image

Mozilla: EU-voorstel voor digitale identiteit bedreigt veiligheid van het web

vrijdag 4 maart 2022, 11:28 door Redactie, 12 reacties

Het voorstel van de Europese Commissie om een digitale identiteit te introduceren bedreigt de veiligheid van het web, zo stelt Mozilla, dat zich aansluit bij kritiek van de Amerikaanse burgerrechtenbeweging EFF en tientallen experts. Vorig jaar kwam de Europese Commissie met een plan voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren.

Als onderdeel van het voorstel worden browserleveranciers verplicht om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers.

Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen.

"Deze aanpassing verzwakt de veiligheid van het web door te voorkomen dat browsers hun gebruikers tegen beveiligingsrisico's kunnen beschermen, zoals identiteitsdiefstal en financiële fraude, waar zich misdragende certificaatautoriteiten hen aan kunnen blootstellen", aldus Mozilla. De browserontwikkelaar waarschuwt dat het verplichten van browsers om bepaalde certificaatautoriteiten toe te voegen een precedent voor repressieve regimes zou scheppen.

Mozilla heeft ook de open brief aan het Europees Parlement ondertekend waarin experts parlementariërs oproepen om het voorgestelde amendement aan te passen. "De brief laat zien dat de cybersecuritygemeenschap denkt dat deze maatregel een bedreiging voor de veiligheid van het web is en meer problemen creëert dan het oplost", besluit Mozilla.

Reacties (12)
04-03-2022, 13:09 door Anoniem
Waar Mozilla en de security-expert aan voorbij gaan is m.i. dat de EU en haar comissies waarschijnlijk heel goed weten dat dit nadelige consequenties heeft voor de veiligheid.
Wil de EU de veiligheid bieden aan 'dwarsdenkers', 'wappies' en geluiden die tegen de mening zo niet ideologie van de EU ingaan?

Hiermee kun je goed MiTM mogelijkheden inzetten om internetgebruikers te ontmaskeren, inlogdata en inhoudelijke berichten aftappen, specifieke gebruikers blokkeren, etc..
Zeker in combinatie de in opbouw zijnde dns-servers van de EU, waarmee de EU actief 'fake news' zegt te willen gaan bestrijden.

Waarschijnlijk gaat de ID2020 gekoppeld worden aan het BSN/belastingnummer van EU ingezetenen, welke gelinkt gaat worden aan het inentingsregister waar de WHO zich voor inzet.

Afgelopen 1 maart heeft de WHO overleg gevoerd voor een nieuwe contract waarin ze vergaande bevoegheden krijgen waar ze uiterlijk 2024 een volledige landoverstijgende zeggenschap krijgt en nationalewetgeving van de landen overruled en er geen vetorecht geldt. De WHO gaat dan definieren wanneer er een pandemie is, of burgers worden gevaccineerd en dat is geen beslissing meer van nationale weggeving. Verder heeft het WTO zich ook uitgesproken tegen 'fake news' en we weten inmiddels wat dat betekent: alles wat niet exact overeenstemt met de lijn van WHO is fake news, ongeacht je kwalificaties, professie of ervaring. Daarmee krijgt een ondemocratische NGO de zeggenschap over de lichamelijke integriteit van de ingezetenen binnen de EU.

Je kunt je de vraag stellen of de WHO fouten 'kan' maken; bij Ebola in 2015 schrijft Geert Van den Bossche daarover in het volgende artikel:

Linknaam: Geert Vanden Bossche geeft tegendraadse jongeren advies over de coronacrisis | Het einde van de Muppet show is nabij, en dat is goed nieuws | Voice for Science and Solidarity

URL: https://www.voiceforscienceandsolidarity.org/scientific-blog/geert-vanden-bossche-geeft-tegendraadse-jongeren-advies-over-de-coronacrisis-het-einde-van-de-muppet-show-is-nabij-en-dat-is-goed-nieuws


Met betrekking tot de ontwikkelingen van ID2020 en WHO:


Linknaam: WHO beauftragt länderübergreifenden digitalen Impfpass

URL: https://reitschuster.de/post/who-beauftragt-laenderuebergreifenden-digitalen-impfpass/

Titel: WHO will mit Pandemievertrag Verfassungen der Mitgliedsländer ausschalten

Koppeling: https://tkp.at/2022/02/21/who-will-mit-pandemievertrag-verfassungen-der-mitgliedslaender-ausschalten/

Titel: Internationaler Pandemievertrag: Geht es um viel mehr?

