Firefox veebilehitsejas võib esineda probleeme ID-kaardiga autentimisel. Soovitame probleemide esinemisel kasutada teisi toetatud veebilehitsejaid.

Thales ID-kaart

See artikkel puudutab uue ID-kaardi tootja Thales ID-kaarte. IDEMIA testkaartide kohta leiate informatsiooni siit.

ID1 formaadis dokumentide (st ID-kaartide) tootja vahetus toimus novembris 2025: senise kaarditootja IDEMIA asemel hakkas Eesti ID-kaarte tootma Thales.

    • Lõppkasutajad peavad uute ID-kaartide elektrooniliseks kasutamiseks paigaldama uusima ID-tarkvara versiooni. ID-tarkvara uue versiooni rakendused toetavad nii Idemia kui Thalese ID-kaarti ning sisaldavad vajalikke draivereid.
    • Koos uute Thalese kaartidega on lisandunud uus usaldusteenuse osutaja Zetes. See tähendab, et ID-kaarti autentimiseks ja/või allkirjastamiseks peavad süsteemid toetama kahte usaldusteenust.
    • Uue kaarditootja tulekuga lisandusid eID ökosüsteemi uued ID-kaardid ning algas 5-aastane üleminekuperiood. Sel perioodil on paralleelselt kasutusel nii senise IDEMIA, kui uue tootja Thalese ID-kaardid.

    Muudatused ID-kaardiga:

    • Uus kiip;
    • sertifikaatide peatamine ei ole võimalik;
    • peale ID-kaardi kättesaamist tuleb ära muuta PIN2-kood, enne muutmist ei ole võimalik ID-kaardiga digiallkirjastada;
    • PUK-koodi muuta ei saa;
    • PUK-koodi saab vaadata Politsei- ja Piirivalveameti iseteeninduses, kasutades sisselogimiseks alternatiivset eID vahendit (Mobiil-ID, Smart-ID);
    • muud põhiomadused jäävad samaks / olulisi muudatusi ei toimu;
    • avalik dokumentatsioon Thalse ID-kaardi kohta on saadaval siin.

    Muudatused ID-tarkvaras:

    • Windowsi ID-tarkvara paigalduspaketti lisandus Thalese minidraiver;
    • macOS ja Ubuntu draivereid täiendati Thalese ID-kaardi toega;
    • Web eID ja DigiDoc rakendusi (RIA DigiDoc mobiilirakendus ja DigiDoc4 rakendus) täiendati Thalese ID-kaardi toega;
    • DigiDoc rakendustes ei saa Thalese ID-kaardiga digiallkirjastada enne PIN2-koodi muutmist;
    • DigiDoc rakendustes ei saa Thalese ID-kaardil PUK-koodi muuta.

    Lõppkasutajad saavad Thalese ID-kaardi toega ID-tarkvara uuendades või id.ee lehelt tarvara alla laadides.

  • Kliendikaardilahendused, isikutuvastus ilma PIN1 koodita

    Kliendikaardisüsteemid, mis kasutavad ID-kaarti vaid isikuandmete (isikukoodi) hankimiseks ning kasutaja ei pea ennast tuvastama PIN1-koodi kasutades. Siia alla kuuluvad nii erinevad kaubandusettevõtted, läbipääsusüsteemid kui piletisüsteemid.

    Isikukoodi hankimiseks ID-kaardilt on mitu erinevat moodust - info lugemine isikuandmete failist või vajaliku info lugemine sertifikaadist. Kliendikaardirakenduste täiendamiseks vajalik informatsioon on olemas Developer Guides, mis on saadaval siin.

    ID-kaardi isikuandmete faili lugemise näidiskood kliendikaardilahenduste arendajatele on leitav siit.

    e-teenused, Isikutuvastus ID-kaardi PIN1-koodiga

    ID-kaardiga isikutuvastuse realiseerimiseks enda e-teenuses on kaks võimalust: kasutada veebilehitsejasse sisseehitatud sertifikaadiga autentimist (TLS client certificate authentication ehk TLS-CCA) või ID-kaardiga veebis autentimise ja allkirjastamise lahendust Web eID.

