De EU wil gewoon root certificaten kunnen toevoegen zodat ze MItM kunnen spelen. Dat willen ze al jaren en dit is blijkbaar de weg.

Het is natuurlijk niet zo heel spannend om het 'standaard' in de browser te stoppen en er gelijk ff bij te vertellen hoe je bepaalde CAs verwijdert. Net zoals dat nu ook al gebeurt.

En natuurlijk is het kabinet positief. Die willen OOK mee kijken en zijn anti-privacy. Elke keer weer :(.

Ik wordt echt strontziek van de EU en dit kabinet. Echt werkelijk ranzig en dan nog durven te zeggen dat je in een democratie leeft. Definitie van democratie is voor het kabinet anders dan zij ons voorschotelen.

Dat kan de Nederlandse overheid al. Elke browser heeft al een "Staat der Nederlanden" root certificaat net zoals China dat kan met de "China Financial Certification Authority". Voordeel van de EU wetgeving is dat ze er niet uit mogen worden gegooid als ze betrapt worden op een MITM. Nu moet de overheid het nog stiekem doen.

Toch kiezen wij democratisch deze lieden in de kamers en daardoor in de regering. Dus wie zijn de sukkels? WIJ doen het zelf!

Er is niks mis met het opstellen van extra eisen aan certificaat autoriteiten. Echter moet de overheid niet gaan bepalen welke security beslissingen eindgebruikers MOETEN nemen. Dat is wel wat er gebeurd zodra deze lijst van CA's verplicht wordt voor webbrowsers. Het is erg zorgelijk dat het kabinet hier geen probleem in zien.

Heeft TOR het zelfde probleem dan?

Als ceritifcaten onbetrouwbaarder worden, dan is het tijd om met een alternatief te komen. Niet doormodderen met een systeem dat manipuleerbaar is door overheden, big business of criminelen. (probeer de verschillen maar te vinden)

Misschien een nieuwe (decentrale?) oplossing die niet of zeer moeilijk manipuleerbaar is voor iedereen!

Dan kan TOR wel eens veel meer gebruikt gaan worden. Als je Von der Leyen de hele tijd je schouder mee kijkt.

Ook daar zijn twijfels over. Zeker nadat de regering in bijna dezelfde hoedanigheid 3 keer is gereincarneerd terwijl de niet mainstream media exit polls rn gewone peilingen heel wat anders lieten zien..

Thank you for your vote for Mitt Romney

Er is een alternatief: TLSA zie RFC6698

Je lijkt Trump wel! Als de uitslag niet naar jouw zin is, moet er wel gerommeld zijn. Kom met bewijzen, anders zijn het niet anders dan een onderbuikgevoelens.

Goh, is Mozilla geen Amerikaans bedrijf?

Nee, die Amerikaanse bedrijven hebben liever geen Europese inmenging en regeltjes.
Lastig is dat, moet je behalve in Washington ook nog lobbyen in Brussel.

Zolang het stemproces analoog is kan in NL iedereen ZELF het stemproces controleren. Kwalificatie eisen zijn gelijk aan het niveau basis school groep 6.
Dus als @anoniem je het stemproces niet vertrouwd waarom niet controleren.. Het MAG, graag zelfs.

Je kunt wel stemmen maar je hebt maar beperkt invloed op wat er uiteindelijk gebeurt. Ken jij alle partijprogramma's? Want dan pas kun je een weloverwogen keuze maken. En dan nog, een politicus kan het één zeggen en het andere doen. Uiteindelijk gebeurt er van alles waar je nooit voor gestemd hebt.

Overigens je kan het NL overheidscertificaat ook gewoon uit de certificate store halen. Net als die andere landelijke CA's zoals b.v. Turkiye etc.

Hetgeen het kabinet stelt is ook waar. Het is maar hoe je hier naar kijkt en waar je het accent legt. Ik ben benieuwd of er een compromis uit komt om biijvoorbeeld functionaliteit toe te voegen om een gebruiker deze certificaten eventueel 'uit te schakelen'. Iets wat momenteel ook wel kan, maar voor de meeste gebruikers niet echt makkelijk is om uit te voeren.

