Experts luiden noodklok over certificaatplan Europese digitale identiteit

[Captain Kirk]

Tientallen cybersecurity-experts en de Amerikaanse burgerrechtenbeweging EFF hebben het Europees Parlement gewaarschuwd voor een plan van de Europese Commissie dat browsers zou verplichten om onveilige certificaten te accepteren.

Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren. Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven.

Volgens de experts en EFF zijn deze certificaten vanwege implementatiefouten nooit gemeengoed geworden en brengen ze de veiligheid van https-beveiliging in gevaar door browsers te verplichten om derde partijen die te vertrouwen die door zonder enige veiligheidsgaranties door overheden worden aangewezen. Dit zou volgens de experts de veiligheid van alle webgebruikers in gevaar brengen.

De meeste browsers hanteren strenge voorwaarden waar certificaatautoriteiten, die certificaten uitgeven gebruikt voor beveiligde verbindingen, aan moeten voldoen. Door sommige websitecertificaten bestaande beveiligingseisen te laten omzeilen, vrezen de experts dat het risico toeneemt dat er onveilige of kwaadaardige certificaten worden uitgegeven waarmee het internetverkeer van gebruikers is te onderscheppen of die naar malafide websites zijn te leiden. Daarnaast zou het onmogelijk voor de cybersecuritygemeenschap zijn om snel op dergelijke certificaten te reageren.

De experts en EFF stellen dat de bepaling van de Europese Commissie als doel heeft om de authenticatie op het web te verbeteren, maar dat het in de praktijk het tegenovergestelde effect heeft. "Door manieren te creëren om bestaande beveiligingscontroles in browsers te omzeilen, stelt de voorgestelde regelgeving gebruikers bloot aan een groter risico op aanvallen door cybercriminelen", aldus de experts in hun open brief aan het Europees Parlement (pdf). Ze roepen de parlementariërs dan ook op om het voorgestelde amendement aan te passen.

Eerder liet het Nederlandse demissionaire kabinet weten positief te zijn over de invoering van een Europese identiteit, alsmede de eisen voor browserleveranciers. "Hiermee wordt de afhankelijkheid van browsers voor gebruikers beperkt en wordt eventuele onzekerheid over de betrouwbaarheid van websites weggehaald als ze voldoen aan de Europese standaarden", aldus het kabinet.

 

bron: https://www.security.nl