Als je bovenop de ontwikkelingen hiervan wilt zitten, laat je dan niks wijsmaken en kijk hier:

https://bugzilla.mozilla.org/show_bug.cgi?id=1408647

Was al gemeld op 30 oktober, maar onderaan een lange draad https://www.security.nl/posting/523758/Aftapwet+is+een+feit+na+stemming+in+Eerste+Kamer+onze+privacy+word+verkracht!#posting537307

Zie ook https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html.

Met systemen als CT (Certificate Transparency) en CAA (Certification Authority Authorization) wordt het lastig om valse certificaten uit te geven (detectie is niet moeilijk). Als geheime diensten daadwerkelijk valse PKI-Overheid certificaten gaan uitgeven (voor bijv. gmail.com), en dat bekend wordt, zullen browsermakers -volgens hun eigen regels- rootcertificaten uit browsers verwijderen. Ik verwacht niet dat Mozilla die stap zal nemen voordat dergelijk misbruik is aangetoond.

Zie ook onderaan https://bugzilla.mozilla.org/show_bug.cgi?id=1408647 voor de laatste details.

Goed om te horen, bedankt voor de mededeling.
Hoef ik niet alle CA’s handmatig in te trekken.
Overigens heb ik besloten al mijn Nederlandse internet abonnementen te annuleren wanneer de hackwet een feit wordt.
Ik raadt andere tegenstanders aan hetzelfde te doen.
Er zijn meer methodes zonder dat deze tenaam gesteld zijn.
We zijn pas een goede vijftien jaar echt met z’n alle bezig met het internet, en nu zit het al tot in je slaapkamer.
Dankzij het internet heb je letterlijk en figuurlijk meer privacy in detentie, en staat heel de samenleving nu al onder electronisch arrest.

Veel overdreven reacties en eigenlijk lees ik alleen maar emotie. Weinig echt goed onderbouwde statements.
Ik zie ook totaal geen noodzaak om mijn Internet verbinding op te zeggen, of anders te gaan surfen. Het is ook helemaal niet nodig. Maar klagen is altijd gemakkelijk.

Wat jij persoonlijk van mijn mening vind maakt mij niet al te gek veel uit.
Het opzeggen van internet is het enigste dat wel uitmaakt als meerdere mensen dat doen.

Zie tevens:
https://tweakers.net/nieuws/131543/politie-richtlijnen-voor-gebruik-sociale-media-door-agenten-zijn-niet-nodig.html

Emoties? Heel de politie teert daar op, want van oplossingpercentage of werkelijke handhaving kun je tegenwoordig ook niet meer spreken. Absolute overkill als je kijkt maar de gevangenisstraffen die worden opgelegd.

@ anoniem 16:21

maar het is wel vervelend als dadelijk je firefox std niet de certs van de nderelandse overheid accepteerd als je bijvoorbeeld zeg maar je belasting aangifte moet doen.

mag je emotioneel vinden, maar ik denk dat menig opa of oma ofzo van slag zal zijn.

Dat maakt het probleem alleen maar groter.
Wat je hier uit kan opmaken is dat er een discussie ontstaat tussen iemand die een principieel kritisch punt heeft en iemand die zo hard mogelijk de zaak probeert te downplayen met een mistgordijn.

Who the is die janssen?
En op wiens (extra geheime) payroll zou hij zoal staan?
In deze tijden kunnen er wel een paar bedacht worden die een meer dan aanmerkelijk belang hebben om deze discussie geheel te smoren.
En dat lijkt ook te lukken.

Maar of dat nou een garantie is voor niets laten wijsmaken?
Het omgekeerde lijkt er namelijk meer op met een voorlopig slotargument dat gebaseerd is op vertrouwen en gebrek aan voorstellingsvermogen.
Vrij absurd om vertrouwen te vragen aan degene die nou juist als pricipieel punt heeft dat er geen reden tot vertrouwen is omdat men de wet wil gaan misgebruiken.

De wet geeft de ruimte tot in nederland gelegaliseerd gebruik van gecorrumpeerde/mitm certificaten. Maar buiten nederland geldt die wiv niet en daarom zouden op zijn minst voor de buitenlandse browser die certificaten eruit moeten.

