Ondanks kritiek van browserleveranciers, burgerrechtenbewegingen en experts heeft de Raad van de Europese Unie vorige week ingestemd met een omstreden certificaatplan dat de veiligheid van het web in gevaar kan brengen, aldus de Amerikaanse burgerrechtenbeweging EFF. Het gaat om de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’.
De eerste versie van de verordening ging onder andere over afspraken voor het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. De nieuwe versie waar de Raad vorige week akkoord over bereikte bevat bepalingen voor de Europese digitale identiteit. Een onderdeel van het voorstel, aangeduid als artikel 45.2, verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven.
Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden.
Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen. Volgens experts kan dit grote gevolgen voor de veiligheid van het web hebben en de EU werd dan ook opgeroepen om het certificaatplan te wijzigen. Ondanks steun van verschillende commissies voor het aanpassen van de tekst ging de Europese Raad toch akkoord met het omstreden certificaatplan.
De EFF stelt dat dit een gevaarlijk precedent schept voor de veiligheid van het web en de security van browsers in gevaar kan brengen. Op dit moment kunnen browsers snel op eventuele veiligheidsproblemen reageren. "Wetten die actie hinderen kunnen ervoor zorgen dat er trager op toekomstige incidenten wordt gereageerd. De EU is niet immuun voor leden die buiten de regels van de democratie opereren. Dus het optuigen van wetten die het internet kwetsbaarder voor beveiligingsdreigingen maken is een probleem dat niet kan worden genegeerd", aldus de Amerikaanse burgerrechtenbeweging.
Eerder dit jaar kwam ook Mozilla nog met een campagne tegen het certificaatplan. De Europese Raad en het Europees Parlement zullen nu over de nieuwe eIDAS-verordening gaan onderhandelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.