Kar amacı gütmeyen kuruluşun üst düzey kamu politikası yöneticisi, Mozilla’nın MEP’lere mesajının çekiş kazanıyor gibi göründüğünü söylüyor
Mozilla, AB milletvekillerini web tarayıcılarını blok tarafından oluşturulan tartışmalı web sertifikalarının geçerliliğini tanımaya zorlamaktan caydırmak için çabalarını artırdı.
Firefox tarayıcısının kar amacı gütmeyen mimarı, Avrupa Parlamentosu Üyelerini (MEP’ler), Avrupa Komisyonu (EC) tarafından sunulan ve tarayıcıları Nitelikli Web Sitesi Kimlik Doğrulama Sertifikalarını (QWAC’ler) kabul etmeye mecbur edecek önerileri değiştirmeye çağıran bir kampanya başlattı.
QWACKers
AB, bir web sitesinin iddia edilen kimliğini doğrulamak ve bu nedenle – teoride – kullanıcıları dolandırıcılık, kötü amaçlı yazılım ve gözetimden korumak için 2014 yılında QWAC’leri oluşturdu.
Bununla birlikte, bir dereceye kadar dayanan QWAC’ler itibarsız Genişletilmiş doğrulama sertifikaları, piyasaya sürüldüklerinden bu yana geçen sekiz yıl içinde web ekosisteminde önemli bir yer edinememişlerdir.
Mozilla, QWAC’lerin mevcut, uzun süredir devam eden web kimlik doğrulama ekosisteminden daha düşük olduğunu ve EC önerisinin baypas ederdi “İnternetteki siber suçlara karşı kritik ilk savunma hattı”.
MEP’lerin Ekim ayında öneriyi oylamaları beklenirken, Mozilla bir #GüvenlikRiskÖnümüzde dün (13 Temmuz) Brüksel’deki Avrupa Parlamentosu’nun önünde düzenlenen karnaval tarzı bir ördek avı oyunu ile kampanya.
Mozilla’nın Avrupa’dan sorumlu kıdemli kamu politikası yöneticisi Owen Bennett şunları söyledi: Günlük Swig Mozilla’nın mesajı ilgi görüyor gibi görünüyordu.
QWACs değişikliği – madde 45.2 – yakın tarihli bir belgeden silinmiştir. taslak rapor (PDF) AB’nin dijital kimlik çerçevesi Revizyonlara uyum sağlamak için ve güvenlikle ilgili çeşitli değişikliklerin zaten mecliste masaya yatırıldığını söyledi.
Bir açık mektup Bennett’e göre, Mart ayında 38 güvenlik uzmanı tarafından yayınlanan yeniden düşünme çağrısı, MEP’leri ikna etmede “büyük bir dönüm noktası” oldu.
Internet Society, Electronic Frontier Foundation (EFF) ve dünyanın en büyük sertifika otoritesi Let’s Encrypt de teklife karşı kampanya yürüttü.
güvenilir sistem
Tarayıcı yönlendirmeli web kimlik doğrulama sistemi, TLS şifreli HTTPS protokolünü kullanan ve güvenli durumlarının reklamını yapmak için URL adres çubuğunda bir asma kilit simgesi görüntüleyen sertifikalı web sitelerini görür.
OKUMAYI UNUTMAYIN HTTP/3, RFC 9114’e dönüşüyor – bir güvenlik avantajı, ancak zorluklar da yok
Web veya SSL sertifikaları şu anda Mozilla ve Google, Microsoft ve Apple dahil olmak üzere diğer önde gelen tarayıcı üreticileri tarafından incelenen 100’den fazla sertifika yetkilisi (CA) tarafından verilmektedir.
AB üye devletlerinin hükümetleri tarafından onaylanan ‘Güven Hizmet Sağlayıcıları’ (TSP’ler) tarafından yayınlanan QWAC’leri eleştirenler, karşılaştırılabilir teknik uzmanlık ve kaynaklardan yararlanamayacaklarını savunuyorlar. Ayrıca, yüz milyonlarca web kullanıcısının, statükonun geniş çapta ve haklı bir şekilde güvenilir olduğunun kanıtı olarak ödeme kartı ayrıntılarını çevrimiçi olarak memnuniyetle gönderdiği gerçeğine de işaret edebilirler.
