Küresel teknoloji sektörünü temsil eden kuruluşlar ve şirketler, Avrupa Birliği tarafından kabul edilen bir düzenlemenin dünya çapındaki tarayıcıların güvenliğini ve güvenini zayıflatacağı, devlet destekli web trafiğinin dinlenmesine olanak sağlayacağı ve bölge dışı olacağı konusunda uyarıda bulunuyor.
AB teklifi, Elektronik Kimlik Doğrulama, Kimlik Doğrulama ve Güven Hizmetleri (eIDAS) sürüm 2’nin 45. Maddesi, Nitelikli Web Kimlik Doğrulama Sertifikalarını (QWAC’ler) zorunlu kılıyor ve AB ile çoğunlukla Kuzey Amerika teknoloji sektörü arasında tırmanan bir anlaşmazlığa neden oldu.
Sorun, önerilen düzenlemenin tüm tarayıcıların “yöntemlerden herhangi biri kullanılarak sağlanan kimlik verilerinin kullanıcı dostu bir şekilde görüntülenmesini sağlamak” için QWAC kullanması yönündeki gerekliliğinin mevcut Sertifika Otoritesi ekosistemine zararlı olup olmadığıdır.
Mozilla, Google, Cloudflare, Linux Vakfı ve İnternet Topluluğu da dahil olmak üzere çeşitli kuruluşlar, 45. Maddenin metni değişmediği takdirde, sonuçta tüm tarayıcıların AB tarafından zorunlu kılınan bir güvenilir kök Sertifika Yetkilileri (CA’lar) listesi taşımasını gerektireceği konusunda uyarıyor ).
Mozilla destekli bu açık mektupta ileri sürülen suçlama [pdf]mevcut ifadesindeki düzenlemenin, tarayıcılarda zorunlu sertifikaları ve kriptografik anahtarları zorunlu kılarak kötü niyetli hükümetlerin trafiği engellemesine izin vermesidir.
Mektupta, “Mevcut dil kesin değil ve tarayıcıların, her AB üye devletinin web sitelerinin alan adını doğrulamak amacıyla atadığı sertifika yetkililerini tanımasını gerektirdiği şeklinde yorumlanma riski var” denildi.
Mektup şöyle devam ediyordu: “Sertifika yetkilileri tarafından sağlanan sertifikalar aynı zamanda e-posta, ses ve video, mesajlaşma, yazılım dağıtımı ve işletmeler tarafından kullanılan diğer birçok özel iletişim biçimi dahil olmak üzere küresel ticareti birçok açıdan güvence altına alıyor”, diye devam ediyordu mektup.
Mozilla (diğerlerinin yanı sıra), Avrupa dışındaki bir kullanıcının zorunlu kök CA’ya güvenmediği sürece QWAC taşıyan sitelere erişemeyeceği için kuralların etkili bir şekilde bölge dışı olduğunu belirtti.
İnternet Topluluğu (ISOC) geçtiğimiz hafta mekanizmanın “bir ‘hükümet kök’ sertifikası eklemek ve böylece bu sertifikalarla güvence altına alınan tüm tarayıcı oturumlarına erişim sağlamak için kullanılabileceği” konusunda uyardı ve bunun “temel haklara yönelik ciddi bir tehdit” olacağını ekledi. ” ve “AB için bir siber güvenlik tehdidi.”
Bir açık mektup daha [pdf]33 ülkede 400’den fazla bilim insanı ve araştırmacı tarafından imzalanan belgede de benzer uyarılar yer alıyor ve şu ifadelere yer veriliyor: “Mevcut teklif, hükümetlerin hem kendi vatandaşlarını hem de AB çapında ikamet edenleri gözetleme yeteneğini, onlara şifrelenmiş verileri ele geçirmek için teknik araçlar sağlayarak kökten genişletiyor.” web trafiğinin yanı sıra Avrupa vatandaşlarının güvendiği mevcut denetim mekanizmalarını da baltalıyor.”
ISOC ve Electronic Frontiers Foundation ayrıca Madde 45’in bir web sitesinin kimliği ile Aktarım Katmanı Güvenliği (TLS) kullanılarak bu siteyle olan iletişimin güvenliği arasındaki çizgiyi bulanıklaştırdığı konusunda uyarıyor.
EFF geçen yıl şunları söyledi: “eIDAS Madde 45 teklifi, web sitesi sahibinin yasal ve güvenli kimliğini garanti etmeye çalışıyor – ancak TLS’nin çözmek için tasarladığı sorun bu değil.”
EFF’nin açıklamasında TLS’nin erişilebilir olması gerektiği belirtildi ancak QWAC’lerin zorunlu kılınması “TLS dağıtımını altı yıl geriye götürüyor” çünkü “tüm etki alanı sahiplerinin sertifikalarını kendi kendine yönetebilecek teknik uzmanlığa ve parasal kaynaklara sahip olmasını” gerektiriyor.
ISOC şunları söyledi: “Mevcut Madde 45 metni, QWAC’ler ve tarayıcı bağlantı sertifikaları arasındaki ilgili işlevsel farklılıklar hakkında yeterli netlik ve ayrıntıdan yoksundur.
“Kullanıcılar birini diğeriyle karıştırırsa, her bir sertifika türünün ‘anlamına’ ilişkin hatalı varsayımlara dayalı olarak yanlış yönlendirilmiş güven kararları vermeleri muhtemeldir.”
AB geri itmesi
AB birkaç yıldır QWAC’lerin kullanımı için baskı yapıyor.
AB’nin siber güvenlik kurumu ENISA, bu 2022 sunumunda şunları belirtiyor: [pdf] QWAC’lerin kabul edilmesi için yapılan bu diyalog 2018’e kadar uzanıyor.
ENISA, tarayıcıların bireysel kötü QWAC’lere güvenmemesine izin vermek ve güvensizlik için şeffaf bir kurum çağrısında bulunmak gibi reformlar çağrısında bulunurken, Madde 45’in tarayıcı satıcıları tarafından kabul edilebilir hale getirilebileceğine inanıyor.
Avusturyalı A-Trust şirketi liderliğindeki AB merkezli imza sağlayıcılardan oluşan bir lobi olan Avrupa İmza Diyalogu (ESD), QWAC’lara yönelik muhalefeti rayından çıkarmayı umuyor ve bu beyanı yayınladı [pdf] Mozilla’nın iddialarını çürütüyor.
ESD, “Kampanya, AB’nin Nitelikli Web Kimlik Doğrulama Sertifikalarını kapsayan 45. Maddede yapılan değişiklikleri engellemek amacıyla eIDAS mevzuatı hakkında ciddi yanlış bilgiler öne sürüyor” dedi ve “mevzuatın Avrupa vatandaşlarının çevrimiçi güvenliğini artıracağını” ekledi.
ESD, mevcut sertifikaların kullanıcıların web sitesi sahiplerinin kimliğini bilmesini garanti etmediğini ve bunun, kullanıcıların kişisel verileri kime sağladıklarını bilmelerini gerektiren GDPR’yi ihlal ettiğini söylüyor.