Partijprogramma's zijn de beloftes, het stemgedrag is realisatie van die beloftes.
Doen ze ook waar ze zeggen voor te staan.
Beide zou je eigenlijk mee moeten laten wegen bij het uitbrengen van je eigen stem.
Verder kun je politici / partijen ook aanspreken op hun beloften en stemgedrag.
Laat ze maar bewijzen dat ze je stem graag willen hebben.

De kiezer is zeker de sukkel. De meesten stemmen elke keer op dezelfde partij/persoon, het eindresultaat komt dus door de minderheid die zweeft. Bijna niemand leest de partijprogramma's en mensen luisteren alleen naar de schreeuwende standpunten.

Als je echt kijkt is uiterst rechts (kapitalisme) en uiterst links (communisme) slecht voor de privacy, beide willen totale controle.
Zoals gewoonlijk ligt het ergens in het midden (socialisme) waar je meer privacy geniet en iedereen een beetje zichzelf mag zijn.

Amerikanen, geen probleem. Als een Chinese Russische of Iraanse organisatie zich met ons zou bemoeien was het echt een probleem. Amerikanen hebben nou eenmaal goede bedoelingen en bespioneren ons echt niet met al hun bedrijven. k-UUUUCH.

Als een partij voor de EU is dan weet je al dat hun eigen partijprogramma verder irrelevant is. Alles is immers ondergeschikt aan de EU, en de directieven van de EU worden vroeg of laat altijd uitgevoerd.
En die worden bepalend op steeds meer vlakken. Soms denkt men even voordeel van de EU te hebben, bijvoorbeeld omdat er een of andere subsidie is of een of andere handige vorm van handel gefaciliteerd wordt, maar uiteindelijk krijg je altijd de deksel op de neus omdat er aan die subsidie een wespennest van normen, maatregelen en handhaving gekoppeld blijkt te zijn.
Kijk maar hoe we in die "stikstofcrisis" gerold zijn. Leek even leuk om allerlei natuurgebieden te definieren en daar geld voor te vangen om die in stand te houden, maar nu zijn we ineens verplicht om andere activiteiten daarvoor te staken. De voordelen die de pro-EU partijen ons voorhielden zijn allang omgeslagen naar grote nadelen, maar nu kunnen we niet meer terug.
Verder kun je in een indirecte democratie met meerpartijen stelsen nooit met je stemgedrag invloed uitoefenen op beleid. In een tweepartijen systeem kan dat nog enigszins, maar met de 16 partijen die we hier in de kamer hebben niet. Het systeem heeft zichzelf kapot gemaakt, en dat verandert niet omdat het systeem daar zelf belang bij heeft.

Nogal wiedes. Als er 10 miljoen mensen gaan stemmen is de invloed van één iemand die zijn stem uitbrengt maar 1 tienmiljoenste van het eindresultaat. Dat is een piep- en piepkleine invloed. En iets anders zou niet democratisch zijn, want als jij meer invloed krijgt dan je aandeel neem je daarmee invloed bij anderen weg. Democratie is iets anders dan dat jij persoonlijk je zin krijgt, of de groep gelijkgezinden waar jij toe behoort. Je hebt ook met al die andere mensen en al die andere opvattingen te maken.
Ze zijn beschikbaar, dus als je de energie erin wilt steken om ze te lezen en te vergelijken heb je de gelegenheid om dat te doen. En voor wie dat niet wil zijn er verschillende kieswijzers die je helpen met minder moeite een idee te krijgen van welke partij bij je past. En als je besluit om je stem helemaal niet op informatie te baseren maar om op je gevoel af te gaan dan mag dat ook. Da's nog steeds democratisch, want de stem die jij op welke grond dan ook uitbrengt is nog steeds de stem die jij uitbrengt, en die wordt geteld. Hoe goed je je voorbereid en hoe doordacht je stem is is aan jou zelf.

