Şifreleme ve Anahtar Yönetimi , Güvenlik İşlemleri , Standartlar, Yönetmelikler ve Uyumluluk
AB, 2030’a Kadar Kamu Hizmeti Erişimini Dijitalleştirmek için Revize Edilmiş Kimlik Çerçevesini Onaylayacak
Akşaya Asokan (asokan_akshaya), David Perera’nın (@daveperera) •
25 Nisan 2023
İnternet şifrelemesini destekleyen altyapı üzerinde daha fazla kontrol sağlamaya yönelik bir Avrupa çabası, bazı güvenlik uzmanlarının bozulmuş web sitesi güvenliği konusunda uyarıda bulunmasına neden oldu.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
Avrupa Birliği, önümüzdeki on yılın başında Avrupalıların çoğunluğu için temel kamu hizmetlerine erişimi dijitalleştirmeyi amaçlayan gözden geçirilmiş bir kimlik çerçevesini onaylamanın zirvesindedir (bkz:: Avrupa Dijital Kimlik Yasa Tasarısı Nihai Müzakerelere Gidiyor).
Daha çok eIDAS olarak bilinen elektronik tanımlama ve güven hizmetleri düzenlemelerindeki neredeyse eksiksiz güncellemenin bir bölümü, web tarayıcılarına farklı türde bir kimlik gereksinimi getirir. Taraftarlara göre amaç, web tarayıcılarının sitenin sahibi olan kuruluşun kimliğini göstermesini zorunlu kılarak çevrimiçi güveni artırmaktır. Bu, tarayıcıların Avrupa hükümetleri tarafından nitelikli güven hizmeti sağlayıcıları olarak belirlenmiş kuruluşlar tarafından verilen web sertifikalarını kabul etmesiyle yapılabilir.
Sertifikaların kendileri, nitelikli web sitesi kimlik doğrulama sertifikaları veya daha yaygın olarak, bir ördeğin söyleyeceği şekilde telaffuz edilen QWAC’ler olarak bilinir.
Savunucuların ve eleştirmenlerin argümanlarının altında, nihayetinde web sertifikalarının işlevi hakkında çatışan bir dizi varsayım yatmaktadır. Taraftarlar, bir web sitesinin güvenilir olduğunu garanti edebilmeleri gerektiğini söylüyorlar. Eleştirmenler için simge yalnızca bağlantının şifreli olduğu anlamına gelir.
vak! Root Store’da bir QWAC var
Sıradan web kullanıcıları web sertifikalarını düşünmek için nadiren dururlar, ancak bunlar çevrimiçi güvenliğin mihenk taşıdır. İnternette yalpalayan trafiği şifrelemekten, e-ticaret sitelerinin ödeme kartlarını toplamasını ve tıbbi hastaların hassas verileri hastane hasta portallarıyla paylaşmasını güvenli hale getirmekten sorumludurlar.
Tarayıcı adres çubuğundaki URL’nin yanında bir kilit simgesi olduğundan, kullanıcılar bir web sitesinin geçerli bir web sertifikasına sahip olduğunu bilir. Web sertifikaları, “güvenli” anlamına gelen https protokolündeki “s” harflerinin arkasındaki teknolojiyi uygular.
Bir QWAC, web sitesi sahiplik verilerini dahil ederek tarayıcıların şu anda web sertifikalarını görüntüleme biçiminin bir adım ötesine geçer. Önerilen eIDAS düzenlemesi, tarayıcıların bu verileri kilit simgesiyle birlikte tutarlı, kullanıcı dostu bir şekilde görüntülemesi gerektiğini söylüyor.
Düzenli olarak web sertifikaları hakkında düşünen küçük web kullanıcıları alt kümesi için, konu, bir kuruluşa dünyadaki dört büyük kök mağaza – Microsoft, Google – için sertifikaların “kök” yayıncısı olarak güvenilip güvenilemeyeceği konusundaki hararetli tartışmalarla işaretlenir. , Apple ve Mozilla. Bu dünya, 2011’de feshedilmiş sertifika yetkilisi DigiNotar örneğinin peşini bırakmadı; bilgisayar korsanları, daha sonra yüzbinlerce kişinin tuttuğu Gmail hesaplarına ortadaki adam saldırısını etkinleştirmek için kullanılan sahte sertifikalar vermek üzere kök sertifika altyapısına girdikten sonra kapandı. İranlıların.