    Riigi Infosüsteemi Amet soovitab e-teenustes ID-kaardiga isikutuvastuseks eelistada Web eID lahendust, kuna see muudab veebilehitsejas ID-kaardi kasutamise töökindlamaks, kasutajasõbralikumaks ning lahendab mitmeid TLS-CCA lahendusega esinevaid probleeme. Rohkem infot kuidas Web eID lahendus enda e-teenuses kasutusele võtta leiab siit.

    NB! Seoses uue usaldusteenuse osutaja (Zetes) lisandumisega tuleb e-teenustesse lisada Zetese sertifitseerimisahela tugi ning uue (Thalese) ID-kaardi sertifikaatide kehtivuse kontrollimiseks kasutada Zetese OCSP teenust.

    Zetese test-sertifitseerimisahela sertifikaadid:

    Zetes live-sertifitseerimisahela sertifikaadid on leitavad siit: https://repository.eidpki.ee/crt/

    Zetese OCSP teenuse aadressid: 

    e-teenused, mis kasutavad Web eID lahendust:

    Teenusesse tuleb lisada Web eID autentimistõendi valideerimisteegi konfiguratsiooni uued usaldatud kesktaseme sertifikaadid (CA certificates). Täpsem info vajalike muudatuste kohta on toodud peatükis "Web eID lahenduse kasutajad".

    e-teenused, mis kasutavad TLS-CCA lahendust:

    Teenuses tuleb konfigureerida uue ID1 kaardi usaldusahel ja teha vajalikud muudatused kasutaja sertifikaadi kehtivuse kontrollimiseks.

    Täpsemad juhised IIS, Nginx ja Apache veebiserveritele on leitavad siit.

    ID-kaardiga isikutuvastus Windows domeenides ja üksikutes masinates 

    Väga paljudes ettevõtetes ning asutustes on kasutusel keskselt hallatud arvutivõrgud, kus on realiseeritud kasutajate autentimine ID-kaardi abil. Enimlevinud on Windows domeeni logimine või autentimine serverisse üle RDP. Mõlemal puhul kasutatakse kasutaja tuvastamiseks ning kontoga sidumiseks kasutaja autentimise sertifikaati (kaitstud PIN1-ga).

    Kasutamiseks peab lisama Zetese juur- ja kesktaseme sertifikaadid ning sertifikaatide kehtivuse kontrollimiseks kasutama Zetese OCSP teenust.

    Täpsemad juhised Windows domeeni seadistamiseks on leitavad siit.

    Krüpteerimislahendused

    Eesti ID-kaartide autentimise sertifikaat toetab selle kasutamist ka andmete krüpteerimiseks ning dekrüpteerimiseks. DigiDoc4 ja RIA DigiDoc mobiilirakenduse kasutajatele on avalikuks tehtud Thalese kaardi krüpteerimise ja dekrüpteerimise toega tarkvara, käesolevas peatükis keskendume infosüsteemides olevatele krüpteerimislahendustele.

    Seoses uue usaldusteenuse osutaja (Zetes) lisandumisega tuleb e-teenustesse lisada Zetese LDAP teenuse tugi. Juhime tähelepanu, et krüpteerimisel tuleb isikute sertifikaate otsida mõlema usaldusteenusepakkuja LDAP teenustest.

    Zetese LDAP teenuse aadressid: 

    Zetese test-LDAP teenusesse on lisatud testisiku Jaak-Kristjan Jõeorg (isikukood 38001085718) sertifikaat ja avalik võti.

