image

Google hekelt certificaatplan Brussel: brengt privacy en security in gevaar

zondag 5 november 2023, 18:00 door Redactie, 25 reacties

Een plan van Europese beleidsmakers als onderdeel van de Europese digitale identiteit brengt de privacy en security van internetgebruikers in gevaar, zo stelt Google. Het techbedrijf verstuurde eerder deze week al samen met andere organisaties en bedrijven een open brief over Artikel 45 van de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’. Security.NL besteedde ook aandacht aan deze brief.

Artikel 45 verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven. Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers.

Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen. De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen.

Naast de brief waarschuwt Google nu in een aparte blogposting voor de risico's van Artikel 45. Het zou namelijk de mogelijkheid van browsers hinderen om bepaalde veiligheidsvereisten voor certificaten te handhaven, en daarmee de voortgang die de afgelopen tientallen jaren op dit front is geboekt weer terugdraaien.

"Wij en andere vorige en huidige leiders in de internationale webcommunity hebben grote zorgen over de impact van Artikel 45 op security", aldus Google. "We roepen beleidsmakers op om te luisteren naar de waarschuwingen van wetenschappers en beveiligingsexperts en dit deel van de wetgeving te herzien, in plaats van de privacy en security van internetgebruikers aan te tasten."

Reacties (25)
05-11-2023, 18:44 door johanw
Ze kunnen het batuurlijk traineren: in de EU versie van de browser een pagina wel weergeven als zo'n certificast gebruikt wordt maar grote waarschuwingen ef om heen zetten dat deze certificaten mogelijk onveilig zijn masr dat de EUSSR ze verplicht ze te accepteren.
05-11-2023, 19:32 door Anoniem
Dat privacy en security om zeep geholpen wordt... Dat is toch het hele DOEL van het plan?!
Welkom in de EUSSR. Waar je grootste vijand de overheid is.
05-11-2023, 20:53 door Anoniem
IK vind het al niks al die bemoeienis uit Brussel met al die regeltjes.
Samenwerken in Europa ok,maar dan wel de zelfstandigheid van een staat dat die behouden blijft.
05-11-2023, 21:25 door Anoniem
Het is een constante stroom aan probeersels die ze erdoor proberen te krijgen net zo lang dat mensen murw zijn gevochten tegen al die onzin het moet en zal linksom of rechts erdoor worden gedrukt dat de overheid ons allemaal kan controleren wat we doen. Wat een zieke wereld leven we in.

Doe mij maar een ticket terug naar 1982.
05-11-2023, 23:45 door Anoniem
Tja nu heeft alleen de NSA die backdoor, dat willen ze natuurlijk graag zo houden.

De meeste van die certificaatboerennvertouw ik helemaal niet.
06-11-2023, 07:43 door Anoniem
Als Google het ook al afwijst, zegt wel iets of is dit slechts voor de Bühne?

Het Mainland China van het Westen zal en moet nu opgetuigd worden - totale controle van de bevolking.

Komen we in een digitale 'slavenstaat' te leven?

Wat zijn de uiteindelijke doelen van de 'inrichters' van de komende Europese Federale Verenigde Staten?

En de trein dendert maar verder ;)
06-11-2023, 08:43 door Anoniem
Door Anoniem: Het is een constante stroom aan probeersels die ze erdoor proberen te krijgen net zo lang dat mensen murw zijn gevochten tegen al die onzin het moet en zal linksom of rechts erdoor worden gedrukt dat de overheid ons allemaal kan controleren wat we doen. Wat een zieke wereld leven we in.

Doe mij maar een ticket terug naar 1982.

Als je gewoon rustig wacht en neits doet wordt het vanzelf 1984
06-11-2023, 09:19 door Anoniem
Het hele certificaten circus is niets anders dan dat: een circus. Er zijn zo ontzettend veel CA's, zou nou echt elke 100% waterdicht zijn? Het is al 10-tallen jaren hét probleem van het CA-stelsel: één rotte appel en het hele stelsel is onbetrouwbaar. Daarom zijn er aanvullende methoden bedacht om vertrouwen in het stelsel te borgen. Zoals DANE, certificate pinning, DNSSEC, DKIM en nog wel een paar. En dan nog, zegt het enkel iets over de verbinding met de server, niets over de inhoud van de site. Als het CA stelsel echt essentieel zou zijn voor vertrouwen, dan zou phishing ook niet kunnen bestaan.

Dat de eigenaar van een gebruikersapplicatie (wat een browser is), nu moord en brand schreeuwt, dat deze z'n almacht dreigt te verliezen is natuurlijk voorspelbaar. Maar het is net zulke onzin dat nota bene browsers de meest te vertrouwen actor in het CA stelsel zouden zijn en enkel zij zouden mogen bepalen wie of wat 'betrouwbaar' is.

De EU (dus ook onze overheid) publiceert een lijst met te vertrouwen partijen voor digitale communicatie met de overheid. Dat is toch niets nieuws?! Of heb je ook toestemming(!) nodig van DHL, PostNL of UPS voordat je een brief van de gemeente of politie vertrouwd?
06-11-2023, 09:21 door Anoniem
Vertrouwen ( trust ) kun je niet bij wet afdwingen.
Dat kun je verdienen en verliezen.

Dus moet EU als ze dat willen gewoon examen doen als ze zo graag CA willen zijn. Anders hebben we gewoon een Diginotar debacle v2.0 in wording.
06-11-2023, 09:22 door Anoniem
Dit voelt toch wel een beetje als een pot die tegen een ketel zegt 'heej, niet de zwarte piet toespelen'.
06-11-2023, 09:47 door Anoniem
Lost het de belangrijkste problemen op de infrastructuur op?
Zoals cybercrime, scam, spam? Lukt dat met total control?