Sertifikaları kim yayınlıyorsa, potansiyel olarak şifrelenmiş bilgileri internette çapraz olarak görebilir. Dört ana kök deposu için güven kolay kazanılmaz. Gözden geçirilmiş eIDAS önerisi kapsamında, tarayıcıların Avrupa Birliği hükümetleri tarafından belirlenen ve nitelikli güven hizmeti sağlayıcıları olarak bilinen kuruluşlar tarafından yayınlanan QWAC’leri kabul etmesi gerekecek.
Avrupa Birliği, “bazıları büyük, bazıları küçük 27 üye devletten oluşuyor. Bu 27 ülkenin tümü, temelde ‘Bulgaristan’daki bu küçük şirkete artık tüm internet güvenmelidir’ deme gücüne sahip olacak” dedi. açık sözlülük karşılığında anonimlik talep eden kıdemli sertifika güvenlik yöneticisi.
Google, Apple ve Mozilla, teklife karşı aktif olarak lobi yaptı ve özellikle Mozilla, muhalefetin kamusal yüzü haline geldi. Mozilla, zorunlu QWAC’lerin en kötü durum senaryosunu çizdi ve bunların kimlik avı web sitelerine yanlış güvenilirlik sağlamak ve ortadaki adam saldırılarını kolaylaştırmak için kullanılabileceğini belirtti.
Mozilla’nın küresel ürün politikası başkanı Udbhav Tiwari, Information Security’ye verdiği demeçte, Mozilla’nın ana itirazının, QWAC’lerin “sınıfının en iyisi siber güvenlik standartlarımızı ve açık kök mağaza dahil etme sürecimizi karşıladıklarına dair herhangi bir kontrol olmaksızın tarayıcı kök depolarına zorunlu olarak dahil edilmesi” olduğunu söyledi. Medya Grubu.
Her web sertifikası uzmanı, tarayıcıların QWAC’leri kabul etmesinin dünyanın sonunun geldiğini düşünmez. DigiCert’in üst düzey yöneticisi ve CA/Browser Forum’un şu anki başkanı olan Dean Coclin, sertifikaları verebilecek bir kuruluş olarak atanmanın, kuruluşların sıkı denetimlerden geçmesini gerektirdiğini söyledi. “Tarayıcı güvenilir listesinin geçtiği denetimlerin aynısından geçen birine neden güvenmesinler?”
Kıdemli sertifika güvenlik yöneticisi, QTSP seçiminin bürokratik sürecine daha az güvenir. Ulusal olarak belirlenmiş denetim organları – kuruluşlara QWAC’ler düzenleme yeteneği veren kuruluşlar – yetenek ve personel bakımından farklılık gösterir. Yönetici, “Avrupa’daki küçük sertifika yetkilileri, denetim organlarının arkasına saklanacak” dedi. “İnternette güvenlik siyasetten bağımsız olmalıdır.”
eIDAS güncellemesi Avrupa Parlamentosu ile Avrupa Konseyi arasındaki son müzakere turu için ayrıldığında, müzakereciler tarayıcı üreticilerini yumuşatacağını umdukları bir dil kullandılar. QWAC’leri kabul etme gerekliliği, iptal gibi önlemler “gereğince gerekçelendirildiği” sürece, kötü bir yayıncının sertifikalarını, uzlaşmacı dil durumlarını iptal etmelerini engellemez. Şu anki teklif, tarayıcı üreticilerinin, yakın gözlemcilerin uygulama düzenlemelerinde bir uyuşmazlık çözüm mekanizması olarak kodlanacağını söylediği bir dilde Avrupa makamlarına bildirimde bulunmalarını gerektirecek.
Eleştirmenler etkilenmemiş. Electronic Frontier Foundation’da kamu yararına teknoloji direktörü Jon Callas, “Hala iyi değil. Güvenlikten ödün vermemeliyiz” dedi.
EV Sertifikasının İadesi?