    Zetese test-LDAP teenuse näidispäring:
    ldapsearch -H ldaps://ldap-test.eidpki.ee -x -b "dc=ESTEID,c=EE,dc=eidpki,dc=ee" "serialNumber=PNOEE-38001085718"
    ldapsearch -H ldaps://ldap-test.eidpki.ee -x -b "dc=ESTEID,c=EE,dc=eidpki,dc=ee" "cn= JÕEORG,JAAK-KRISTJAN,38001085718" 

    Zetese live-LDAP teenuse näidispäring:
    ldapsearch -H ldaps://ldap.eidpki.ee -x -b "dc=ldap,dc=eidpki,dc=ee" "serialNumber=PNOEE-38001085718"
    ldapsearch -H ldaps://ldap.eidpki.ee -x -b "dc=ldap,dc=eidpki,dc=ee" "cn=JÕEORG,JAAK-KRISTJAN,38001085718"

    NB! Testida saab LDAPIst sertifikaadi küsimist. Etteantud sertifikaadile krüpteerimist/dekrüpteerimist tuleb testida eraldi. Test-LDAPis on ainult üks testisik. Infosüsteemi testija peab arvestama, et "Jaak-Kristjan Jõeorg" isikukoodi järgi sertifikaati küsides saab ühe testisiku sertifikaadi, mis tõenäoliselt ei vasta tema kasutuses olevale testkaardile ja kui seda sertifikaati kasutada krüpteerimiseks, siis dekrüpteerimine test-kaardiga pole võimalik.

    Digiallkirjastamine ID-kaardiga

    Seoses uue usaldusteenuse osutaja lisandumisega tuleb e-teenustesse lisada Zetese sertifitseerimisahela tugi ning Thalese ID-kaardi sertifikaatide kehtivuse kontrollimiseks kasutada Zetese OCSP teenust.

    Zetese test-sertifitseerimisahela sertifikaadid:

    Zetes live-sertifitseerimisahela sertifikaadid on leitavad siit: https://repository.eidpki.ee/crt/

    Zetese OCSP teenuse aadressid: 

    Riigi Infosüsteemi Ameti pakutavate teekide ja teenuste kasutajad leiavad täpsema info allolevatest peatükkidest.

    Juhime tähelepanu, et septembris toimus Thalese ID-kaartidel kiibiprofiili muudatus, mille tõttu peavad lõppkasutajad pärast uue ID-kaardi kättesaamist muutma DigiDoc rakenduses enda ID-kaardi PIN2-koodi. Enne PIN2-koodi muutmist ei ole ID-kaardiga võimalik digiallkirjastada.

    See muudatus mõjutab eelkõige neid e-teenuseid, kus ID-kaardiga digiallkirjastamiseks ei kasutata Web eID lahendust. Sellistes e-teenustes peab süsteem allkirjastamise võimaldamiseks tuvastama, kas lõppkasutaja on ID-kaardil PIN2-koodi muutnud, juhul kui PIN2-koodi muudetud ei ole siis kuvama kasutajale informatsiooni PIN2-koodi muutmise vajaduse kohta, näiteks: „ID-kaardiga allkirjastamine ei ole veel võimalik. Allkirjastamiseks tuleb PIN2-koodi muuta DigiDoc rakenduses”.

    Juhul kui muudatus mõjutab teie e-teenust siis soovitame tellida uue profiiliga testkaardi.

    Täpsem info kuidas tuvastada, kas Thalese ID-kaardil on PIN2-koodi muudetud on leitav uuendatud Thalese Developer Guidest.

    Riigi autentimisteenuse (TARA) kliendid

    Riigi autentimisteenus on Riigi Infosüsteemi Ameti teenus, mis on liidestatud kolmanda isiku pakutavate autentimismeetoditega ning teeb autentimiseks vajalikke (andme)päringuid. Rohkem infot Riigi autentimisteenuse kohta on leitav siit.

    Riigi autentimisteenuste kliendid ei pea uue ID-kaardi lisandumisega seonduvalt midagi tegema, vajalikud muudatused tegi RIA autentimisteenustes.

    Autentimisteenuste klientide kliendid, ehk lõppkasutajad (autentijad), peavad uute ID-kaartide kasutamiseks paigaldama uusima ID-tarkvara versiooni.