Koppeling: https://www.achgut.com/artikel/internationaler_pandemievertrag_geht_es_um_viel_mehr_
04-03-2022, 14:55 door Anoniem
Waar Mozilla en de security-expert aan voorbij gaan is m.i. dat de EU en haar comissies waarschijnlijk heel goed weten dat dit nadelige consequenties heeft voor de veiligheid.
Wil de EU de veiligheid bieden aan 'dwarsdenkers', 'wappies' en geluiden die tegen de mening zo niet ideologie van de EU ingaan?
Het gaat nog veel verder: ook uw bankrekening raadplegen en transacties uitvoeren komt dan bij de EU terecht. Zelf accepteer ik geen enkele vorm van MitM van wie dan ook. Een verkapte vorm van spionage die subiet en ASAP de vullesbak in moet!
04-03-2022, 15:10 door Anoniem
Door Anoniem:
Hiermee kun je goed MiTM mogelijkheden inzetten om internetgebruikers te ontmaskeren, inlogdata en inhoudelijke berichten aftappen, specifieke gebruikers blokkeren, etc..
Zeker in combinatie de in opbouw zijnde dns-servers van de EU, waarmee de EU actief 'fake news' zegt te willen gaan bestrijden.

Dit is helemaal niet waar.
Je kan alleen maar een MiTM opzetten als je uit een CA eenzelfde/vergelijkbaar certificaat kan halen. Zie de geschiedenis van DigiNotar: IRAN die heeft ingebroken bij DigiNotar en uit een DigiNotar CA een google certificaat heeft gemaakt/gehaald. eIDAS is niets anders dan een wet waarin de voorwaarden staan voor vertrouwensdiensten en dat die binnen de EU moet worden erkend. Daarmee heeft de EU noch de lidstaten iets te zeggen over de vertrouwensdiensten zelf. Dus de overheden kunnen géén MiTM opzetten vanuit de eIDAS noch vanuit de verplichting dat tech reuzen de EU Trust list moeten ondersteunen.

Juist de opzet van de eIDAS en de verplichting dat Browsers goedgekeurde vertrouwensdiensten moeten supporten is de beste garantie tegen een MiTM. Als nog alleen die weinige techreuzen certificaten leveren, dan kunnen juist de techreuzen de MiTM maken.

Door Anoniem:Waarschijnlijk gaat de ID2020 gekoppeld worden aan het BSN/belastingnummer van EU ingezetenen, welke gelinkt gaat worden aan het inentingsregister waar de WHO zich voor inzet.

Afgelopen 1 maart heeft de WHO overleg gevoerd voor een nieuwe contract waarin ze vergaande bevoegheden krijgen waar ze uiterlijk 2024 een volledige landoverstijgende zeggenschap krijgt en nationalewetgeving van de landen overruled en er geen vetorecht geldt. De WHO gaat dan definieren wanneer er een pandemie is, of burgers worden gevaccineerd en dat is geen beslissing meer van nationale weggeving. Verder heeft het WTO zich ook uitgesproken tegen 'fake news' en we weten inmiddels wat dat betekent: alles wat niet exact overeenstemt met de lijn van WHO is fake news, ongeacht je kwalificaties, professie of ervaring. Daarmee krijgt een ondemocratische NGO de zeggenschap over de lichamelijke integriteit van de ingezetenen binnen de EU.

Je kunt je de vraag stellen of de WHO fouten 'kan' maken; bij Ebola in 2015 schrijft Geert Van den Bossche daarover in het volgende artikel:

Linknaam: Geert Vanden Bossche geeft tegendraadse jongeren advies over de coronacrisis | Het einde van de Muppet show is nabij, en dat is goed nieuws | Voice for Science and Solidarity

URL: https://www.voiceforscienceandsolidarity.org/scientific-blog/geert-vanden-bossche-geeft-tegendraadse-jongeren-advies-over-de-coronacrisis-het-einde-van-de-muppet-show-is-nabij-en-dat-is-goed-nieuws


Met betrekking tot de ontwikkelingen van ID2020 en WHO:


Linknaam: WHO beauftragt länderübergreifenden digitalen Impfpass

URL: https://reitschuster.de/post/who-beauftragt-laenderuebergreifenden-digitalen-impfpass/

Titel: WHO will mit Pandemievertrag Verfassungen der Mitgliedsländer ausschalten

Koppeling: https://tkp.at/2022/02/21/who-will-mit-pandemievertrag-verfassungen-der-mitgliedslaender-ausschalten/

Titel: Internationaler Pandemievertrag: Geht es um viel mehr?