We hebben proportionele vertegenwoordiging in Nederland, en geen districtenstelsel waarin maar twee partijen overblijven die groot genoeg zijn om nog invloed te hebben. Wat mij betreft is dat maar goed ook, in zo'n districtenstelsel is het onvermijdelijk dat soms de partij die niet de meeste stemmen heeft gekregen toch de grootste wordt in het parlement. Dat, samen met het wegfilteren in de districten van partijen die ook stemmen hebben gekregen, leidt tot een vorm van vertegenwoordiging die ik niet democratisch meer vind.

Dat wil niet zeggen dat ons stelsel geen fouten bevat, die zijn er wel degelijk. Bij ons is de regering niet alleen maar uitvoerende macht, ze maken ook wetten. De kamerfracties van coalitiepartijen opereren niet onafhankelijk van het regeeraccoord terwijl in theorie in Nederland iedere parlementariër, los van partijen, daar zelfstandig voor het hele Nederlandse volk zit. Maar dat doen ze niet, niet alle groepen in de samenleving worden even goed vertegenwoordigd in het parlement. Vooral mensen die sowieso al heel goed voor zichzelf kunnen zorgen zijn goed vertegenwoordigd.

Dat zit niet goed, laat dat duidelijk zijn. Maar als ik kijk naar wat er in de VS en het VK gebeurd is de laatste jaren zie ik het daar ook niet bepaald goed zitten. Met een stelsen waarin altijd twee partijen de boventoon voeren zie je dat er partijen binnen partijen ontstaan en dat al het politieke gekonkel nog veel meer dan bij ons buiten het parlement om uitgespeeld wordt. Het gaat er daar nog veel minder democratisch aan toe, al wordt er in het openbaar harder bij geschreeuwd. Voor mij zit de oplossing duidelijk niet in zo'n soort systeem. Wat we nodig hebben is een systeem waarin politici er zitten om burgers te vertegenwoordigen, alle burgers, en niet, zoals we zo vaak bij VVD, CDA en D66 zien, vooral de ondernemers of degenen die de wind al mee hebben.

Stel het even zelf vast, zou ik zeggen: https://www.globalsign.com/en/blog/how-to-view-ssl-certificate-details
luntrus

Ik ben benieuwd wat Qualys (https://www.ssllabs.com/ssltest/) van deze "QWACs" certificaten gaat vinden...

Q

Beste mensen,

Ik werk in deze wereld. Ik weet precies wat veiligheid in deze betekent. Ik weet ook precies wat zekerheid en hoge standaarden in deze betekenen.

Natuurlijk heeft Mozilla gelijk dat zij hoge veiligheid wensen.

Alleen heeft Mozilla ongelijk dat de (Qualified Web Authenticatie Certificaat (QWAC) een lagere veiligheid zou bieden dan alle overige standaarden. De veiligheidswaarde is volledig gelijk. Met andere woorde: de veiligheid van de sleutel die Mozilla wenst is precies dezelfde als de sleutel die de QWAC in houdt.

Er zit wel een verschil in zekerheid. Mozilla doet voorkomen alsof de zekerheid van de QWAC lager is dan die van de QWAC. Dat is niet zo. De zekerheden van de QWAC zijn de hoogste die menselijkerwijs mogelijk zijn. De eisen van die zekerheid zijn vastgesteld door Europese instituties. Alleen als een CA voldoet aan die hoge zekerheden en dat hebben bewezen, alleen dan kan die CA een QWAC uitgeven.

Wat Mozilla wil is de mogelijkheid om alle CA's te controleren. Als die niet aan de (lagere) eisen van Mozilla voldoen, dan wil Mozilla die CA als het ware 'uit zetten'. Dat is ongeveer hetzelfde als dat Mozilla de ultieme beslisser is om slot-fabrikanten van voordeursloten (of auto sloten) om zeep te helpen. In dit denkraam is dat hetzelfde alsof Mozilla achteraf bepaalt dat u niet meer uw huis in kan of uw auto kan starten.