Mozilla, Avrupa Parlamentosu’nun dışına çıkarak mesajını doğrudan MEP’lere iletiyor
Mozilla CSO’su Marshall Erwin, iyi niyetli AK önerisinin “başka bir yerde kopyalanması halinde, düzenlemenin hükümetlere devlet destekli internet trafiği gözetimini gerçekleştirme araçları vereceği” konusunda uyardı.
Mozilla, büyük ölçekli gözetleme kampanyalarından alıntı yaptı: 2011 yılında İran’ın teokrasi ve hükümetleri Kazakistan ve Mauritius Düzenlemenin mümkün kılabileceği faaliyet örnekleri olarak sırasıyla 2020 ve 2021’de.
‘Web sitesi güvenliğinde tavan’
Bennet, “Madde 45, web sitesi güvenliğine bir tavan getiriyor” dedi. “QWAC’leri kabul etmeniz, herhangi bir ek koruma uygulamamanız ve bir sertifika yetkilisinin güvenliği ihlal edildiği tespit edildiğinde herhangi bir işlem yapmamanız gerektiğini söylüyor. Bu bizim için Firefox kullanıcıları için savunulamaz bir risk oluşturuyor.”
AB’nin dijital kimlik çerçevesi, elektronik Tanımlama, Kimlik Doğrulama ve Güven Hizmetlerine dahil edilecektir (eIDAS) güven hizmetleri için bir Avrupa iç pazarının ortaya çıkmasını kolaylaştırmak için 2014 yılında yürürlüğe giren düzenleme.
ÖNERİLEN Merkezi Olmayan Tanımlayıcılar: Yeni nesil web kimliği teknolojisi hakkında bilmeniz gereken her şey
Bennett, kampanyanın “tüm yönetmeliği havaya uçurmak” amacında olmadığını söyledi. Mozilla tarayıcılara “QWAC’leri yayınlayan bir kuruluş mevcut güvenlik standartlarını karşılamadığında veya bir güvenlik riski oluşturduğunda harekete geçme konusunda takdir yetkisi” vermek için “bazı küçük ince ayarlar” istedi.
için bir sözcü Avrupalı Komisyon anlattı Günlük Swig:
eIDAS Yönetmeliği teknolojiden bağımsızdır. QWAC’ler, 2014 yılında güveni artırmak ve sahtekarlığı azaltmak için bir araç olarak tanıtıldı ve PSD2 ortamında güvenilir işlemleri sağlamak için kullanılıyor (Ödeme Hizmeti Sağlayıcılarının tanımlaması için bir araç olarak).
Tarayıcı topluluğu tarafından dile getirilen endişeler, Komisyonun yasal teklifi tarafından desteklenmeyen QWAC’leri tanıma yükümlülüğünün teknik uygulamasının anlaşılmasına dayanmaktadır. Komisyon önerisi, mevcut kök mağaza politikalarına ve web tarayıcısı güvenlik gereksinimlerine müdahale edilmeden elde edilebilecek, tarayıcı ortamında QWAC’lerin tanınmasını sağlamayı amaçlamaktadır. AB yasalarına göre güvenilir olarak verilen bir sertifikanın tarayıcı topluluğu tarafından bu şekilde tanınmaması için hiçbir neden yoktur.
İlgili standardizasyon kuruluşları ve yaygın ve küresel olarak kabul edilen standartların mevcudiyeti ile işbirliği içinde, Madde 45’te atıfta bulunulan uygulama yasası, QWAC’lerin yukarıdakilere uygun olarak tanınmasını sağlayacak teknik şartnameleri/uygulanabilir standartlara ilişkin referansları belirleyecektir.
BUNU DA BEĞENEBİLİRSİN HTTPS üzerinden kayıtsız DNS, güvenli arama protokolü için gizlilik geliştirmeleri sunar