Koppeling: https://www.achgut.com/artikel/internationaler_pandemievertrag_geht_es_um_viel_mehr_

Het hier bovenstaande heeft helemaal, niets te maken met het voorstel uit de EU. Die gaat alleen maar over erkenning van digitale identiteiten. Daarmee zeg ik niet dat bovenstaande niet waar zou kunnen zijn. Ik weet het niet. Ik ga het niet onderzoeken. Ik heb het druk zat met mijn vakgebied.

Wat de EU doet is het goede om te doen. Zie ook mijn bijdrage van gisteren op het artikel van gisteren. Zal hieronder dezefde reactie plaatsen.
04-03-2022, 15:31 door Anoniem
Ik werk in deze business.
helaas kan ik hier niet mijn jaren ervaring op dit gebied documenteren.
Ik weet wat er gaande is.
Ik weet wat de macht is van de browser partijen.
Ik weet hoe die wordt gebruikt.
Ik ken de regelgeving van de browsers (CABForum en van de specifieke browsers)
Ik ken de regelgeving van eIDAS en de onderliggende normenkaders (ETSI EN 319 401; 319 411-1, 319 411-2, 319 403 auditnormering, ETSI TS 419 261 trustworthy systems, ETSI TS 419 221 over qualified signature creation devices, etc etc).

Ik durf het aan te stellen dat de Europese standaarden veel beter (strenger, explicieter, controleerbaarder, te handhaven) dan die van de browsers. De eisen overlappen elkaar voor het grootste gedeelte. De bedoelingen zijn grotendeel hetzelfde. De onderliggende regels ook. Nogmaals: die van Europa zijn veel beter uitgewerkt.

Daarnaast is de gehele governance vanuit eIDAS heel expliciet in de wet geregeld. Ook hoe met risico's wordt omgegaan, hoe met audits wordt omgegaan, waar wanneer welke aansprakelijkheid ligt, etc, etc.
En dan zeg ik: als Europese wettelijk ingestelde instituties verklaren dat een CA betrouwbaar is, wie is een willekeurige browser dan om het tegendeel te beweren en/of de praktische doorwerking te blokkeren.

Er is dus geen enkele reden om de EU Trust List niet als erkend op te dragen aan tech bedrijven die in Europa zaken willen doen. De browsers zouden juist dankbaar moeten zijn dat in Europa in ieder geval ook de aansprakelijkheid is geregeld.

Additioneel tov gisteren.
Inderdaad hebben browserpartijen met het voorstel geen bevoegd meer om een vertrouwensdienst uit hun trust stores te halen. En dat is juist goed.
1. de eisen die browserpartijen stellen zijn niet eenduidig. Dus de combinatie van eisen van de verschillende browserpartijen verzwaren de eisen voor de vertrouwensdiensten. Dat zou prima zijn als die verschillen in eisen veiligheid verbeteren en rechtszekerheid verbeteren. Dat doen ze niet. Soms (afhankelijk van individueel veranderende interpretaties) zijn eisen zelfs strijdig met elkaar.
2. Ook kritische infrastructuren (van overheden, van organisaties, van bedrijven) zijn afhankelijk de betreffende certificaten. Browser partijen hebben aantoonbaar geen enkele interesse voor de belangen die de kritieke infrastructuren ondersteunen. Daarmee zijn de browsers spreekwoordelijk de partijen geworden die de stopknop hebben van de F35 die Nederland heeft gekocht. Het gaat hier niet om een falende vertrouwensdienst te straffen, het gaat hier om de belangen van alle bovenliggende diensten (gezondheidszorg, waterkeringen, belastingdiensten, inklaringen, vergunningen, etc, etc, etc).
3. Het zijn juist de Europese toezichthouders die een vertrouwensdienst kunnen sluiten. Juist de Europese toezichthouders kunnen ingrijpen zonder de gevolgen van een digitale nucleaire bom. Toezichthouders zullen ingrijpen als er iets mis is. Daarom krijgen de toezichthouders ook alle auditrapportages (incl alle details). En als een vertrouwensdienst moet worden gesloten, dan kan dat zodanig dat de bovenliggende belangen kunnen worden beschermd. Hoe de toezichthouders dat doen, dat is afhankelijk van de mate van overtreding en de mate van bovenliggend belang. Juist dit ook geeft vertrouwen dat niet een of andere techreus aan de overkant van de plas om een of andere techdetail kritieke dienstverlening uit zet.
4. Tot slot wil ik wijzen op de belegging van aansprakelijkheid. Die is bij techreuzen niet geregeld (zij mogen alles, de rest mag alleen maar luisteren). In e eIDAS is aansprakelijkheid voor alle partijen uitgewerkt. Dat betekent dat schade ook wordt verhaald op de partij die de schade heeft veroorzaakt. Daar zijn natuurlijk rechters voor. Juist die belegging van aansprakelijkheid helpt elke partij in rechtszekerheid. Ook als het gaat over privacy.