Ik vrees dat de problemen alleen maar groter worden.
De federale EU wordt het realiseren van de natte droom van de bolsjewieken, die nog door het wonder aan de Weichsrl konden worden gestopt. Nu zitten ze al binnen de Europese toren van Babel en AI herstelt de verwarring der sprake.

Last het eens goed op je inwerken, wat hier gebeurt.
06-11-2023, 10:35 door Anoniem
Door Anoniem: Het hele certificaten circus is niets anders dan dat: een circus. Er zijn zo ontzettend veel CA's, zou nou echt elke 100% waterdicht zijn? Het is al 10-tallen jaren hét probleem van het CA-stelsel: één rotte appel en het hele stelsel is onbetrouwbaar. Daarom zijn er aanvullende methoden bedacht om vertrouwen in het stelsel te borgen. Zoals DANE, certificate pinning, DNSSEC, DKIM en nog wel een paar. En dan nog, zegt het enkel iets over de verbinding met de server, niets over de inhoud van de site. Als het CA stelsel echt essentieel zou zijn voor vertrouwen, dan zou phishing ook niet kunnen bestaan.

Dat de eigenaar van een gebruikersapplicatie (wat een browser is), nu moord en brand schreeuwt, dat deze z'n almacht dreigt te verliezen is natuurlijk voorspelbaar. Maar het is net zulke onzin dat nota bene browsers de meest te vertrouwen actor in het CA stelsel zouden zijn en enkel zij zouden mogen bepalen wie of wat 'betrouwbaar' is.

De EU (dus ook onze overheid) publiceert een lijst met te vertrouwen partijen voor digitale communicatie met de overheid. Dat is toch niets nieuws?! Of heb je ook toestemming(!) nodig van DHL, PostNL of UPS voordat je een brief van de gemeente of politie vertrouwd?
Je verhaal klopt niet:
- de belangrijkste browsers hebben betrouwbaarheidseisen die ze aan CA's stellen: als je daaraan voldoet (inclusief audit!) kan je in de browser opgenomen worden als betrouwbare partij.
Dit is belangrijk omdat het overgrote deel van de eindgebruikers vertrouwd op het oordeel van die browsers.
- de EU wil nu diezelfde browserfabrikanten verplichten om ook CA's te vertrouwen die niet voldoen aan de betrouwbaarheidseisen. Sterker, als zo'n CA een fout maakt, mag die niet verwijderd worden van de EU

Je gaat je daarom wel afvragen wat hier aan de hand is: de bestaande betrouwbaarheidseisen voldoen, worden ook door iedereen erkend en worden steeds verder aangescherpt. Wat is de reden dat de EU niet gewoon meelift op die eisen maar andere (en lichtere) eisen opsteld, maar die wel verplicht gaat maken?

(je vergelijking met DHL etc. klopt in deze context ook niet: die vervoeren maar zeggen niets over de betrouwbaarheid van de afzender)
06-11-2023, 11:42 door Anoniem
Leuk geprobeerd door het WEF (achterkamer) Google censuur bedrijfje..
06-11-2023, 14:01 door Anoniem
Als zelfs 's werelds grootste advertentiebedrijf zegt dat de privacy in gevaar komt, dan zegt dat wel wat over hoe bizar dit voorstel is. Maar ja, de EU is tegenwoordig nog veel erger dystopia dan men doet geloven dat China is. Goede video over dat laatste punt: https://www.youtube.com/watch?v=NhPOrkGbpxk
06-11-2023, 14:36 door Anoniem
In het beginsel is het de plicht van de staat om te getuigen van een identiteit wanneer de burger daar om vraagt, bijvoorbeeld middels een paspoort.
Het was de vrijheid van de burger om zich niet te identificeren, maar dat recht is als de Reichstag verbrand.
Beide regels zijn ooit vanuit veiligheidsoverwegingen ingesteld.
Tevens is identificatie niet het zelfde als autorisatie

Tot slot wens ik nog op te merken dat mensen verplichten tot vertrouwen je reinste tirannie betreft.
06-11-2023, 15:58 door Anoniem
Door Anoniem: Als zelfs 's werelds grootste advertentiebedrijf zegt dat de privacy in gevaar komt, dan zegt dat wel wat over hoe bizar dit voorstel is.
Maak je geen illusies over Google. Die grijpen gewoon de gelegenheid aan om te doen voorkomen alsof zij zich inzetten voor privacy. Ze beschermen je reuze graag tegen de overheid, maar echt niet tegen zichzelf.
06-11-2023, 16:08 door Anoniem
Door Anoniem:
Door Anoniem: ...
Je verhaal klopt niet:
- de belangrijkste browsers hebben betrouwbaarheidseisen die ze aan CA's stellen: als je daaraan voldoet (inclusief audit!) kan je in de browser opgenomen worden als betrouwbare partij.
Dit is belangrijk omdat het overgrote deel van de eindgebruikers vertrouwd op het oordeel van die browsers.
- de EU wil nu diezelfde browserfabrikanten verplichten om ook CA's te vertrouwen die niet voldoen aan de betrouwbaarheidseisen. Sterker, als zo'n CA een fout maakt, mag die niet verwijderd worden van de EU

Je gaat je daarom wel afvragen wat hier aan de hand is: de bestaande betrouwbaarheidseisen voldoen, worden ook door iedereen erkend en worden steeds verder aangescherpt. Wat is de reden dat de EU niet gewoon meelift op die eisen maar andere (en lichtere) eisen opsteld, maar die wel verplicht gaat maken?

