“Der er opstået en fejl: Det brugte certifikat er ikke gyldigt.” Sådan en fejl kan NemID-brugere risikere at være stødt på, når de den seneste tid har forsøgt at logge på offentlige selvbetjeningsløsninger med NemID via den fællesoffentlige login-tjeneste Nemlog-in.
Forklaringen er, at det bagvedliggende certifikat, der er knyttet til NemID, har en løbetid på tre år, og derfor kan risikere at udløbe i mange tilfælde i år. Fornyelse af certifikatet kan eksempelvis foregå via nemid.nu under selvbetjening.
Cecile Christensen, kontorchef i Digitaliseringsstyrelsen, medgiver, at førnævnte besked om, at certifikatet er ugyldigt, ikke nødvendigvis er selvforklarende. Den formulering og andre ting i forbindelse kommunikationen i forhold til certifikaterne er Digitaliseringsstyrelsen nu ved at se på.
»Vi er i dialog med Nets om, hvordan vi kan gøre det smartere. Vi synes jo, vi har tænkt meget over, hvordan dette kommunikeres bedst. Og vi har netop gjort meget ud af, at man bliver advaret i tide, men nu ser vi på, hvordan vi kan gøre det endnu bedre,« siger hun til Version2.
Men hun understreger også, at borgerne som udgangspunkt bliver oplyst om, at certifikatet, der har en levetid på tre år, er ved at udløbe, inden det faktisk udløber. Alt efter, hvor og hvornår de anvender NemID, bliver de enten oplyst via en dialog på en hjemmeside, via mail eller brev.
»Hvis man slet ikke er logget på i løbet af perioden på 200 dage, så får man 30 dage før udløbet af certifikatet et brev eller en e-mail om, at certifikatet udløber, og hvad man skal gøre. Hvis man ikke reagerer på det eller overser de beskeder, man får elektronisk, når man logger på i perioden på under 200 dage før udløbet, så udløber certifikatet. Så får man at vide, at certifikatet er udløbet, når man forsøger at bruge det. Og så er man nødt til at bestille et nyt. Men det kan man gøre med NemID. Man kan gå ind på nemid.nu og bestille en ny offentlig digital signatur. Og der står en forklaring på nemid.nu på, hvad man skal gøre,« forklarer Cecile Christensen.
Uvist hvor mange
Men hvis borgeren allerede er blevet oplyst om, at certifikatet er ved at udløbe, når der er mellem 200 og 100 dage tilbage, inden det udløber, så bliver der ikke udsendt et brev eller en mail på noget tidspunkt, forklarer Cecile Christensen. Men logger borgeren til gengæld ind, når der er under 100 dage tilbage inden udløb, vel at mærke på en tjeneste, der anvender certifikatet – ikke netbank – så bliver certifikatet mere eller mindre automatisk fornyet.
Med andre ord, hvis en borger inden for 100 – 200 dage inden certifikatet er ved at udløbe, har været logget ind på en tjeneste, der anvender certifikatet, og derefter intet foretager sig, så risikerer man at blive mødt med beskeden om, at nu er certifikatet udløbet, næste gang, man logger ind via Nemlog-in.
»Vi er opmærksomme på, at der faktisk er nogen, der overser dialogboksen og bare klikker ok. Vi er i øjeblikket i dialog med Nets for at se, om vi kan gøre det smartere og mere hensigtsmæssigt. Men det er en sikkerhedsmæssig ting, så vi er også nødt til at finde en løsning, som ikke går på kompromis med sikkerheden.«
Version2 har rettet henvendelse til Nets for at få et overblik over, hvor mange NemID-brugere der har været rådvilde efter at have fået en besked om, at deres certifikat er udløbet.
»Tilbagemelding fra vores support er at antallet at henvendelser om fornyelse/udløbet certifikat ikke fylder meget. (Jeg har desværre ikke antallet),« skriver kommunikationskonsulent hos Nets Ulrik Marschall i en mail.
Leave a Reply