Şifreleme ve Anahtar Yönetimi, Güvenlik Operasyonları, Standartlar, Düzenlemeler ve Uyumluluk
Revize Edilen eIDAS Web Sertifikası Talimatı Üzerinden Siber Güvenlik Kaygıları Devam Ediyor
Akşaya Asokan (asokan_akshaya) •
10 Kasım 2023
Avrupa Birliği milletvekilleri ve ticaret bloğu hükümetleri, önümüzdeki on yılın başında Avrupalıların çoğunluğunun temel kamu hizmetlerine erişimini dijitalleştirmeyi amaçlayan revize edilmiş bir kimlik çerçevesi üzerinde geçici bir anlaşmaya vardı.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Avrupa Parlamentosu ve Konseyi tarafından Çarşamba günü yapılan duyuru, daha çok eIDAS olarak bilinen elektronik kimlik belirleme ve güven hizmetleri düzenlemelerinde, yürürlüğe girmesinden çok kısa bir süre sonra bir revizyon getiriyor. Teklifin nihai metni, nihai onay için Parlamento ve üye devletler konseyinin onayına sunulacak.
Yeni girişim kapsamında Avrupa Komisyonu, 2030 yılına kadar 10 Avrupalıdan 8’inin farklı çevrimiçi hizmetlere erişmek için dijital kimliği kullanabileceğini öngörüyor. Destekçiler, ulusal dijital kimliklerle bağlantılı ücretsiz dijital cüzdanların, sürücü ehliyetlerinin ve eğitim bilgilerinin fiziksel kopyalarının yerini alacağını söylüyor. Avrupa Konseyi, “Vatandaşlar cep telefonlarındaki tek tuşla kimliklerini kanıtlayabilecek ve dijital cüzdanlarındaki elektronik belgeleri paylaşabilecekler.” dedi.
Güncelleme, siber güvenlik uzmanları tarafından evrensel olarak hoş karşılanmıyor; bunlardan bazıları, web tarayıcılarının, sitenin sahibi olan kuruluşun kimliğini gösteren çevrimiçi sertifikaları kabul etmesi zorunluluğundan rahatsız oluyor (bkz.: Tarayıcı Yapımcıları ve AB, QWAC Konusunda Karşı Karşıya).
AB’nin, daha yaygın olarak QWAC’ler olarak bilinen, nitelikli web kimlik doğrulama sertifikaları önerisi, Avrupa hükümetleri tarafından nitelikli güven hizmeti sağlayıcıları olarak belirlenen kuruluşlar tarafından verilen kök depo sertifikalarına yerleştirilecektir.
Aralarında Mozilla, Apple ve Google’ın da bulunduğu tarayıcı üreticileri itiraz etti ve Mozilla, tarayıcı muhalefetinin kamusal yüzü haline geldi. Cloudflare ve aralarında Cloudflare’in de bulunduğu diğer kuruluşlar 2 Kasım tarihli bir mektupta “Web tarayıcıları ve işletim sistemleri tarafından çalıştırılan kök depo programları internet güvenliğinin temelini oluşturur” dedi. Bir Avrupa ülkesi tarafından verilen kötü bir sertifika “diğer tüm üye ülkelerin vatandaşlarını etkileyecektir.”
Muhalifler ayrıca Avrupa Telekomünikasyon Standartları Enstitüsü’nün QWAC’lar için standartlar belirlemedeki rolüne de itiraz ettiler. “Bu, kök depoların, hesap verebilirliği artırmak için Sertifika Şeffaflığının kullanılmasını zorunlu kılmak gibi geçmişte etkili olan politikaları izin olmadan uygulayamayacağı anlamına geliyor” dediler.
Avrupalı yasa koyucular, tarayıcı yapımcılarını QWAC’leri iptal etmelerine izin veren bir dil ekleyerek yumuşatmaya çalıştılar, ancak muhalifler bunun yine de Avrupalı sertifika yetkililerine çok fazla yetki vereceğini söyledi.
Çarşamba günkü duyuruda, nihai teklifin “köklü endüstri güvenlik kuralları ve standartlarını” koruduğu belirtiliyor. Bir Mozilla sözcüsü Bilgi Güvenliği Medya Grubu’na “bunun nasıl başarıldığını görmenin zor olduğunu” söyledi.
Sözcü, “Metin kamuya açıklanana kadar bu tür değişikliklerin etkisini değerlendiremeyiz” dedi. “O zamana kadar, eIDAS’ın web trafiğinin gözetimine ve müdahalesine izin vermemesini sağlamak için çalışmaya devam edeceğiz” çünkü sertifikaları veren kişi potansiyel olarak sertifikayla şifrelenmiş bilgilerin şifresini çözebilir.