(je vergelijking met DHL etc. klopt in deze context ook niet: die vervoeren maar zeggen niets over de betrouwbaarheid van de afzender)
Je verhaal klopt niet:
De EU stelt dezelfde eisen aan een CA als de grote browser aanbieders. Het is hen enkel verboden om later aanvullende eisen te stellen aan de CA's. Logisch, anders eisen ze 'je had vinkje xi1yz nog moeten zetten, dat kunnen alleen wij doen. Goh, da's jammer...' Ze liften dus wel degelijk mee op de eisen die nu ook al gelden. En nergens staat dat de EU niet deze eisen kan laten mee groeien, hé.
En als jij serieus denkt dat als er 'rabobank.nl' staat op een certificaat, dat het dus ook echt omonstotelijk bewezen is dat het de rabobank is waar je zaken mee doet, dan moet ik je toch echt teleurstellen. Die certificaten zeggen niks anders dan dat de server beheerder een DNS-adres heeft dat rabobank.nl is. Dat jij er op vertrouwd dat rabobank.nl van de rabobank is, is omdat we merkenrecht hebben, we een active registrar (SIDN) hebben, we collectief weten dat rabobank.nl van de rabobank is, dat er onderliggend aanvullende technische maatregelen zijn, etc. etc. etc. Maar niet vanwege het certificaat.
Bijvoorbeeld www.alphabet.com, dat is van Google/Alphabet, toch? Oh nee, van BMW (als we het dan toch over vervoerders hebben ;) )

Het is goed om je te realiseren dat het hier om vertrouwen gaat en niet enkel om of er nu van staatswege een MitM-aanval mogelijk is. Vroegah was dit echt een waanzinnig slecht plan geweest, het internet was al zo lek als wat en dan ook nog eens de CA's ondermijnen?! Tegenwoordig zijn er echter zoveel extra lagen aan de betrouwbare verificatie toegevoegd, dat de CA's echt niet meer de heilige graal van een veilige verbinding zijn. En gelukkig maar.
06-11-2023, 17:03 door Anoniem
Door Anoniem: Als Google het ook al afwijst, zegt wel iets of is dit slechts voor de Bühne?
Als google iets afwijst betekend het meestal dat het:
a) Hun businessmodel schaadt (wat op zichzelf weer positief is voor internetgebruikers)
en/of
b) Goed is voor privacy van gebruikers
06-11-2023, 17:53 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ...
Je verhaal klopt niet:
- de belangrijkste browsers hebben betrouwbaarheidseisen die ze aan CA's stellen: als je daaraan voldoet (inclusief audit!) kan je in de browser opgenomen worden als betrouwbare partij.
Dit is belangrijk omdat het overgrote deel van de eindgebruikers vertrouwd op het oordeel van die browsers.
- de EU wil nu diezelfde browserfabrikanten verplichten om ook CA's te vertrouwen die niet voldoen aan de betrouwbaarheidseisen. Sterker, als zo'n CA een fout maakt, mag die niet verwijderd worden van de EU

Je gaat je daarom wel afvragen wat hier aan de hand is: de bestaande betrouwbaarheidseisen voldoen, worden ook door iedereen erkend en worden steeds verder aangescherpt. Wat is de reden dat de EU niet gewoon meelift op die eisen maar andere (en lichtere) eisen opsteld, maar die wel verplicht gaat maken?

(je vergelijking met DHL etc. klopt in deze context ook niet: die vervoeren maar zeggen niets over de betrouwbaarheid van de afzender)
Je verhaal klopt niet:
De EU stelt dezelfde eisen aan een CA als de grote browser aanbieders. Het is hen enkel verboden om later aanvullende eisen te stellen aan de CA's. Logisch, anders eisen ze 'je had vinkje xi1yz nog moeten zetten, dat kunnen alleen wij doen. Goh, da's jammer...' Ze liften dus wel degelijk mee op de eisen die nu ook al gelden. En nergens staat dat de EU niet deze eisen kan laten mee groeien, hé.
En als jij serieus denkt dat als er 'rabobank.nl' staat op een certificaat, dat het dus ook echt omonstotelijk bewezen is dat het de rabobank is waar je zaken mee doet, dan moet ik je toch echt teleurstellen. Die certificaten zeggen niks anders dan dat de server beheerder een DNS-adres heeft dat rabobank.nl is. Dat jij er op vertrouwd dat rabobank.nl van de rabobank is, is omdat we merkenrecht hebben, we een active registrar (SIDN) hebben, we collectief weten dat rabobank.nl van de rabobank is, dat er onderliggend aanvullende technische maatregelen zijn, etc. etc. etc. Maar niet vanwege het certificaat.
Bijvoorbeeld www.alphabet.com, dat is van Google/Alphabet, toch? Oh nee, van BMW (als we het dan toch over vervoerders hebben ;) )

Het is goed om je te realiseren dat het hier om vertrouwen gaat en niet enkel om of er nu van staatswege een MitM-aanval mogelijk is. Vroegah was dit echt een waanzinnig slecht plan geweest, het internet was al zo lek als wat en dan ook nog eens de CA's ondermijnen?! Tegenwoordig zijn er echter zoveel extra lagen aan de betrouwbare verificatie toegevoegd, dat de CA's echt niet meer de heilige graal van een veilige verbinding zijn. En gelukkig maar.