Een CA die QWAC's mag uitgeven kan ook door Europese instituties worden 'uit gezet'. Dat gebeurt alleen als die CA niet aan de hoge zekerheid van veiligheid en van de veiligheid zelf voldoet. Het is dan echter niet alleen een beslissing vanuit imago voor de browser, maar een beslissing vanuit het vertrouwen in samenwerkingsstelsels. Ook de directe negatieve consequenties van zo'n besluit worden dan meegewogen. En dat is precies het verschil waarom een QWAC door techreuzen erkent moeten worden.

Als ik kritieke infrastructuren bouw, dan moet de burger erop kunnen vertrouwen dat
- de veiligheid is geborgd
- de beschikbaarheid is zeker gesteld
- en als er een conflict is tuissen veiligheid en beschikbaarheid, dan moet minimaal ook het effect van niet-beschikbaarheid worden meegewogen.
Wat Mozilla wil is spreekwoordelijk de sleutels van onze F35 om daarmee te bepalen of dat vliegtuig wel of niet kan worden ingezet.

Europese overheden die een MITM op basis van een CA,willen inrichten, die kunnen dat zowiezo. Dat betekent namelijk niets anders dan een CA bouwen die aan de randvoorwaarden van Mozilla voldoen. Het is dus een flauwekul argument.
PKIOverheid is een policy en een Root-Signing Ca voor Issuing CA's. Die Issuing CA's die zijn allemaal ondergebracht bij onafhankelijke organisaties/commerciele bedrijven. Daar heeft de overheid helemaal geen invloed op (ja, wel de MinDef CA voor de Defensiepassen; niet de PKIo CA van KPN, Quovadis en andere.

De site die Mozilla in de lucht heeft gebracht geeft alleen maar halve waarheden, volledige onwaarheden, veel ego-centrisme en zie ik misleiding.

Ik ga graag in discussie

Ik ga graag in discussie

O, Ben nog wat vergeten te vertellen

In de USA (daar waar Mozilla huist), daar is er geen nadere wetgeving hoe om te gaan met certificaten en vertrouwen.
Dat is in Europa wel wettelijk geregeld.
In Europa
- is er wettelijk kader waarvan je gebruik mag maken en dan:
- is wettelijk ingeregeld welke kwaliteitseisen auditors moeten hebben die bovendien onafhankelijk moeten zijn en op basis van wetten een audit vergunning op dit onderwerp krijgen
- is er een wettelijk (onafhankelijk) toezichthouder per EU land (die elkaar bovendien moeten helpen)
- is aansprakelijkheid wettelijk geregeld (een CA kan zich niet verstoppen, een externe auditor kan zich niet verstoppen, een toezichthouder kan zich niet verstoppen en een gebruiker ook niet).

Mozilla zou blij moeten zijn met de nieuwe eIDAS incl verplichte erkenning van de QWAC. Immers, aansprakelijkheid is in de USA altijd al en nog steeds het grootste probleem.
De verplichte erkenning zou niet alleen voor QWAC moeten gelden maar voor alle EU erkende vertrouwensdiensten.

EU. Waarom zetten we daar toch steeds vraagtekens bij.

Er zijn honderden stembureaus, je kan er maar 1 zelf controleren.

@ anoniem van 19:48 gisteren,

Met respect voor je betoog nog een enkele kanttekening mijnerzijds, anders wordt het enkel een voordelen-koekoek-ene-zang.

Natuurlijk is er wat te zeggen voor deze voordelen voor de eindgebruiker d.m.v. het bekende "Go with the flow"-verhaal.
Daarnaast kan dat wel inhouden, dat je slachtoffer wordt van de ongebreidelde monitoring- en surveillance-behoeften van de EU (in dit geval). Hoe mitigeren we de dreiging van die dwang en drang van de "onverkozenen" der EU. Hun greep naar de macht over alle EU-burgers? En er is al het nodige door de nationale overheidsleiders getekend bij de bekende kruisjes (ohne Gewehr). Er heerst al veel ongenoegen over en de nodige twijfels aan de "nobele bedoelingen van de EU-digi-plannen" bij menig EU-onderdaan, ook hier ten lande. De toekomst zal het leren, maar beter vrezen met groten vreze.

