Berta Sándor
EU - árthat a weboldal-tanúsítványok tervezett szabályozása
A szervezet egy új koncepciót akar megvalósítani, amely hátrányosan érintené a webes biztonságot.
Az Európai Bizottság tervei alapján előírnák a böngészőknek a "minősített" webes tanúsítványok előnyben részesítését - akár alacsonyabb szintű biztonsági szabványok bevonásával is. A Qualified Web Authentication Certificates (QWAC) nevű koncepció ellen a kriptográfia és az IT-biztonság területének neves képviselői tiltakoztak nyílt levélben. Az akciót a Mozilla szervezte meg. A szakemberek álláspontja alapján a weboldal-tanúsítványok szabályozása drámai mértékben gyengítené a webes biztonságot.
Az alkalmazott tanúsítványok általában tartalmazzák az adott honlaphoz tartozó doménneveket, a cégneveket és más információkat, például az üzemeltető címét. A QWAC felélesztene egy korábbi elvetett koncepciót és a böngészőfejlesztőket köteleznék arra, hogy a szoftvereik támogassák a különleges és drága EV-tanúsítványok alkalmazását. Problémát jelentene, hogy a QWAC-tanúsítványokat olyan helyek adnák ki, amelyeknek nem kellene a böngészőkben lefektetett biztonsági szabványokhoz tartaniuk magukat.
A tanúsítványokat az úgynevezett Trust Service Providerek adnák ki, amelyeket az európai uniós tagországok jelölnének ki és a böngészőfejlesztők kötelesek lennének minden ilyen szolgáltatót elfogadni. Az egyáltalán nem segíti elő az ügyben a párbeszédet és a felek megállapodását, hogy az Európai Távközlési Szabvány Intézet (ETSI) eddig minden felmerült kritikát és aggályt figyelmen kívül hagyott.
Az Európai Bizottság tervei alapján előírnák a böngészőknek a "minősített" webes tanúsítványok előnyben részesítését - akár alacsonyabb szintű biztonsági szabványok bevonásával is. A Qualified Web Authentication Certificates (QWAC) nevű koncepció ellen a kriptográfia és az IT-biztonság területének neves képviselői tiltakoztak nyílt levélben. Az akciót a Mozilla szervezte meg. A szakemberek álláspontja alapján a weboldal-tanúsítványok szabályozása drámai mértékben gyengítené a webes biztonságot.
Az alkalmazott tanúsítványok általában tartalmazzák az adott honlaphoz tartozó doménneveket, a cégneveket és más információkat, például az üzemeltető címét. A QWAC felélesztene egy korábbi elvetett koncepciót és a böngészőfejlesztőket köteleznék arra, hogy a szoftvereik támogassák a különleges és drága EV-tanúsítványok alkalmazását. Problémát jelentene, hogy a QWAC-tanúsítványokat olyan helyek adnák ki, amelyeknek nem kellene a böngészőkben lefektetett biztonsági szabványokhoz tartaniuk magukat.
A tanúsítványokat az úgynevezett Trust Service Providerek adnák ki, amelyeket az európai uniós tagországok jelölnének ki és a böngészőfejlesztők kötelesek lennének minden ilyen szolgáltatót elfogadni. Az egyáltalán nem segíti elő az ügyben a párbeszédet és a felek megállapodását, hogy az Európai Távközlési Szabvány Intézet (ETSI) eddig minden felmerült kritikát és aggályt figyelmen kívül hagyott.