Inderdaad, de meesten hier beginnen met domme termen als eussr te gooien waarbij ze totaal niet begrijpen:
- waar het over gaat.
- waar de USSR over gaat. Historisch besef nul. Ga eens kijken in het huidige Rusland, en stel je dan voor dat het nog 10x erger was. Dat geeft de context.
- Samenzweringstheorien worden hier veel te vaak bij feiten gehaald.

Er is gewoon helemaal niet zo veel mis met dit plan zoals de schrijver van bovenstaand antwoord al geeft.
06-11-2023, 18:55 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ...
Je verhaal klopt niet:
- de belangrijkste browsers hebben betrouwbaarheidseisen die ze aan CA's stellen: als je daaraan voldoet (inclusief audit!) kan je in de browser opgenomen worden als betrouwbare partij.
Dit is belangrijk omdat het overgrote deel van de eindgebruikers vertrouwd op het oordeel van die browsers.
- de EU wil nu diezelfde browserfabrikanten verplichten om ook CA's te vertrouwen die niet voldoen aan de betrouwbaarheidseisen. Sterker, als zo'n CA een fout maakt, mag die niet verwijderd worden van de EU

Je gaat je daarom wel afvragen wat hier aan de hand is: de bestaande betrouwbaarheidseisen voldoen, worden ook door iedereen erkend en worden steeds verder aangescherpt. Wat is de reden dat de EU niet gewoon meelift op die eisen maar andere (en lichtere) eisen opsteld, maar die wel verplicht gaat maken?

(je vergelijking met DHL etc. klopt in deze context ook niet: die vervoeren maar zeggen niets over de betrouwbaarheid van de afzender)
Je verhaal klopt niet:
De EU stelt dezelfde eisen aan een CA als de grote browser aanbieders. Het is hen enkel verboden om later aanvullende eisen te stellen aan de CA's. Logisch, anders eisen ze 'je had vinkje xi1yz nog moeten zetten, dat kunnen alleen wij doen. Goh, da's jammer...' Ze liften dus wel degelijk mee op de eisen die nu ook al gelden. En nergens staat dat de EU niet deze eisen kan laten mee groeien, hé.
En als jij serieus denkt dat als er 'rabobank.nl' staat op een certificaat, dat het dus ook echt omonstotelijk bewezen is dat het de rabobank is waar je zaken mee doet, dan moet ik je toch echt teleurstellen. Die certificaten zeggen niks anders dan dat de server beheerder een DNS-adres heeft dat rabobank.nl is. Dat jij er op vertrouwd dat rabobank.nl van de rabobank is, is omdat we merkenrecht hebben, we een active registrar (SIDN) hebben, we collectief weten dat rabobank.nl van de rabobank is, dat er onderliggend aanvullende technische maatregelen zijn, etc. etc. etc. Maar niet vanwege het certificaat.
Bijvoorbeeld www.alphabet.com, dat is van Google/Alphabet, toch? Oh nee, van BMW (als we het dan toch over vervoerders hebben ;) )

Het is goed om je te realiseren dat het hier om vertrouwen gaat en niet enkel om of er nu van staatswege een MitM-aanval mogelijk is. Vroegah was dit echt een waanzinnig slecht plan geweest, het internet was al zo lek als wat en dan ook nog eens de CA's ondermijnen?! Tegenwoordig zijn er echter zoveel extra lagen aan de betrouwbare verificatie toegevoegd, dat de CA's echt niet meer de heilige graal van een veilige verbinding zijn. En gelukkig maar.

https://blog.mozilla.org/netpolicy/2020/10/08/the-eus-current-approach-to-qwacs-qualified-website-authentication-certificates-will-undermine-security-on-the-open-web/
https://www.security.nl/posting/760952/Mozilla+start+campagne+tegen+certificaatplan+Europese+digitale+identiteit
https://www.eff.org/nl/deeplinks/2022/02/what-duck-why-eu-proposal-require-qwacs-will-hurt-internet-security

Ik neem meer aan van de EFF en Mozilla dan van een anonieme poster op security.nl...
06-11-2023, 22:36 door Anoniem
Remember, remember the 5th of November,....

Naar mijn mening hoort Europa het maken van IT polices in the
handen van America te laten die de internet en de computer hebben
uitgevonden.

De ICT is een "circus show" geworden, en mensen wordt veroordeeld
door mensen die helemaal geen IT opleiding hebben gedaan,...
06-11-2023, 23:47 door Anoniem
Tja, Ik ben hier natuurlijk redelijk anoniem.
Ondanks dit ben ik vanaf 2007 actief betrokken bij de wereld van certificaten.
En ik heb ook gewerkt in het nationaal crisis centrum van Binnenlandse Zaken tijdens de DigiNotar crisis.
Graag wil mijn kennis en ervaringen hier delen.
Daarvoor gebruik ik kennis van DigiNotar, de kennis van eIDAS wetgeving, de audit en toezichtstructuur en een aantal anekdotes.

DigiNotar

In 2011 bestond de certificaten wereld uit nationale wetgeving waaruit (inderdaad toen ook al) betrouwbaarheid werd getoetst.
De benodigde audits waren niet meer dan Management System Audits. Je weet wel: zo'n beoordeling dat de plan-do-check-act processen op orde zijn. Nou, die waren ook bij DigiNotar op orde.

Tegelijkertijd heeft een techneut (misschien wel meerdere) hun eigen werk gemakkelijk gemaakt door hun front-end direct te koppelen met hun back-end. Dat beheert zo lekker gemakkelijk. Dat dit tegelijkertijd ook leidde tot hacken van front-end en direct valse certificaten uit hun CA werden getrokken, dat wisten die techneuten niet. En een toentertijd kon een auditor hier ook niets van vinden. Immers, het was geen product certificering audit, maar slechts een Management System audit.

