krajowe listy zaufania |
| Nadzór | Brak nadzoru regulatora | Nadzór jednostek akredytacyjnych i organów nadzoru eIDAS |
| Obsługa PSD2 | Nie | Tak |
Chodź certyfikaty TLS (DV, OV, EV) i QWAC są do siebie zbliżone pod względem technicznym i wykorzystują podobne mechanizmy kryptograficzne to najważniejsze różnicą między nimi dotyczy warstwy operacyjnej i regulacyjnej.
Certyfikaty TLS funkcjonują w modelu rynkowym opartym na zasadach organizacji CA/Browser Forum, bez bezpośredniego nadzoru państwowego, a poziom weryfikacji podmiotu może być ograniczony lub opcjonalny.
Certyfikaty QWAC podlegają ścisłym regulacjom prawnym wynikającym z eIDAS oraz PSD2, co oznacza obowiązkową, kwalifikowaną weryfikację podmiotu, nadzór państwowy oraz wydawanie wyłącznie przez kwalifikowanych dostawców usług zaufania. W praktyce przekłada się to na wyższy poziom zaufania oraz możliwość wykorzystywania QWAC w sektorach regulowanych.
Ten artykuł może Cię zainteresować:
Dla kogo i kiedy potrzebny jest certyfikat QWAC?
Certyfikat QWAC jest wymagany wszędzie tam, gdzie konieczne jest wymagane uwierzytelnienie podmiotu w sposób zgodny z regulacjami UE, zwłaszcza w kontekście dyrektywy PSD2 oraz rozporządzenia eIDAS,a szczególności:
- w instytucjach finansowych w ramach dyrektywy PSD2,
- w podmiotach świadczących usługi płatnicze (TPP),
- w administracji publicznej
- w integracjach Open Banking
- w komercyjnyc systemach wymagających wysokiego poziomu zaufania.
Przykładowo w architekturze Open Banking QWAC służy do uwierzytelnienia kanału TLS (server authentication), a QSealC (Qualified Seal Certificate) służy do podpisywania komunikatów. W praktyce podmioty świadczące usługi płatnicze używają QWAC do zestawienia bezpiecznego połączenia z bankiem. W trakcie połączenia bank weryfikuje:
- ważność certyfikatu,
- rolę PSD2
- zgodność z rejestrem krajowym.
Obecnie coraz częściej wykorzystuje się model mutual TLS, który umożliwia wzajemną identyfikację banku (ASPSP) i podmiotu trzeciego (TPP).
Certyfikat QWAC stanowi także integralny mechanizm kontroli dostępu i zgodności regulacyjnej w interfejsach API wybranych usług publicznych, np. przy integracji systemu do zarządzania dokumentami z platformą e-Doręczeń Poczty Polskiej. Wówczas wymagany jest kwalifikowany certyfikat witryn (QWAC), który potwierdza wiarygodność witryny internetowej oraz przypisuje ją do osoby fizycznej lub prawnej. Po takiej integracji możliwe jest wysyłanie elektronicznych listów poleconych do klientów i kontrahentów. Obecnie certyfikat QWAC uznawany jest za podstawowy do integracji systemów i automatyzacji procesów wymiany korespondencji.
Certyfikat SSL a QWAC – podsumowanie
QWAC to kwalifikowany certyfikat wykorzystywany w TLS, który łączy bezpieczeństwo techniczne z formalnym potwierdzeniem tożsamości podmiotu. Standardowe certyfikaty SSL/TLS są wystarczające dla większości stron internetowych i usług online, natomiast QWAC znajduje zastosowanie tam, gdzie liczy się zgodność regulacyjna, wysoki poziom zaufania i integracje sektorowe. Jeśli działasz w bankowości, finansach, administracji lub środowisku compliance, QWAC może być niezbędnym elementem infrastruktury.