Nog even een verdachtmaking van mijn kant richting browsers
Welk belang zou men kunnen hebben?
Bedenk dat met het gebruik van certificaten ook een validatieslag wordt gemaakt. Rechtsom of linksom.
Start anekdote: Bij aanvang van de eIDAS evaluatie vroeg een Europeaan dat het wellicht interessant is om één centrale validatiedienst te maken. Ik heb gevraagd of ik die dienst dan mag opzetten. Dat wilde ik graag gratis doen als ik alle gegevens daarin maar voor eigen doeleinden zou mogen gebruiken. Toen werd het stil in de zaal. Einde anekdote.
Wellicht zien de browserpartijen een belang om de centrale spil te worden in digitale identiteiten. Daarmee hebben zij een technische reden gevonden om de AVG te omzeilen (of een omweg). Gezien de winstmarges bij browsers zijn de reclame belangen er groot genoeg voor.

Wat Europa doet is juist goed. Is zelfs noodzakelijk.
04-03-2022, 16:59 door Anoniem
In Iran wilde ze ook zoiets. Het" halal internet" noemde zij het. "Halal" betekent eigenlijk "toegestaan", dus exact hetzelfde principe. Geen goed idee.
04-03-2022, 17:24 door Anoniem
Ach gebruik een browser alleen hiervoor en surf met een andere browser (waar je de bewuste certs delete).
05-03-2022, 21:41 door johanw
Dat wordt dan weer een speciale US versie van de browser downloaden, net zoals in de jaren 90 toen de US versie sterke encryptie had en de international versie niet.
06-03-2022, 01:48 door Anoniem
En toch gaat men door op de ingeslagen weg. Weg met het eens enigszins vrije Interwebz.
07-03-2022, 08:16 door Anoniem
Door Anoniem: In Iran wilde ze ook zoiets. Het" halal internet" noemde zij het. "Halal" betekent eigenlijk "toegestaan", dus exact hetzelfde principe. Geen goed idee.

Nee hoor, iets heel anders als je je er goed in had verdiept. In Iran betekende dat een Internet dat voldoet aan de vereisten van de Koran. Wat je kan verwachten bij een Theocratie. De EU heeft geenzins dergelijke plannen. Wat men wel van plan is? Dat vindt je onder het kopje 'Digital Finance Package'. Wat een goed initiatief is, waarvan mede ook een verdere privacybescherming onderdeel uit maakt.
07-03-2022, 15:05 door Anoniem
AAN: 04-03-2022, 15:10 door Anoniem


Dit is helemaal niet waar.
Je kan alleen maar een MiTM opzetten als je uit een CA eenzelfde/vergelijkbaar certificaat kan halen. Zie de geschiedenis van DigiNotar: IRAN die heeft ingebroken bij DigiNotar en uit een DigiNotar CA een google certificaat heeft gemaakt/gehaald.

Iran moest inbreken bij een (Intermediate) Certificaat Autoriteit ((I)CA) omdat zij zelf geen (I)CA is binnen de grote webbrowsers. Een (I)CA of onderliggende vertrouwde schakel kan een certificaat uitgeven voor ieder domein. Dat is nou juist de rol die de EU wil afdwingen en de vraag is of die rol hen is toevertrouwd.