Torproject en Tails zouden zeker niet moeten afwachten op de beslissingen van basis?telemetrie mozilla.
Niet in de laatste plaats omdat een andere jansen al heeft laten zien dat met name open source projecten niet gespaard worden en ook kwetsbaar zijn en blind vertrouwen of een gebrek aan voorstellingsvermogen het er bepaald niet veiliger op maken.
https://www.burojansen.nl/bvd-aivd/dutch-secret-service-tries-to-recruit-tor-admin/

Menig bank heeft ook geen staatscertificaat en is ook veilig.
Veiliger zelfs want de beslissing van de pkiclub om allerhande onveilige android apparaten te blijven ondersteunen leidt ertoe dat nl overheidssites niet netjes een mooi groenkleurig ev trusful certificaat gebruiken.
Dat heeft iemand hier al eens uitvoerig uit de doeken gedaan met oa een vlog over dat alle nederlandse overheidssites als onveilig te beschouwen vallen.

Laat je niets wijsmaken over wat Mozilla gaat doen voor wat betreft het al of niet wantrouwen van certificaten van de Nederlandse Staat wordt er natuurlijk bedoeld.

Met bugzilla zit je bij de bron, en de uitkomst van bugzilla is bepalend.
De discussie is daar nog gaande....

"Menig bank heeft ook geen staatscertificaat en is ook veilig."

so what? als de belastingdienst.nl site die niet heeft, hebben toch heel veel mensen er last van... het gaat niet om het gras bij de buren, het gaat om je eigen tuintje waar iets ligt te rotten!

LMFAO.

Je gaat zeker ook je telefoon opzeggen, omdat op telefoongesprekken ook surveillance plaats vindt.

De wet is vervelend en ongewenst. Maar maak voor jezelf eens een risico analyse; doe jij ook maar iets op internet wat je in gevaar kan brengen, ten gevolge van deze wetgeving ? Zonee, is het opzeggen van je internet abbo niet een ''beetje'' overkill ?

Verder is het een statement dat iedereen zal ontgaan, en wat geen enkele impact zal hebben.

Hoe ga je straks zaken regelen welke enkel nog via internet lopen ?

Deze reactie laat meer zien over jouw gebrek aan kennis van de Nederlandse taal en het Nederlandse detentiesysteem dan jouw kennis met betrekking tot de 'hackwet', zoals jij dat noemt.

Je kan bijv. zelf (evt. tijdelijk) de nodige CA toevoegen aan je lijst van vertrouwde CA's, of een oudere browserversie nemen als je het wel vertrouwt. (belastingaangifte werkte dit jaar nog vanaf minimaal Firefox 31)
Of je kan aangifte doen op papier aanvragen.
Maar voorlopig is het nog maar zeer de vraag of Firefox hier ook maar iets aan gaat doen.

Weet iemand een ander land waar al dergelijk staatstoezicht aanwezig is, en waar de CA die de staat gebruikt uit de browser is gesloopt? Ik vermoed dat Firefox zich daar niets van aantrekt. Staatstoezicht wordt volgens mij gezien als een "legale" operatie.

LMFAO... Leuk om te zien dat je er nog lol in hebt. Je hebt het niet tegen een of andere puber.

Ja, mijn telefoonabonnement ga ik dan ook opzeggen.
(want zonder abonnement is het maar gissen wie een lijn bezit, als je het maar goed doet)

Heel de Nederlandse opsporingsmentaliteit is gebaseerd op afluisteren. Nederland heeft nog steeds de meeste taps ter wereld.
Als een kennis van een kennis verdacht wordt, is de kans aanzienlijk dat jij getapt wordt.

En voor welke detentie eigenlijk? Ik weet niet of je wel eens naar programma’s kijkt waar ook de uitspraak van de rechter te horen krijgt, maar die detentieperiode zijn al het massale getap niet waard.

Tevens ontwikkel ik sinds 15 jaar software dat verborgen stenografie moet waarnemen. Zodra deze wet een feit is zal ik het tegenovergestelde gaan doen. (ik ga zelf stenografie en methoden om detectie te voorkomen, vrijgeven)

Het zal mijn benieuwen hoe lang het duurt voordat je een bon krijgt omdat je geen goede anti-virus gebruikt, en dat het argumenten dat je geen anti-virus gebruikt omdat je weet waar je mee bezig bent, of dat je Linux gebruikt, van tafel worden geveegd omdat het ‘nu eenmaal wet’ is.

Of hoe lang het duurt voordat de FIOD, gevolgd door de belastingdienst en/of zorgverzekeraars zich hetzelfde recht achten voorbehouden.

@ anoniem van 14:26

Het wordt er allemaal dus niet leuker op. Hoofdprobleem voor de gehele certificaat infrastructuur is het ontbreken van enig basaal vertrouwen. Wie kunnen we nog wel en wie kunnen we niet langer meer vertrouwen?

Als men met een gekaapt certificaatje van echtheid een malware file langs 24 AV boeren kan fietsen zonder enige detectie, dan is er nogal wat mis.