De halve wereld heeft hier onderzoek naar gedaan.
Europa (en ook CAB Forum) hebben de conclusie getrokken dat er veel extra werk moest worden gedaan. En dat is ook gedaan en leidde in Europa tot de eIDAS verordening.

De discussie rond DigiNotar was of en in hoeverre ook Microsoft DigiNotar onmiddellijk uit haar trust store zou moeten verwijderen. Google deed dat (begrijpelijk, want Google diensten werden direct geraakt). Mozilla ook (daar is alleen een security fundamentalistische reden voor geweest.
DigiNotar was destijds een grote markleider voor certificaten in Nederland. Bijna elke overheidsdienst was afhankelijk van DigiNotar certificaten. Notariaat, inklaringen, justitiele processen, ziekenhuizen, export documenten, belastingen, etc, etc. En ook de meeste bedrijven waren afhankelijk van DigiNotar certificaten. Bij directe verwijdering uit de Microsoft truststore zou Nederland op slot zijn gegaan.
Anekdote: een microsoft security officer belde mij met de vraag: "waarom Nederland uitstel vroeg. Mijn simpele antwoord: Als Microsoft niet alleen in staat is om Digitaal Nederland uit te zetten, maar blijkbaar ook bereid is dat te doen, wat denk je dat er dan met een volgende aanbesteding gaat gebeuren?"

Beste mensen. Het gehele construct van certificaten is zo groot gegroeid dat dit heel gemakkelijk tot systeem falen kan leiden. Net als bij een bankencrisis.


eIDAS,

eIDAS is een wetgeving waarin alle vereisten staan om de bijpassende certificering te krijgen.

1. Er zijn verschillende levels of assurance mogelijk. Gekwalificeerd is het hoogste niveau. Een Qualified Web Authentication Certificate (QWAC) is dus het hoogst haalbare. De technische eisen en de eisen over zekerheid zijn hoger dan wat het CAB Forum eist. Dit betekent dat een QWAC aantoonbaar meer betrouwbaar is.

2. Daarnaast verordineert eIDAS onafhankelijke oordeelvorming door een geaccrediteerd externe Auditor (die zelf ook wordt geaudit) die een certificeringsrapport uitgeeft. Een onafhankelijk toezichthouder (in Nederland de Rijksinspectie voor Digitale Infrastructuur (RDI)) beslist (na ook zelfstandig onderzoek) over de toelaatbaarheid van de TSP in het eIDAS stelsel. Dus toetreding, continuering en uitsluiting van TSP's is onderworpen aan onafhankelijk onderzoek. En als hier twijfels over zijn, dan kan het oordeel van een rechter worden gevraagd

3. Vervolgens regelt eIDAS de aansprakelijk over de verschillende spelers. Die is heel expliciet. En dat maakt een mogelijke rechtsgang ook veel duidelijker. In de USA is aansprakelijkheid in het geheel niet geregeld. De afnemer en de relying party zijn daar dus vogelvrij. (anekdote: ik heb 2 dagen met de American Bar Association mee vergaderd. Het ging uitsluitend over aansprakelijkheid. Het resultaat was nul.

4. En ook regelt eIDAS de verplichting van alle Europese overheidsdiensten om de aangetoonde betrouwbaarheid te accepteren (tot het tegendeel is bewezen).

5. Tot slot. De eIDAS stelt aantoonbare compliance met de GDPR als vereiste. En ook dit wordt expliciet door de externe auditor getoetst. Let wel: ook die auditor wordt door de accrediterende instantie (in NL de Raad van Accreditatie) getoetst. Voor ieder geldt: niet goed, 'vergunning' ingetrokken. Als er één plek is waar privacy (ten behoeve van eigen verdienmodel overboord gaat, dan is het wel bij de techreuzen).

Beste mensen: eIDAS (interoperabiliteit, doorwerking, aansprakelijkheid, onafhankelijke toetsing) is het beste op certificatengebied wat Europa heeft kunnen inregelen. eIDAS wordt door artikel 45 beter. Europa behoud soevereiniteit op har digitale infrastructuur.


Artikel 45 Verplichting om QWAC op te nemen in de publieke trust stores

1. Als een Europese entiteit op basis van Europese wetgeving (die beter is dan die van Techreuzen) en op basis van onafhankelijk onderzoek besluit dat de Europese TSP betrouwbaar is, wie is de techreus dan om dit feit tegen te spreken en/of tegen te werken? Immers, aansprakelijkheid is ook geregeld. Dus die techreus kan altijd zelf ook naar de rechter stappen.

2. Als een Europese TSP blijkbaar betrouwbare certificaten levert, dan horen alle Europese overheden die certificaten ook te accepteren. Als je dat niet doet, dan is er geen sprake meer van doorwerkend vertrouwen. Dat raakt
a. de burger (die moet steeds op zoek naar hoe dan wel)
b. de website eigenaar (die kan alleen met publieke doorwerking zijn diensten leveren)
c. de TSP (als de burger en de website eigenaar geen rechtszekerheid (continuïteit) heeft, dan gaat die naar een andere leverancier op zoek (uiteindelijk uitsluitend techreus leveranciers)
d en dat raakt de Europese economie.

3. Als techreuzen de macht hebben om zonder negatieve consequenties een TSP te weigeren (die zich tav eIDAS hebben bewezen), dan leidt dat uiteindelijk tot alleen-USA-techreus-certificaten (ik kan aantonen dat dit nu al aan het gebeuren is). Dat impliceert dat Europa alle sleutels van Europese IT Infrastructuur in Amerikaanse handen leggen. Let wel: de techreuzen hebben wel degelijk onmiddellijk recht een TSP van de trust lists af te halen, maar moeten dat melden en zichh uiteindelijk verantwoorden. Dat hoort toch zo in een rechtsstaat?