We hebben ook gezien dat o.a. Comodo uit de certificering stapte. Kijk ook even in dat verband wat een afgedwongen EU-clouddienst voor de burgers van de EU zal gaan betekenen. Je ziet straks allemaal opgesloten binnen dit controle systeem, een digitaal panopticum van de eerste orde, Plato had al over voorafschaduwingen hiervan gefilosofeerd. De 'cipiers' van de digitale grotten kennen geen grenzen aan hun regelzucht.

Even pas op de plaats maken en dus de zaken goed overdenken, maakt dat je later niet zoveel te berouwen hebt. Zaken zoals recentelijk rond Uber (zie het "draadje" hier aangaande Ouwe Neel en de Franse Zonnekoning-Jupiter) maken dat je zomaar geen onvoorwaardelijk vertrouwen in EU-commissarissen en "global leaders" dient te stellen. En voor de eindgebruiker zou ik het Engelse credo aanhalen: "Once bitten, twice shy". Geloof de regelaars niet op hun mooie woorden, maar eerder op hetgeen ze laten zien (ergo hun daden, wat levert het op voor jou als eindgebruiker en niet alleen en uitsluitend voor hen). That's my 2 cents, alhoewel MSM en heel ander verhaal laat klinken en de wereld in wil helpen natuurlijk, want wie de pers betaalt, die bepaalt.

#observator

Beste observator

Respect is wederzijds.

Jouw eerste alinea.
Artikel 45.2 gaat over de verplichting dat Techreuzen CA's moeten erkennen (en in hun trust stores plaatsen) die door EU instituties zijn gecontroleerd op veiligheid en betrouwbaarheid. Niets meer.
Daardoor kan je op geen enkele manier gemonitord worden door overheden. want
- De enige trigger waarop kan worden gemonitord is de validatie slag.
---- Marieke gaat naar website x met certificaat van CA Q.
---- Website x moet adhv certificaat van Q worden getoetst.
---- Het resultaat van die toets wordt door CA Q naar Marieke gestuurd.
- De aangesloten CA's zijn allemaal onafhankelijk
- De websites kiezen zelf hun eigen CA waar zij certificaten kopen. Dat hoeven helemaal geen EUTL CA's te zijn.

Voor massa surveillance zou een overheid eerst
- of alle CA's moeten beheersen (dat kan een overheid helemaal niet betalen en kan niet worden verborgen)
- of alle websites moeten de door een overheid beheerste CA gebruiken (dat kan ook niet verborgen worden gehouden). Dan is artikel 45.2 niet eens meer nodig.

Jouw alinea 2.
Je hebt het over een digitaal panopticum. Dat is precies waar ik bezorgd over ben.
Ik noem het overigens een multi-panopticum.
Een panopticum is een architectuur waardoor je (continue) bekeken kan worden.
Voor mij is een multi-panopticum een omstandigheid dat je door heel veel partijen (ieder met een eigen belang) (continue bekeken kan worden.
Mijn wereldbeeld is dat (Amerikaanse) techreuzen allemaal hun eigen panopticum opbouwen. En ook de Amerikaanse overheid. En de Chinese. En........

Ik verdenk Mozilla, Google, etc ervan dat zij er naar toe werken dat Europese CA's geen kans meer hebben. Geen business meer kunnen rennen. Dan heb je uiteindelijk alleen nog maar digitale identiteiten vanuit de techreuzen. En die kunnen de validatie gegevens gebruiken voor eigen doelen.

Jouw derde alinea.
Helemaal mee eens.

Je kan controleren dat dat ene stemburo de juiste eindresultaten publiceert. En als alle stemburo's gecontroleerd worden, zijn alle resultaten ook inzichtelijk.
En daarna kan iedere nederlander zelf alle resultaten verwerken en daar moet dan hetzelfde uitkomen als de officiële uitkomst.