Als bepaalde onderdelen van de overheid (internationale politiediensten bij voorbeeld) samenwerken met AV en bijvoorbeeld Kaspersky uitsluiten, omdat zij niet onvoorwaardelijk in de "nine-eyes" overheidstas willen zitten en wel eens iets binnen de tas willen ontdekken, dan komt het moment van het niet langer vertrouwen van sommige certificering toch wel angstig dichtbij.

Zeker als ieder volgend jaar met een beetje pech onder een sleeptapje kan komen te liggen of vermeend komt te liggen, omdat men zichzelf goed en afdoende weet te beschermen via tor, tails, whonix of extra gedecentraliseerde niet loggende VPN dienst, wordt het al vrij eng online.

Hoe ver willen we zo een overheid laten gaan in het botvieren van haar surveillance-behoefte?

De grote meute zal het wel weer niet onderkennen, noch er enige moeite mee hebben of het helemaal geen moer interesseren.

Ik vind het eigenlijk al lang "vijf over twaalf". Wie is het hier met me eens?

"Of je kan aangifte doen op papier aanvragen."

ah, weet je dat zeker? onze overheid kennende zijn dat systeem denkers en niet echt bezig met gebruiks of burger gemak. twee jaar geleden was het al een relletje met de blauwe enveloppe die weg MOEST maar dan toch weer niet enzo.

Wat staat hier nou werkelijk?

[ ø ] 'Het probleem bestaat niet/ is niet interessant want als het ontdekt wordt hebben we een probleem.'

Dat is inderdaad waar maar dat is nou juist de uitdaging waar geheime diensten etc voor staan, zorgen dat wat je doet niet ontdekt wordt.
Een totale kul redenering die een vals gevoel van veiligheid geeft en een nep garantie is.

[ ø ] 'Het wordt gecontroleerd en er wordt op toegezien dus is er geen probleem.'

Een van de zwaarste kritiekpunten is nou juist dat er gebrek aan toezicht is en dat de wet is ingevoerd voordat er solide garanties tegen misbruik zijn geformuleerd, uitgewerkt en in het leven geroepen.
De Wiv is dus van kracht gegaan per 1 september maar we hebben dus helemaal geen uitgewerkte checks and balances.

In Nederland loopt alles op rolletjes, zeker bij de aivd, mivd en politie dus daar hoeven we ons volstrekt geen zorgen over te maken en hebben er dus geen omkijken naar want er is geen risico?

De checks en balances staan natuurlijk boven de verruimde wetgeving en de intenties van betrokkenen om ook gebruik van die wet te maken.
Meneer beweert hier dus dat de check en balances gegarandeerd gaan voorkomen dat de overheid gebruik gaat maken van de nieuwe aanvalsrechten die zij zwaar bevochten heeft (in wat voor staat van zijn schrijf je zoiets op, een 'legaal' gedrogeerde?).

[ ø ] 'Ik' kan zelf (nog) geen technische en andere slimme bypassmogelijkheden verzinnen dus er is geen probleem.'

Hoe kan het zijn dat 1 iemand de boel stil probeert te leggen door een discussie slim te verschuiven naar een technische discussie?

De technische discussie is ondergeschikt aan de wettelijke discussie :

*De wet zegt dat het mag!
*De diensten hebben het voornemen het ook te gaan doen.
*En dan zegt iemand dat er niets aan de hand is omdat het volgens hem technisch organisatorisch niet haalbaar is.
*Dan zegt iemand dat er waarborgen zijn terwijl er nou juist een tekort aan waarborgen is.
*Als een overheid iets wil dat zal het linksom of rechtsom ervoor zorgen dat het haar lukt, al moet ze er hele blikken autistische amorele tunnelkijkertechneuten voor werven en opentrekken met inbegrip van de hele aivd, mivd en politie capaciteit.

Het technisch organisatorische element is volstrekt irrelevant als het wettelijk mag en men van plan is om dat middel te gaan benutten!

[ ø ] Er is geen sprake van een vertrouwensprobleem omdat er 1 techneut vindt dat op basis van bovengenoemde irrelevante argumenten wèl vertrouwen heb besloten heb dat er daarom geen reden is tot wantrouwen.

Gelijk aan 'mijn zijde want:
'Ik' vertrouw erop dat ook al is er wettelijke grond omdat te gaan doen, en wil de overheid dit daadwerkelijk gaan toepassen, er alle reden is om te vertrouwen op het feit dat mij even geen routes te binnen schieten waarop dat gerealiseerd kan worden.'