    Riigi SSO teenuse (GovSSO) kliendid

    Riigi SSO (single-sign-on) teenus (GovSSO) on Riigi Infosüsteemi Ameti teenus, millega asutus saab oma e-teenusesse lisada nii siseriiklike kui ka Euroopa Liidu piiriüleste autentimismeetodite toe koos seansihaldusega. Rohkem infot Riigi SSO teenuse kohta on leitav siit.

    Riigi autentimisteenuste kliendid ei pea midagi tegema, vajalikud muudatused tegi RIA autentimisteenustes.

    Autentimisteenuste klientide kliendid, ehk lõppkasutajad (autentijad), peavad uute ID-kaartide kasutamiseks paigaldama uusima ID-tarkvara versiooni.

    Riigi allkirjastamisteenuse (SiGa) kliendid 

    Riigi allkirjastamisteenus on Riigi Infosüsteemi Ameti teenus, mis võimaldab luua allkirjastatud ümbrikke. Rohkem infot Riigi allkirjastamisteenuse kohta on leitav siit.

    Riigi allkirjastamisteenuse kliendid peavad veenduma, et kasutatav ID-kaardiga allkirjastamise lahendus (Web eID kohta leiab informatsiooni vastavast peatükist) töötab ka uue Thalese kaardiga.

    SiGa tarkvara ise paigaldanud integraatoritel tuleb ala laadida uusim tarkvara versioon ning veenduda oma teenuse toimivuses. 

    Valideerimisteenus (SiVa) kliendid

    Valideerimisteenus on Riigi Infosüsteemi Ameti teenus, mis võimaldab kontrollida ajaloolisi ja vähem levinud formaatides digiallkirjastatud dokumente. Rohkem infot valideerimisteenuse kohta on leitav siit.

    Valideerimisteenuse kasutajad omalt poolt eelduslikult muudatusi tegema ei pea.

    Web eID lahenduse kasutajad

    Web eID lahendus võimaldab Eesti digitaalseid dokumente kasutada veebis turvaliseks autentimiseks ja allkirjastamiseks. Rohkem infot Web eID lahenduse kohta on leitav siit.

    E-teenuste pakkujatel, kes kasutavad Web eID lahendust, tuleb lisada Web eID autentimistõendi valideerimisteegi konfiguratsiooni uued usaldatud kesktaseme sertifikaadid (CA certificates).

    Täpsemad juhised Thalese ID-kaardi toe lisamiseks:

    DigiDoc4j integraatorid

    DigiDoc4j on Java teek digiallkirjade loomiseks ja valideerimiseks. Rohkem infot DigiDoc4j teegi kohta on leitav siit.

    Kui kasutatakse automaatset usaldusnimekirjade laadimist, siis DigiDoc4j teegi kasutajad omalt poolt eelduslikult muudatusi tegema ei pea. Soovitame siiski testida, kas kõik toimingud töötavad Thalese kaardiga ootuspäraselt.

    Juhul, kui DigiDoc4j integraatoril on kasutusel enda lahendus sertifikaatide usaldamiseks või kasutatakse erilahendust usaldusnimekirjade laadimiseks, tuleb veenduda, et uue usaldusteenuse sertifikaadid on usaldatud ja laetakse korrektselt.

    Libdigidocpp teegi kasutajad

    Libdigidocpp on C++ teek digiallkirjade loomiseks ja valideerimiseks. Rohkem infot libdigidocpp teegi kohta on leitav siit.

    Kui kasutatakse automaatset usaldusnimekirjade (trust list, TL) laadimist, siis Libdigidocpp teegi kasutajad omalt poolt eelduslikult muudatusi tegema ei pea.

    Soovitame siiski testida, kas kõik toimingud töötavad Thalese kaardiga ootuspäraselt.

