Internetbedrijven slaan alarm over certificaatplan Europese digitale identiteit

[Captain Kirk]

Verschillende internetbedrijven en organisaties, waaronder Mozilla, Mullvad, Cloudflare en de Linux Foundation, slaan alarm over het certificaatplan dat onderdeel van de Europese digitale identiteit is. Volgens de organisaties vormt het plan een gevaarlijke ingreep in een systeem dat essentieel is voor het beveiligen van het internet.

De kritiek is gericht op de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. "Oftewel een Europees raamwerk voor Digitale Identiteit", zo liet demissionair staatssecretaris Van Huffelen eind oktober weten (pdf). De verordening bevat bepalingen voor de Europese digitale identiteit. Een onderdeel van het voorstel, aangeduid als artikel 45 en 45a, verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven.

Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden.

Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. Volgens experts kan dit grote gevolgen voor de veiligheid van het web hebben en de EU werd dan ook opgeroepen om het certificaatplan te wijzigen. Ondanks steun van verschillende commissies voor het aanpassen van de tekst ging de Europese Raad toch akkoord met het omstreden certificaatplan.

"Artikelen 45 en 45a van de voorgestelde eIDAS-verordening zullen waarschijnlijk de veiligheid van het gehele internet verzwakken", aldus Bytecode Alliance, Cloudflare, DNS0.EU, Fastly, Internet Security Research Group, Linux Foundation, Mozilla, Mullvad, OpenSSF en Sigstore in een gezamenlijke verklaring (pdf). Naast de eerder genoemde risico's bestaat er ook de mogelijkheid dat gebruikers en bedrijven buiten Europa een aparte lijst van certificaatautoriteiten gaan gebruiken, zonder de extra verplichte toevoegingen van de EU.

"Dit beperkt de veiligheidsgevolgen van deze aanpassingen tot alleen Europese burgers, maar kan ook tot een gefragmenteerd web leiden waar sommige sites buiten Europa niet toegankelijk zijn", zo waarschuwen de organisaties. Die verzoeken het Europees Parlement en de lidstaten niet met de twee artikelen akkoord te gaan. Vermoedelijk zal er eind november of begin december over het voorstel worden gestemd.

 

bron: https://www.security.nl