Dat de vertrouwensrol van de huidige CA of ICA entiteiten bij SSL/TLS certificaten zwak is, dat zien we aan allerhande pleisters:
- HTTP Public Key Pinning (HPKP)
Zie: https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
- Certificate Authority Authorization (CAA)
Zie: https://cybersins.com/certificate-authority-restrict-with-caa-dns-record/#caa-record-syntax-format
- Etc..

Wat mij betreft geldt dat echter voor het gehele internet; bouw daar vooral geen kritische diensten van een samenleving op!

Zeker als je let op het feit dat de EU eigen DNS servers wil gaan opzetten in een combinatie van publiek en private samenwerking (waar ze ook actief als doel hanteren om tegen 'nep nieuws' op te treden. Tsja, wie kan daar nou tegen zijn? Nou, wie definieert wat wel of niet nep nieuws is... Dat beoordeel ik liever zelf).
Daarmee wordt het omzeilen van CAA wel een stuk eenvoudiger om een MiTM aanval uit te voeren tegen specifieke domeinen of burgers.

Waarom ik over vaccinatie schrijf is omdat het Europese digitale identiteit daarin ook een rol gaat spelen. Samen met je bankgegevens, leningen, medisch dossier, etc.. Dit wordt op het moment allemaal opgezet met EBSI (European Blockchain Services Infrastructure ) en eIDAS (electronic IDentification, Authentication and trust Services), ID2020.


VRAGEN:

1. Onderbouw je claim waarom een MiTM door de EU niet mogelijk is als ze de rol van (I)CA krijgen binnen de grote webbrowsers en beperkt het antwoord tot concreet (technisch) deze vraag.

2. Wordt jij overigens betaald voor het schrijven van reacties of bijsturen van discussies? Je geeft heel veel details maar deze gaan voorbij aan
07-03-2022, 17:21 door Anoniem
Door Anoniem: AAN: 04-03-2022, 15:10 door Anoniem


Dit is helemaal niet waar.
Je kan alleen maar een MiTM opzetten als je uit een CA eenzelfde/vergelijkbaar certificaat kan halen. Zie de geschiedenis van DigiNotar: IRAN die heeft ingebroken bij DigiNotar en uit een DigiNotar CA een google certificaat heeft gemaakt/gehaald.

Iran moest inbreken bij een (Intermediate) Certificaat Autoriteit ((I)CA) omdat zij zelf geen (I)CA is binnen de grote webbrowsers. Een (I)CA of onderliggende vertrouwde schakel kan een certificaat uitgeven voor ieder domein. Dat is nou juist de rol die de EU wil afdwingen en de vraag is of die rol hen is toevertrouwd.

Dat de vertrouwensrol van de huidige CA of ICA entiteiten bij SSL/TLS certificaten zwak is, dat zien we aan allerhande pleisters:
- HTTP Public Key Pinning (HPKP)
Zie: https://www.digicert.com/blog/certificate-pinning-what-is-certificate-pinning
- Certificate Authority Authorization (CAA)
Zie: https://cybersins.com/certificate-authority-restrict-with-caa-dns-record/#caa-record-syntax-format
- Etc..

Wat mij betreft geldt dat echter voor het gehele internet; bouw daar vooral geen kritische diensten van een samenleving op!

Zeker als je let op het feit dat de EU eigen DNS servers wil gaan opzetten in een combinatie van publiek en private samenwerking (waar ze ook actief als doel hanteren om tegen 'nep nieuws' op te treden. Tsja, wie kan daar nou tegen zijn? Nou, wie definieert wat wel of niet nep nieuws is... Dat beoordeel ik liever zelf).
Daarmee wordt het omzeilen van CAA wel een stuk eenvoudiger om een MiTM aanval uit te voeren tegen specifieke domeinen of burgers.

Waarom ik over vaccinatie schrijf is omdat het Europese digitale identiteit daarin ook een rol gaat spelen. Samen met je bankgegevens, leningen, medisch dossier, etc.. Dit wordt op het moment allemaal opgezet met EBSI (European Blockchain Services Infrastructure ) en eIDAS (electronic IDentification, Authentication and trust Services), ID2020.


VRAGEN:

1. Onderbouw je claim waarom een MiTM door de EU niet mogelijk is als ze de rol van (I)CA krijgen binnen de grote webbrowsers en beperkt het antwoord tot concreet (technisch) deze vraag.