Een anekdote
Bij een van de eerste bijeenkomsten van evaluatie eIDAS stelde een Europese TSP voor om één centrale Europese validatie service te maken (je weet wel: het signaal; dat het certificaat op die plek betrouwbaar is (en dat wordt dan naar mij gestuurd).
Mijn hand ging omhoog. Ik stelde voor dat ik die centrale validatie service graag wil bouwen en ook gratis wil aanbieden op voorwaarde dat ik alle validatie gegevens mag gebruiken voor elke doelstelling die ik wil.
De aanwezige mensen begrepen dat ik dan Google in advertentie inkomsten zou gaan verslaan. Het zou mij miljarden Euro's opleveren.
Het voorstel was direct van tafel.

Nu een aantal gebeurtenissen die in het licht van de anekdote staat.
1. CAB Forum voert een miljoenen kostende lobby. (overigens met aantoonbaar onjuiste argumenten). Welke opbrengst zou de techreuzen zien?
2. CABForum heeft de herkenbaarheid van Extended Validation weggehaald. (Domein validation zegt iets over of het domein bestaat; extended validation geeft aan of dat de eigenaar van de website is wie die zegt te zijn; QWAC levert daarover meer zekerheden). CABForum exploiteert eigen CA's (zoals LetsEncrypt). De administratieve last rond extended validation (of QWAC) is voor een CA als LetsEncrypt te hoog. Door het weghalen van de herkenbaarheid is de internetveiligheid voor de gemiddelde burger aanzienlijk afgenomen. (waarom wil CABForum de extra zekerheid niet meer herkenbaar hebben?)
3. CABForum eist steeds kortere levensduur van certificaten. Dat werkt kostentechnisch negatief door naar Extended Validation en QWAC.
4. de steeds veranderende eisen van CABForum (die zeker niet slecht zijn) hebben zo een korte implementatie tijd dat commerciele TSP'n dat maar moeilijk bij kunnen benen. Ik verdenk techreuzen ervan eerst zelf iets te verzinnen en te implementeren en daarna de hele wereld in een spagaat te dwingen. Het ware beter om gewenste wijzigingen wat meer tijd te geven. Voor goede voorbereiding, voor behoud interoperabiliteit, etc. Let wel: de zekerheden met een QWAC zijn al veel beter dan Domein Validated certificaten van CAB Forum.
5. De manieren waarop CABForum historisch gegroeide tegenstrijdige interpretaties als veiligheid risico kenmerken, ook dat brengt problemen naar TSP's.

Als ik een scenario zou moeten bouwen om 'alleenheerser' te worden op certificaten gebied, dan zou handelen als de techreuzen nu doen.
En als het mij zou lukken om dominant te zijn op gebied van certificaten, dan zou ik miljarden kunnen verdienen met alleen al de validatie diensten die bij certificaten horen. Dan maakt het mij ook geen bal meer uit dat ik geen tracking cookies zou mogen laden.
Ik heb dan namelijk een technische reden (om internet te kunnen laten werken) om al die validatiegegevens te krijgen.

Make it sense?
Niet? Kijk dan vooral naar het huidige gedrag van techreuzen.

Ik heb nog veel meer te delen
dat wil ik graag. zeker met de hoogleraren die de brief hebben ondertekend
07-11-2023, 10:52 door Anoniem
Door Anoniem: Tja, Ik ben hier natuurlijk redelijk anoniem.
Ondanks dit ben ik vanaf 2007 actief betrokken bij de wereld van certificaten.
En ik heb ook gewerkt in het nationaal crisis centrum van Binnenlandse Zaken tijdens de DigiNotar crisis.
Graag wil mijn kennis en ervaringen hier delen.
Daarvoor gebruik ik kennis van DigiNotar, de kennis van eIDAS wetgeving, de audit en toezichtstructuur en een aantal anekdotes.
[...]
Ik heb nog veel meer te delen
dat wil ik graag. zeker met de hoogleraren die de brief hebben ondertekend

Dank voor deze zeer uitgebreide uiteenzetting! Het heeft voor mij een hoop zaken in een beter en goed te plaatsen perspectief gezet.
Nogmaals Dank!
07-11-2023, 11:15 door Anoniem
Door Anoniem: Tja, Ik ben hier natuurlijk redelijk anoniem.
Ondanks dit ben ik vanaf 2007 actief betrokken bij de wereld van certificaten.
En ik heb ook gewerkt in het nationaal crisis centrum van Binnenlandse Zaken tijdens de DigiNotar crisis.
Graag wil mijn kennis en ervaringen hier delen.
Daarvoor gebruik ik kennis van DigiNotar, de kennis van eIDAS wetgeving, de audit en toezichtstructuur en een aantal anekdotes.
Dat was een bijzonder informatieve en inzichtelijke reactie. Dank daarvoor!