Laat nu iedere keer in de kranten alle tussenresultaten gepubliceerd worden, dus dat deel kan je nu al zelf doen

Vooral QWAC's lukraak gaan vertrouwen. Heel erg jammer dat beveiliging vasthangt aan eenvoudig kunnen werken. Je kunt ook gewoon de deur openzetten. Vooral bijzonder dat de problemen bij DigiNotar al zo snel vergeten zijn. Die zijn niet geheel te vergelijken met deze techniek. Echter, wanneer je niet een extra controlemogelijkheid toelaat, is de kans groter dat het ook hier mis gaat. Zie o.a.: https://www.nu.nl/internet/2961331/zwaar-verouderde-website-was-oorzaak-diginotar-hack.html of https://nl.wikipedia.org/wiki/DigiNotar.

Laten we hard werken aan een veilig en betrouwbaar internet. En tja, als er dan een keer een QWAC niet vertrouwd wordt, dan is daar een legitieme reden voor.

Juist DigiNotar was aanleiding om op Europees gebied de zaken beter te regelen (vóór diginotar mocht een auditor alléén maar de PDCA cyclus toetsen, na diginotar werd het een product audit. Juist daarvoor was eIDAS, ETSI normen CEN normen, etc nodig).

Juist DigiNotar heeft mij geleerd dat afhankelijkheid van derden (techreuzen) een nieuwe kwetsbaarheid oplevert voor kritieke IT (eco) systemen. Die nieuwe kwetsbaarheid noem ik bij de naam : "policy based denial of service". (als een CA ernstige fouten maakt, dan moet die CA verdwijnen. En wel zodanig dat de de daaruit komende schade voor afnemers beheersbaar blijft. Juist dit is reden om QWAC te verplicht te laten erkennen door techreuzen. Anders kan je alleen nog maar bij Mozilla een certificaat kpen als je tenminste zeker wil zijn dat jouw website blijft werken)

Inderdaad moet eea eenvoudig kunnen werken. Een fabrikant van auto's moet niet eerst een analyze moeten uitvoeren om alle wegen op veiligheid en betrouwbaarheid te toetsen. Een bestuurder moet niet eerst alle veiligheidsaspecten van de te kopen auto onderzoeken. Voor beide activiteiten bestaan normen en die worden getoetst (certificeringen, vergunningen, etc).

Zo behoort dat ook met de IT. Een CA moet betrouwbaar zijn. Om dat aan te tonen bestaan er Europese instituties. Dit helpt website eigenaren om gemakkelijk voor een CA te kunnen kiezen. Dit helpt websitebezoekers om een oordeel te vormen hoe betrouwbaar die website is. En ja, dan moet eea wel herkenbaar zijn. Groene slotje weghalen (ook zo'n idee van techreuzen) zal zeker technisch niet veel uitmaken, het is echter negatief voor herkenbaarheid van betrouwbaarheid.

Dus ja. Laten we internet zo veilig mogelijk maken. Net als het wegverkeer.
En laat ieder zijn eigen rol oppakken. Net als de wetgeving over wegen, de wetgeving over voertuigen, de wetgeving over rijders-vergunningen.
Alleen dan kunnen alle benodigde zekerheden worden ingebouwd. Zodanig dat ieder ook maximale vrijheid behoud.
O ja. Absoluut veilig bestaat niet. Absolute vrijheid ook niet.

Oorzaak bij DigiNotar lag niet zoweer aan zwaar verouderde website. Het lag eerder aan .......
-----------
Uit Rapportage Black Tulip......
The DigiNotar network was divided into 24 different internal network segments. An internal and external
Demilitarized Zone (DMZ) separated most segments of the internal network from the Internet. The zones
were not strictly described or enforced and the firewall contained many rules that specified exceptions for
network traffic between the various segments.
----------

Wat in Wikipedia staat is ook niet helemaal waar.
Wikipedia stelt dat DigiNotar met een Man-In-The-Middle aanval was gehackt. Dat is onjuist (zie hierboven).
Wel was het gevolg van de hack dat Iran een Man-In-The-Middle heeft ingezet om haar eigen burgers met gmail accounts af te luisteren. En dat heeft naar mijn weten inderdaad levens gekost.
En het is inderdaad Google geweest die dit als eerste ontdekte. Met name omdat Google deze beveiliging zowel inbound als ook outbound had ingericht.