Εάν εγκριθεί μια πρόταση ενώπιον του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, η ασφάλεια του HTTPS στο πρόγραμμα περιήγησης σας μπορεί να χειροτερέψει κατά πολύ. Μια προτεινόμενη τροποποίηση του άρθρου 45 του πλαισίου ψηφιακής ταυτότητας της ΕΕ (eIDAS) θα είχε σημαντικά δυσμενείς επιπτώσεις στην ασφάλεια σε εκατομμύρια χρήστες που περιηγούνται στον Ιστό.
Η τροπολογία απαιτεί από τα προγράμματα περιήγησης να εμπιστεύονται τρίτα μέρη που ορίζονται από την κυβέρνηση, χωρίς τις απαραίτητες διαβεβαιώσεις ασφαλείας. Αλλά το να εμπιστευτείς ένα τρίτο μέρος που αποδεικνύεται ανασφαλές ή απρόσεκτο μπορεί να έχει σαν αποτέλεσμα να θίγεται το απόρρητο των χρηστών, να υπάρχει διαρροή προσωπικών ή οικονομικών πληροφοριών και να γίνεις στόχος κακόβουλου λογισμικού ή κατασκοπείας.
Τι είναι οι CA;
Οι Certificate Authorities (CA) είναι αξιόπιστοι συμβολαιογράφοι που υποστηρίζουν το κύριο μοντέλο ασφάλειας επικοινωνίας του Ιστού και άλλων υπηρεσιών του Διαδικτύου. Όταν επισκέπτεστε έναν ιστότοπο HTTPS, το πρόγραμμα περιήγησής σας πρέπει να γνωρίζει ότι επικοινωνείτε με τον ιστότοπο που ζητήσατε και ότι η εμπιστοσύνη τελικά εδραιώνεται από τις CA. Οι CA εκδίδουν ψηφιακά πιστοποιητικά που πιστοποιούν την ιδιοκτησία και τη γνησιότητα ενός δημόσιου κλειδιού κρυπτογράφησης . Η CA επαληθεύει ότι αυτό το κλειδί ανήκει σε αυτόν τον ιστότοπο. Για να είναι έγκυρο ένα πιστοποιητικό σε ένα πρόγραμμα περιήγησης, πρέπει να είναι υπογεγραμμένο από μια CA. Το θεμελιώδες καθήκον της CA είναι να επαληθεύει τα αιτήματα πιστοποιητικών που υποβάλλονται σε αυτήν και να υπογράφει μόνο εκείνα που μπορεί να επαληθεύσει ως νόμιμα.
Τι είναι το Root Store;
Τα λειτουργικά συστήματα και τα προγράμματα περιήγησης επιλέγουν ποιες CA πληρούν τα πρότυπά τους και παρέχουν οφέλη στους χρήστες τους. Αποθηκεύουν τα πιστοποιητικά ρίζας αυτών των CA στο root store τους . Μια CA που δεν πληροί αυτές τις άκαμπτες απαιτήσεις δεν επιτρέπεται να ενταχθεί στα root stores.
Οι κίνδυνοι της απαίτησης να υπάρχουν κρατικά εγκεκριμένες CA
Η προτεινόμενη τροποποίηση απαιτεί ότι οι CA που είναι εγκεκριμένες σε εθνικό επίπεδο από χώρες μέλη της ΕΕ να ενσωματώνονται σε όλα τα μεγάλα root stores . Η τροποποίηση δεν παρέχει καμία διαβεβαίωση ότι αυτές οι CA πρέπει να πληρούν τις απαιτήσεις ασφαλείας του root store και δεν αναφέρονται μηχανισμοί που να αμφισβητείται τη συμπερίληψή τους και δεν απαιτείται διαφάνεια.
Αυτό μπορεί να οδηγήσει σε ζητήματα που υπερβαίνουν τις απλές πρακτικές κακής διαχείρισης από μια ελαττωματική ή απρόσεκτη CA. Εάν τα προγράμματα περιήγησης δεν μπορούν να ανακαλέσουν μια CA που δεν συμφωνεί με τα πρότυπά τους, η απάντησή τους σε ένα συμβάν ασφαλείας θα καθυστερήσει.
Αυτή η ρύθμιση θα μπορούσε επίσης να δελεάσει τις κυβερνήσεις να δοκιμάσουν επιθέσεις «Machine-in-the-Middle» (MITM) σε ανθρώπους. Τον Αύγουστο του 2019, η κυβέρνηση του Καζακστάν προσπάθησε να απαιτήσει την εγκατάσταση ενός πιστοποιητικού για τη σάρωση της κυκλοφορίας των πολιτών στο διαδίκτυο για λόγους «απειλών για την ασφάλεια». Το Google Chrome, ο Mozilla Firefox και το Apple Safari απέκλεισαν αυτό το πιστοποιητικό. Κατάφεραν να λάβουν αυτή τη θέση επειδή διατηρούν ανεξάρτητα καταστήματα root με κατάλληλους ελέγχους ασφαλείας. Σύμφωνα με αυτόν τον νέο κανονισμό, αυτό δεν θα ήταν τόσο εύκολο να γίνει. Η ΕΕ έχει πολύ μεγαλύτερη εμβέλεια και αντίκτυπο από μία χώρα. Παρόλο που το eIDAS δεν είχε σκοπό να είναι αντιδημοκρατικό, θα μπορούσε να ανοίξει το δρόμο για πιο αυταρχική παρακολούθηση.
Εάν εγκριθεί αυτή η τροπολογία, τότε θα ανατραπούν όλα τα κέρδη ασφαλείας που τόσοι πολλοί εργάστηκαν σκληρά για να επιτύχουν την τελευταία δεκαετία. Η τροπολογία πρέπει να απορριφθεί. Αντίθετα, αυτές οι κρατικές CA, θα πρέπει να τροποποιηθούν κατάλληλα ώστε να πληρούν τις απαιτήσεις διαφάνειας, ασφάλειας και αντιμετώπισης περιστατικών.
Πηγή άρθρου: https://www.eff.org/