DigiNotar was destijds een grote markleider voor certificaten in Nederland. Bijna elke overheidsdienst was afhankelijk van DigiNotar certificaten. Notariaat, inklaringen, justitiele processen, ziekenhuizen, export documenten, belastingen, etc, etc. En ook de meeste bedrijven waren afhankelijk van DigiNotar certificaten. Bij directe verwijdering uit de Microsoft truststore zou Nederland op slot zijn gegaan.
Bij mij riep dat destijds de vraag op waarom we eigenlijk werken met een systeem waar maar één CA een sleutel certificeert. Als er meerdere certificaten tegelijk aan een sleutel hadden kunnen worden toegevoegd en daar ook gebruik van was gemaakt voor belangrijke diensten dan was het wegvallen van (het vertrouwen in) een CA lang niet zo dramatisch geweest.
07-11-2023, 12:35 door Anoniem
Hier Anoniem van Gisteren, 18:55. Dank voor dit duidelijke verhaal. Ik had een tijdje geleden iets gelezen over de eisen die aan deze cA's gesteld zouden worden, en dat die lager zijn dan de huidioge. Kan het artikel alleen niet terug vinden.
Echter, zoals je de audit eisen beschrijft geeft dat mij juist wel zekerheid.

Door Anoniem: Tja, Ik ben hier natuurlijk redelijk anoniem.
Ondanks dit ben ik vanaf 2007 actief betrokken bij de wereld van certificaten.
En ik heb ook gewerkt in het nationaal crisis centrum van Binnenlandse Zaken tijdens de DigiNotar crisis.
Graag wil mijn kennis en ervaringen hier delen.
Daarvoor gebruik ik kennis van DigiNotar, de kennis van eIDAS wetgeving, de audit en toezichtstructuur en een aantal anekdotes.

DigiNotar

In 2011 bestond de certificaten wereld uit nationale wetgeving waaruit (inderdaad toen ook al) betrouwbaarheid werd getoetst.
De benodigde audits waren niet meer dan Management System Audits. Je weet wel: zo'n beoordeling dat de plan-do-check-act processen op orde zijn. Nou, die waren ook bij DigiNotar op orde.

Tegelijkertijd heeft een techneut (misschien wel meerdere) hun eigen werk gemakkelijk gemaakt door hun front-end direct te koppelen met hun back-end. Dat beheert zo lekker gemakkelijk. Dat dit tegelijkertijd ook leidde tot hacken van front-end en direct valse certificaten uit hun CA werden getrokken, dat wisten die techneuten niet. En een toentertijd kon een auditor hier ook niets van vinden. Immers, het was geen product certificering audit, maar slechts een Management System audit.

De halve wereld heeft hier onderzoek naar gedaan.
Europa (en ook CAB Forum) hebben de conclusie getrokken dat er veel extra werk moest worden gedaan. En dat is ook gedaan en leidde in Europa tot de eIDAS verordening.

De discussie rond DigiNotar was of en in hoeverre ook Microsoft DigiNotar onmiddellijk uit haar trust store zou moeten verwijderen. Google deed dat (begrijpelijk, want Google diensten werden direct geraakt). Mozilla ook (daar is alleen een security fundamentalistische reden voor geweest.
DigiNotar was destijds een grote markleider voor certificaten in Nederland. Bijna elke overheidsdienst was afhankelijk van DigiNotar certificaten. Notariaat, inklaringen, justitiele processen, ziekenhuizen, export documenten, belastingen, etc, etc. En ook de meeste bedrijven waren afhankelijk van DigiNotar certificaten. Bij directe verwijdering uit de Microsoft truststore zou Nederland op slot zijn gegaan.
Anekdote: een microsoft security officer belde mij met de vraag: "waarom Nederland uitstel vroeg. Mijn simpele antwoord: Als Microsoft niet alleen in staat is om Digitaal Nederland uit te zetten, maar blijkbaar ook bereid is dat te doen, wat denk je dat er dan met een volgende aanbesteding gaat gebeuren?"

Beste mensen. Het gehele construct van certificaten is zo groot gegroeid dat dit heel gemakkelijk tot systeem falen kan leiden. Net als bij een bankencrisis.


eIDAS,

eIDAS is een wetgeving waarin alle vereisten staan om de bijpassende certificering te krijgen.

1. Er zijn verschillende levels of assurance mogelijk. Gekwalificeerd is het hoogste niveau. Een Qualified Web Authentication Certificate (QWAC) is dus het hoogst haalbare. De technische eisen en de eisen over zekerheid zijn hoger dan wat het CAB Forum eist. Dit betekent dat een QWAC aantoonbaar meer betrouwbaar is.

2. Daarnaast verordineert eIDAS onafhankelijke oordeelvorming door een geaccrediteerd externe Auditor (die zelf ook wordt geaudit) die een certificeringsrapport uitgeeft. Een onafhankelijk toezichthouder (in Nederland de Rijksinspectie voor Digitale Infrastructuur (RDI)) beslist (na ook zelfstandig onderzoek) over de toelaatbaarheid van de TSP in het eIDAS stelsel. Dus toetreding, continuering en uitsluiting van TSP's is onderworpen aan onafhankelijk onderzoek. En als hier twijfels over zijn, dan kan het oordeel van een rechter worden gevraagd

3. Vervolgens regelt eIDAS de aansprakelijk over de verschillende spelers. Die is heel expliciet. En dat maakt een mogelijke rechtsgang ook veel duidelijker. In de USA is aansprakelijkheid in het geheel niet geregeld. De afnemer en de relying party zijn daar dus vogelvrij. (anekdote: ik heb 2 dagen met de American Bar Association mee vergaderd. Het ging uitsluitend over aansprakelijkheid. Het resultaat was nul.

4. En ook regelt eIDAS de verplichting van alle Europese overheidsdiensten om de aangetoonde betrouwbaarheid te accepteren (tot het tegendeel is bewezen).

