Mozilla: EU-voorstel voor digitale identiteit bedreigt veiligheid van het web

[Captain Kirk]

Het voorstel van de Europese Commissie om een digitale identiteit te introduceren bedreigt de veiligheid van het web, zo stelt Mozilla, dat zich aansluit bij kritiek van de Amerikaanse burgerrechtenbeweging EFF en tientallen experts. Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren.

Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers.

Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen.

"Deze aanpassing verzwakt de veiligheid van het web door te voorkomen dat browsers hun gebruikers tegen beveiligingsrisico's kunnen beschermen, zoals identiteitsdiefstal en financiële fraude, waar zich misdragende certificaatautoriteiten hen aan kunnen blootstellen", aldus Mozilla. De browserontwikkelaar waarschuwt dat het verplichten van browsers om bepaalde certificaatautoriteiten toe te voegen een precedent voor repressieve regimes zou scheppen.

Mozilla heeft ook de open brief aan het Europees Parlement ondertekend waarin experts parlementariërs oproepen om het voorgestelde amendement aan te passen. "De brief laat zien dat de cybersecuritygemeenschap denkt dat deze maatregel een bedreiging voor de veiligheid van het web is en meer problemen creëert dan het oplost", besluit Mozilla.

 

bron: https://www.security.nl