Google hekelt certificaatplan Brussel: brengt privacy en security in gevaar

[Captain Kirk]

Een plan van Europese beleidsmakers als onderdeel van de Europese digitale identiteit brengt de privacy en security van internetgebruikers in gevaar, zo stelt Google. Het techbedrijf verstuurde eerder deze week al samen met andere organisaties en bedrijven een open brief over Artikel 45 van de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. Security.NL besteedde ook aandacht aan deze brief.

Artikel 45 verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers.

Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen.

Naast de brief waarschuwt Google nu in een aparte blogposting voor de risico's van Artikel 45. Het zou namelijk de mogelijkheid van browsers hinderen om bepaalde veiligheidsvereisten voor certificaten te handhaven, en daarmee de voortgang die de afgelopen tientallen jaren op dit front is geboekt weer terugdraaien.

"Wij en andere vorige en huidige leiders in de internationale webcommunity hebben grote zorgen over de impact van Artikel 45 op security", aldus Google. "We roepen beleidsmakers op om te luisteren naar de waarschuwingen van wetenschappers en beveiligingsexperts en dit deel van de wetgeving te herzien, in plaats van de privacy en security van internetgebruikers aan te tasten."

 

bron: https://www.security.nl