5. Tot slot. De eIDAS stelt aantoonbare compliance met de GDPR als vereiste. En ook dit wordt expliciet door de externe auditor getoetst. Let wel: ook die auditor wordt door de accrediterende instantie (in NL de Raad van Accreditatie) getoetst. Voor ieder geldt: niet goed, 'vergunning' ingetrokken. Als er één plek is waar privacy (ten behoeve van eigen verdienmodel overboord gaat, dan is het wel bij de techreuzen).

Beste mensen: eIDAS (interoperabiliteit, doorwerking, aansprakelijkheid, onafhankelijke toetsing) is het beste op certificatengebied wat Europa heeft kunnen inregelen. eIDAS wordt door artikel 45 beter. Europa behoud soevereiniteit op har digitale infrastructuur.


Artikel 45 Verplichting om QWAC op te nemen in de publieke trust stores

1. Als een Europese entiteit op basis van Europese wetgeving (die beter is dan die van Techreuzen) en op basis van onafhankelijk onderzoek besluit dat de Europese TSP betrouwbaar is, wie is de techreus dan om dit feit tegen te spreken en/of tegen te werken? Immers, aansprakelijkheid is ook geregeld. Dus die techreus kan altijd zelf ook naar de rechter stappen.

2. Als een Europese TSP blijkbaar betrouwbare certificaten levert, dan horen alle Europese overheden die certificaten ook te accepteren. Als je dat niet doet, dan is er geen sprake meer van doorwerkend vertrouwen. Dat raakt
a. de burger (die moet steeds op zoek naar hoe dan wel)
b. de website eigenaar (die kan alleen met publieke doorwerking zijn diensten leveren)
c. de TSP (als de burger en de website eigenaar geen rechtszekerheid (continuïteit) heeft, dan gaat die naar een andere leverancier op zoek (uiteindelijk uitsluitend techreus leveranciers)
d en dat raakt de Europese economie.

3. Als techreuzen de macht hebben om zonder negatieve consequenties een TSP te weigeren (die zich tav eIDAS hebben bewezen), dan leidt dat uiteindelijk tot alleen-USA-techreus-certificaten (ik kan aantonen dat dit nu al aan het gebeuren is). Dat impliceert dat Europa alle sleutels van Europese IT Infrastructuur in Amerikaanse handen leggen. Let wel: de techreuzen hebben wel degelijk onmiddellijk recht een TSP van de trust lists af te halen, maar moeten dat melden en zichh uiteindelijk verantwoorden. Dat hoort toch zo in een rechtsstaat?


Een anekdote
Bij een van de eerste bijeenkomsten van evaluatie eIDAS stelde een Europese TSP voor om één centrale Europese validatie service te maken (je weet wel: het signaal; dat het certificaat op die plek betrouwbaar is (en dat wordt dan naar mij gestuurd).
Mijn hand ging omhoog. Ik stelde voor dat ik die centrale validatie service graag wil bouwen en ook gratis wil aanbieden op voorwaarde dat ik alle validatie gegevens mag gebruiken voor elke doelstelling die ik wil.
De aanwezige mensen begrepen dat ik dan Google in advertentie inkomsten zou gaan verslaan. Het zou mij miljarden Euro's opleveren.
Het voorstel was direct van tafel.

Nu een aantal gebeurtenissen die in het licht van de anekdote staat.
1. CAB Forum voert een miljoenen kostende lobby. (overigens met aantoonbaar onjuiste argumenten). Welke opbrengst zou de techreuzen zien?
2. CABForum heeft de herkenbaarheid van Extended Validation weggehaald. (Domein validation zegt iets over of het domein bestaat; extended validation geeft aan of dat de eigenaar van de website is wie die zegt te zijn; QWAC levert daarover meer zekerheden). CABForum exploiteert eigen CA's (zoals LetsEncrypt). De administratieve last rond extended validation (of QWAC) is voor een CA als LetsEncrypt te hoog. Door het weghalen van de herkenbaarheid is de internetveiligheid voor de gemiddelde burger aanzienlijk afgenomen. (waarom wil CABForum de extra zekerheid niet meer herkenbaar hebben?)
3. CABForum eist steeds kortere levensduur van certificaten. Dat werkt kostentechnisch negatief door naar Extended Validation en QWAC.
4. de steeds veranderende eisen van CABForum (die zeker niet slecht zijn) hebben zo een korte implementatie tijd dat commerciele TSP'n dat maar moeilijk bij kunnen benen. Ik verdenk techreuzen ervan eerst zelf iets te verzinnen en te implementeren en daarna de hele wereld in een spagaat te dwingen. Het ware beter om gewenste wijzigingen wat meer tijd te geven. Voor goede voorbereiding, voor behoud interoperabiliteit, etc. Let wel: de zekerheden met een QWAC zijn al veel beter dan Domein Validated certificaten van CAB Forum.
5. De manieren waarop CABForum historisch gegroeide tegenstrijdige interpretaties als veiligheid risico kenmerken, ook dat brengt problemen naar TSP's.

Als ik een scenario zou moeten bouwen om 'alleenheerser' te worden op certificaten gebied, dan zou handelen als de techreuzen nu doen.
En als het mij zou lukken om dominant te zijn op gebied van certificaten, dan zou ik miljarden kunnen verdienen met alleen al de validatie diensten die bij certificaten horen. Dan maakt het mij ook geen bal meer uit dat ik geen tracking cookies zou mogen laden.
Ik heb dan namelijk een technische reden (om internet te kunnen laten werken) om al die validatiegegevens te krijgen.

Make it sense?
Niet? Kijk dan vooral naar het huidige gedrag van techreuzen.

Ik heb nog veel meer te delen
dat wil ik graag. zeker met de hoogleraren die de brief hebben ondertekend
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.