Muhaliflerin itirazı, kök mağaza dahil edilmesinin ötesine geçiyor. Bazıları, bir web sertifikası aracılığıyla web sitesi sahiplik bilgilerini gösteren bir tarayıcıya sahip olma konseptinden hoşlanmaz. EFF’den Callas, teoride pratikten daha iyi olan bir fikir dedi.
Web sertifikası dünyası, “genişletilmiş doğrulama” sertifikaları yayınlayarak konsepti çoktan denedi. Yaklaşık 2019’a kadar on yıl boyunca, bir EV sertifikası tespit eden büyük tarayıcılar, kullanıcılara web sitesi sahibinin ek bir doğrulama katmanından geçtiğini söylemek için yeşil renkli bir göstergenin bazı varyasyonlarını gösteriyordu. Bazı tarayıcılar URL çubuğunun tamamını yeşile çevirirken, diğerleri yeşil renkli bir kilit simgesiyle yetindi. EV sertifikaları hala mevcuttur, ancak bir web sitesi sahibinin bunun için ödeme yapıp yapmadığını belirlemek, çoğu kullanıcının gitmek istediğinden daha fazla sertifika verisine girmeyi gerektirir.
Callas, EV sertifikaları “pahalıydı ve temelde işe yaramadı. Bir dizi basit durumda çalıştılar, ancak genel olarak işe yaramadılar” dedi. Bir sorun, dedi, özellikle küresel internette her kuruluş adının benzersiz olmaması. Kullanıcılar, EV sertifikasına sahip bir web sitesini ziyaret edebilir ve yine de yanlış sitede olabilir.
Araştırmacılar, bir EV sertifikası görüntüleyen yazım hatası yapılmış siteler aracılığıyla, adlandırma çakışmalarının kötü aktörler tarafından nasıl istismar edilebileceğini gösterdi.
Taraftarlar, EV sertifikası almak için mevcut bir organizasyonu doğru bir şekilde taklit etmenin zor olduğunu ve EV sertifikası sitelerinin düşük oranlarda kimlik avı sitelerine sahip olduğunu tespit eden diğer araştırmalara karşı çıkıyor.
Tarayıcı üreticilerinin kararı, EV yeşil ışığının nihayetinde yararlı olmadığı yönündeydi. Google, EV sertifikalarını belirgin bir şekilde göstermeyi durdurma kararını açıklayan 2019 tarihli bir blog gönderisinde, kullanıcıların buna dikkat etmediğini söyledi.
Eleştirmenler ayrıca, kimliği şifreleme sertifikalarına bağlamaya yönelik Avrupa spesifikasyonunun web sitelerinin sayfaları nasıl yüklediğini gözden kaçırdığını söyleyerek QWAC’lere teknik itirazlarda bulunuyor. Alt alan adlarına sahip modern, büyük web siteleri yalnızca bir sertifika değil, birçok sertifika kullanır. Birden fazla QWAC almanın ve ardından site yapılandırması değişirse yeni QWAC’leri yeniden edinmenin zor olacağını söylüyorlar – özellikle belirlenmiş güven sağlayıcının yeni sertifikaları otomatik olarak onaylama yeteneğinin kısıtlamaları göz önüne alındığında.
Eleştirmenler, teknik spesifikasyonun web sitesi sertifika şifrelemesini engelleyen antivirüs taramasıyla da uyumsuz olduğunu söylüyor.
Tarayıcı üreticileri, nt-QWAC adlı alternatif bir teknik özellik önerdiler, ancak henüz Avrupa makamlarından onay almadı. DigiCert’ten Coclin, “Yine, bu, sertifikaları kimlikle değil, yalnızca bir alanla ilişkilendirmek isteyen tarayıcılara indirgeniyor” dedi.
Avrupa Parlamentosu ve Avrupa Konseyi’nin – Avrupa Birliği üye ülkelerinin hükümet bakanlarından oluşan bir organ – zorunlu QWAC’leri imzaladığı göz önüne alındığında, nihai tüzüğün bunları içermesi neredeyse garantidir. Hem eleştirmenler hem de rakipler için, bir sonraki çatışma turu, QWAC ile dolu bir dünyada tarayıcılar için kuralları belirleyen uygulama düzenlemeleriyle gelecek.