Berta Sándor

EU - árthat a weboldal-tanúsítványok tervezett szabályozása

A szervezet egy új koncepciót akar megvalósítani, amely hátrányosan érintené a webes biztonságot.

Az Európai Bizottság tervei alapján előírnák a böngészőknek a "minősített" webes tanúsítványok előnyben részesítését - akár alacsonyabb szintű biztonsági szabványok bevonásával is. A Qualified Web Authentication Certificates (QWAC) nevű koncepció ellen a kriptográfia és az IT-biztonság területének neves képviselői tiltakoztak nyílt levélben. Az akciót a Mozilla szervezte meg. A szakemberek álláspontja alapján a weboldal-tanúsítványok szabályozása drámai mértékben gyengítené a webes biztonságot.

Az alkalmazott tanúsítványok általában tartalmazzák az adott honlaphoz tartozó doménneveket, a cégneveket és más információkat, például az üzemeltető címét. A QWAC felélesztene egy korábbi elvetett koncepciót és a böngészőfejlesztőket köteleznék arra, hogy a szoftvereik támogassák a különleges és drága EV-tanúsítványok alkalmazását. Problémát jelentene, hogy a QWAC-tanúsítványokat olyan helyek adnák ki, amelyeknek nem kellene a böngészőkben lefektetett biztonsági szabványokhoz tartaniuk magukat.

A tanúsítványokat az úgynevezett Trust Service Providerek adnák ki, amelyeket az európai uniós tagországok jelölnének ki és a böngészőfejlesztők kötelesek lennének minden ilyen szolgáltatót elfogadni. Az egyáltalán nem segíti elő az ügyben a párbeszédet és a felek megállapodását, hogy az Európai Távközlési Szabvány Intézet (ETSI) eddig minden felmerült kritikát és aggályt figyelmen kívül hagyott.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Dodo55 #3
    Az nem baj, mert akkor gyorsan belebuknak majd a hülyeségbe és végre talán szembesülnek vele, hogy mennyire fájdalmas következményekkel tud járni, ha botrányosan szakmaiatlan és visszás szabályozásokkal próbálkoznak profitorientált lobbiérdekeket lenyomni az emberek torkán, mint ahogyan azt teszik az élet annyi más területén, eddig többnyire sajnos büntetlenül.

    Viszont ebben a kérdésben végre egy igazi aknamezőre tévedtek:
    - A https visszaszorulhat ismét a banki és egyéb kritikus területekre korlátozódva, ha nem lesz olyan ingyenes lehetőség, mint pl. a Let's Encrypt.
    - A 2 piacvezető böngésző(motor) nyílt forráskódú, piaci alapon a fejlesztők oldalán nem lehet korlátozni, szabályozni, felelősségrevonni őket. Max pl. Chrome helyett Chromium-ra váltanak a felhasználók, de ez részletkérdés. Mi meg, mint a világ legmagasabb szintű haladó szabadságjogaival megáldott európai polgárok, olyan szoftvereket töltünk le és használunk, amikhez csak a fejlesztők (/forgalmazók, de ugye most OSS-ről van szó) licenszjogot biztosítanak és számunkra az jól esik.
    - Ha esetleg annyira elmenne az eszük, hogy a fentiek közül bármelyiket is megpróbálják megbolygatni (opensource fejlesztők felelőssége vagy a userek jogai a szoftverhasználat terén), azzal jelen túlterjeszkedett formájában az EU pályafutása várhatóan pillanatok leforgása alatt fejeződne be.
    Utoljára szerkesztette: Dodo55, 2022.03.04. 18:37:57
  • csulok0000 #2
    Nincs semmilyen valós technológiai vagy biztonsági cél a tervezet mögött. Csupán a nem kis volumenű összegekre hajtanak ami a tanúsítványok kiállításért "jár".
  • kvp #1
    Igazabol boven eleg lenne, ha az europai szabvanyt frissitenek az aktualis nemzetkozi biztonsagi szintre es akkor atkerulhetne Europaba a webes tanusitvanyok kiallitasa. Gyakorlatilag csak az amerikai regi nagy TSP-k melle jonne par tucat vagy par szaz europai konkurens, de nem serulne a biztonsag. A visszahivasi listakat viszont erdemes lenne frissen tartani, hogy ha kompromittalodik egy szolgaltato, akkor letilthato legyen. (ez az amerikai szolgaltatokra is igaz, ha pl. rajuk bizonyitjak, hogy kiadjak a kulcsokat az amerikai kormanyzati szerveknek)

    Gyakorlatilag igy az amerikai cegek kotelezoen europai szervereken tarolt adatait nem tudnak az amerikai szolgalatok transzparens man in the middle tamadassal lehallgatni, plusz a tanusitvanyokat is Europan belul hoznak letre es tarolnak. (btw. Kina es Oroszorszag ezt mar eleg reg meglepte)