2. Wordt jij overigens betaald voor het schrijven van reacties of bijsturen van discussies? Je geeft heel veel details maar deze gaan voorbij aan

Antwoord op vraag 2.
Helaas krijg ik hiervoor niet betaald. Ik zou dat ook niet willen. Ik hecht aan mijn integriteit. Onder het motto : als alles van mij in de krant komt, dan wil ik me niet moeten schamen.
Ik werk in dit vakgebied.
Het artikel gaat over zorgen bij bepaalde security experts en bij Mozilla over plannen van de EU. Ik reageer eigenlijk alleen maar op de Fear, Uncertainty en Doubt die dat creeert.
Misschien kan je deze vraag nog afmaken.

Antwoord op vraag 1.
- De EU maakt helemaal geen (Intermediate) Certificate Authority. Als je geen (I)CA hebt, dan kan je ook geen valse certificaten maken.
- De EU verplicht alleen maar de decentrale meestal private Europese CA's door de browsers te laten erkennen. Feitelijk het opdragen dat de EU Trust List onverkort wordt opgenomen in de trust stores van de browsers (en andere tech bedrijven).

Is dit kort genoeg?

Ik heb nog wel wat te zeggen op enkele opmerkingen

jouw eerste alinea:
- Iran heeft inderdaad gedaan wat jij zegt.
- De EU zal geen (I)CA maken.

Alinea over gebruik internet voor kritische diensten. Ik ben het met je eens. Ondertussen gebeurt het toch.
Aan de andere kant: wanneer wordt je van gewone dienst een kritische dienst. Met welke aantal klanten wordt een bankesite kritisch? En wat te doen als die status wordt bereikt. Onderscheid is moeilijk te maken.

Alinea over DNS servers. Natuurlijk moet je zelf kunnen kiezen. Dat vind ik ook. Je kan altijd de DNS kizen die je zelf wilt. In ieder geval is een MiTM door het in artikel becommentarieerde voorstel niet mogelijk.

Jouw laatste alinea. Ook ik zie dat vele diensten in ontwikkeling zijn. Daarom juist wil ik zelf kunnen kiezen waar ik de door mij noodzakelijke digitale identiteit kan kopen (die moet dan wel doorwerking hebben in de browsers). Ik wil niet alléén maar zo'n ding kunnen kopen bij een Amerikaanse techreus.
14-03-2022, 12:42 door Anoniem

- De EU maakt helemaal geen (Intermediate) Certificate Authority. Als je geen (I)CA hebt, dan kan je ook geen valse certificaten maken.
- De EU verplicht alleen maar de decentrale meestal private Europese CA's door de browsers te laten erkennen. Feitelijk het opdragen dat de EU Trust List onverkort wordt opgenomen in de trust stores van de browsers (en andere tech bedrijven).

Ik bedoel(de) niet dat de EU de (I)CA wordt in letterlijke zin, maar in/binnen de invloedsfeer van de EU. Net als dat de EU DNS servers wil opzetten: dat doen ze niet letterlijk zelf, maar gefinancieerd naar private partijen en daarmee komt het binnen de invloedsfeer van de EU en dat staat (op termijn ) nooit op zichzelf en heeft m.i. op voorhand al een bedoeling gelet op het totaalbeeld aan de elementen die ik eerder schreef.

Eerst beschikbaar maken, daarna functioneel sturen en vervolgens afdwingen is mijn verwachting. Met andere woorden: Het gaat de EU niet zozeer om minder afhankelijk te zijn van de USA of haar bedrijven, want binnen de EU geldt nog altijd haar wegeving die ze zelf definiëren en waar private partijen uit de USA zich naar hebben te voegen.


.... verplicht alleen maar de decentrale meestal private Europese CA's door de browsers te laten erkennen.

Je gaat steeds 'net' om het punt heen waar ik op wijs en waar de beveiligingsspecialisten en Mozilla voor vrezen:
de EU wil graag (I)CA invloud uitoefenen waardoor op termijn (in)direct een MiTM uitgevoerd kan worden (niet door de EU in letterlijke zin, maar via private partners/partijen) tegen kritische groepen of geluiden.

Late we dus niet aan letterknechterij doen in deze discussie. Feiten zijn feiten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.