  • Thalese ID-kaardi toe arendamiseks ja testimiseks soovitame tellida Thalese testkaardi. Testkaartide tellimiseks tuleb pöörduda Politsei- ja Piirivalveameti poole [email protected]

    Rohkem infot Thalese ID-kaartide testimise kohta kohta leiad siit.

  • Thales kaardi teadaolevad puudused

    • Thales pre-live ID-kaardiIe trükitud test isiku sünnikuupäev ei vasta isikufailis oleva kuupäevaga ega ole isikukoodis kodeeritud sünniaeg.

    Mida teha, kui DigiDoc4 rakenduses testkaardiga allkirjastamine ei õnnestu?

    Kui saate DigiDoc4 rakenduses testkaardiga allkirjastamisel ‘Failed to verify OCSP Responder certificate’ veateate, siis tuleb värskendada DigiDoc4 rakenduse konfiguratsiooni. Konfiguratsiooni värskendamiseks tuleb DigiDoc4 rakenduse seadete all vajutada “Kontrolli värskendusi” nupule. Kui värskenduste kontroll on lõpuni jõudnud, proovida uuesti testkaardiga allkirjastamist.

    Mida teha kui testkaart enam ei tööta?

    1. Kontrolli tarkvara ja draivereid

    • Veendu, et Sinu arvutis on paigaldatud testkaardi toega ID-tarkvara.
    • Uuenda ID-tarkvara või testkaardi draivereid.

    2. Proovi teises USB-pesas või teise kaardilugeriga

    • Ühenda kaardiluger arvuti teise USB-pessa või kasuta võimalusel teist kaardilugerit, et välistada kaardilugeri või USB-pesa rike.

    3. Kontrolli, kas kaart on üldse tuvastatav

    • Ava DigiDoc4 rakenduse minu eID vaade ning vaata, kas testkaardi sertifikaadid kuvatakse korrektselt. Kui testkaardi andmeid ei kuvata, on võimalik, et kaardi kiip või kaardiluger ei tööta õigesti.
    • Kui kaart ei ilmu tarkvara kaarditeadete/kaardiandmete vaatesse, on võimalik, et kaardi kiip või kaardiluger ei tööta õigesti.

    4. Testi teises arvutis või operatsioonisüsteemis

    • Kui vähegi võimalik, proovi testkaarti teises arvutis või teise operatsioonisüsteemiga (näiteks Windows, macOS või Linux).
    • See aitab tuvastada, kas probleem on arvuti/operatsioonisüsteemi-spetsiifiline või tõenäoliselt kaardist endast tingitud.

    5. Vaata, kas kaardi kiip on füüsiliselt kahjustatud

    • Vaata kaarti mõlemalt poolt, et tuvastada võimalikke mehhaanilisi vigastusi, näiteks kriime või paisumist kiibil või selle tagaküljel.
    • Kui kaardil on näha füüsilise kahjustuse märke, võib see olla põhjus, miks kaart ei toimi.

    Juhul kui eelnevad kontrollid ei lahenda probleemi, on kaart tõenäoliselt vigane ja tagastada täiendavaks kontrolliks.

    Enne kaardi tagastamist kirjuta üles detailselt:

    • Millised tegevused testkaardiga toimusid enne rikke avastamist (näiteks tarkvara uuendamine, kaart oli pikalt kaardilugeris jms).

    Keskkond, milles kaarti testiti:

    • Operatsioonisüsteem ja selle versioon (nt Windows 10/11, macOS 12 jne).
    • Kasutatav ID-tarkvara versioon.
    • Kaardilugeri täpne mark ja mudel.
    • Kõik muud olulised asjaolud mis kirjeldavad kaardi kasutuse situatsiooni.
    • Nende andmete põhjal saab tagatud kaartide tootja või tehniline tugi kiiremini tuvastada võimalikku rikke algpõhjust ning vajadusel anda täiendavaid juhiseid.

    Soovin anda tagasisidet, kuhu pean teada andma?

Kirjuta ID-abile
Kirjuta ID-abile