[ ø ] Anders samengevat

?O
Dat is geen discussie maar het keihard ontkennen van de bestaande werkelijkheid.

Kan 1 iemand gewoon even met wat bekende discussietactieken (trek het op een zodanig technisch level zodat de meeste lezers er niets meer van snappen) deze vergaande security implicaties voor miljoenen internetgebruikers dit gewoon even van tafel schuiven?
Omdat er meer dan een decennium aan verruiming van wetgeving is gewerkt met mogelijkheden die dus volstrekt niet uitvoerbaar zijn?

Beweert de bugmeneer dat de wet onzin is omdat ze helemaal niet uitvoerbaar is?
Een op zich interessante discussie die best gevoerd mag worden, .. maar niet in de plaats mag komen van de principiële discussie!!

Want daar hebben techneuten sowieso een handje van, een principiele discussie torpederen met een (technische) discussie op details.
Met een dergelijk gebrek aan maatschappelijke helikopterview bewijst hij al een behoorlijke dienst aan vele belanghebbenden: dat zijn niet de gebruikers van de browser.

Waarom laten we dit gebeuren?
Dat browsermakers hun verantwoordelijkheid nemen is belangrijk, de vraag is of ze dat durven en voor wiens belang ze daadwerkelijk staan : die van de overheid of die van de gebruiker?
De nieuwe wet ondermijnt met deze backdoor claim het basis vertrouwen van de burger in securitytechniek.

Protesteer desnoods met de voeten en kies voor een andere browser.
Laat je niet vrijwillig 'n----n',
ogen open!
En de virtuele ø goed op slot houden het devies!

Volgens mij: "Eerlijk gezegd, gelet op onze controles en uitbalanceringen
en de (zware) straf van browser aanbieders (Firefox, Chrome, Opera etc.) voor PKIoverheid wanneer we niet zouden uitgaan van deze controles en uitbalancering,
zie ik niet een levensvatbaar/uitvoerbaar scenario dat zou kunnen leiden tot de vertrouwenskwestie zoals door jou beschreven."

Toelichting: er gaat al een rigoreus proces aan vooraf voordat een CA default wordt opgenomen in de "CA trust store" van Firefox. Ook moet er jaarlijks een audit plaatsvinden. Voorbeeld waar wel een CA is verwijderd op grons van gebrek aan audits: https://threatpost.com/mozilla-to-remove-turkish-ca-from-firefox-trust-store/112445/
In beide gevallen vinden blijkbaar "controles en uitbalanceringen van feiten" plaats.

Er werd dus met die gegeven reactie in bugzilla dus zo ongeveer aangeduidt:
Daar komt die reactie zo'n beetje op neer.

Dat verhaal van het aapje?

Ja dat kennen we wel.
Maar dat van het vosje en de dino?
Dino zag niets, dino hoorde niets, dinovosje voelde niets?
Dat laatste moet nog blijken maar het voorschot is genomen.
Als je het niet wil zien bestaat het ook niet!

Resolution: --- ? WONTFIX
Resolution: --- ? WONTFIX

Past goed bij die mislukte campagne uit mei van ze met de jatwerk van een jaren negentig band 'puntjepuntje against the puntjenogiets'
Dat wordt weer meezingen met "Killing in the name of"
https://www.youtube.com/watch?v=QNzIKoAy2pk

Iets aanpassen aan de actualiteit:
"F you i WONTFIX what you ask me
F you i WONTFIX what you ask me"
F you i WONTFIX what you ask me"

Tja, en dan dit
"Firefox: We’re not an advertising machine"
http://www.marketing-interactive.com/features/firefox-were-not-an-advertising-machine/
En geen singing machine
Geen fixing machine
Maar een killing machine misschien wel waarbij google niet aan het kortste eind trekt.
Dat wordt de gebruiker, of mozilla zelf.
Man wat een droevenis om zich te afficieren met Rage against the machine, nog te soft voor een geiten sok daar.

We moeten dus even wachten op misbruikbewijs, want gedrukte wetten zeggen mozllah echt helemaal niets.
Het moet eerst gebeuren.
En dan moet het eerst bewezen worden en dan moet nog dit en dan nog dat, want ja, het is nogal wat om iemand te straffen voor misbruik van de regels die je zelf wel van toepassing laat zijn op anderen, dan wordt men tot over het graf nog gevolgd.

Voor niets geweest?
Nee, hele mooie actie van cris.vanpelt die heeft bloot gelegd hoe 'het zit'.
Bedankt chris!

Mogelijk heeft Google of een ander wel body, kijken wat voor verhaal er dan ineens klaar zal staan.