Με τα χρόνια έχει γίνει ευκολότερο για τους ιστότοπους να βελτιώνουν την ασφάλειά τους, χάρη στα εργαλεία που επιτρέπουν σε περισσότερους ανθρώπους να αυτοματοποιούν και να ρυθμίζουν εύκολα μέτρα ασφαλείας για εφαρμογές web και τις υπηρεσίες που παρέχουν. Μια προτεινόμενη τροποποίηση του άρθρου 45 του πλαισίου ψηφιακής ταυτότητας της ΕΕ (eIDAS) θα ανατρέψει αυτές τις βελτιώσεις, απαιτώντας απαρχαιωμένες ιδέες για την ασφάλεια και τον έλεγχο ταυτότητας ιστοτόπων. Η τροπολογία αναφέρει ότι «τα προγράμματα περιήγησης ιστού πρέπει να διασφαλίζουν ότι τα δεδομένα ταυτότητας που παρέχονται με την χρήση οποιαδήποτε από τις μεθόδους εμφάνισης με τρόπο φιλικό προς τον χρήστη». Η πρόταση τροποποίησης δίνει έμφαση σε έναν συγκεκριμένο τύπο τεκμηρίωσης, τα πιστοποιημένα πιστοποιητικά ελέγχου ταυτότητας ιστού ή QWAC, για την επίτευξη αυτού του στόχου. Το πρόβλημα είναι ότι, με απλά λόγια, η προσέγγιση που προτείνει η τροπολογία έχει ήδη καταρριφθεί ως αποτελεσματικός τρόπος παροχής ασφάλειας στους χρήστες.
Τα Quacks σε QWAC
Τα QWAC χρησιμοποιούν οδηγίες παρόμοιες με τα πιστοποιητικά εκτεταμένης επικύρωσης (EV). Και τα δύο είναι ψηφιακά πιστοποιητικά που εκδίδονται σε κατόχους τομέα με μια πρόσθετη διαδικασία που καθιερώνει έλεγχο ταυτότητας στον κάτοχο τομέα. Αυτή η προσέγγιση έχει αποδειχθεί αναποτελεσματική με τα χρόνια.
Για σύντομο χρονικό διάστημα, τα προγράμματα περιήγησης επισήμαναν τα πιστοποιητικά EV στον χρήστη, εμφανίζοντας τα στοιχεία του πιστοποιητικού με πράσινο χρώμα. Υπέθεσαν ότι αυτός ο σαφής δείκτης θα έδειχνε μεγαλύτερη ασφάλεια για τους χρήστες. Ωστόσο, κακόβουλα μέρη κατέληξαν να αποκτήσουν πιστοποιητικά EV και να φιλοξενούν ιστότοπους ηλεκτρονικού ψαρέματος . Αυτό υπογραμμίζει ότι το HTTPS—υποστηριζόμενο από πιστοποιητικά—δημιουργεί μια ασφαλή σύνδεση μεταξύ εσάς και του συγκεκριμένου ιστότοπου, αλλά δεν εγγυάται ότι ο ίδιος ο ιστότοπος αποθηκεύει ή χρησιμοποιεί τις πληροφορίες που μπορείτε να υποβάλετε σε αυτόν με ηθικό τρόπο. Ούτε αποτελεί διαβεβαίωση ότι οι επιχειρηματικές πρακτικές μιας εταιρείας είναι ορθές. Αυτός είναι ο σκοπός της νομοθεσίας για την προστασία των καταναλωτών .
Επειδή η έμφαση σε αυτά τα πιστοποιητικά αποδείχθηκε αναποτελεσματική ως προς την ασφάλεια των χρηστών, το Chrome και ο Firefox το 2019 αποφάσισαν να μην δίνουν πλέον έμφαση στους ιστότοπους με πιστοποίηση EV στη γραμμή URL. Το Safari σταμάτησε στα τέλη του 2018. Ωστόσο, τα πιστοποιητικά EV είναι σημαντικά πιο ακριβά και ορισμένες Αρχές έκδοσης πιστοποιητικών (CA) που τα πωλούν εξακολουθούν να προτείνουν με ανακριβή τρόπο ότι τα προγράμματα περιήγησης δίνουν έμφαση στα πιστοποιητικά EV στην προσφορά τους για τις πωλήσεις αυτών των προϊόντων. Η απαίτηση να εμφανίζονται τα QWAC με τον ίδιο τρόπο είναι απλώς η περαιτέρω επιδίωξη της ψευδαίσθησης ότι η εμφάνιση πληροφοριών ταυτότητας στον χρήστη θα αξίζει τον κόπο.
Παιχνίδι με την ασφάλεια των χρηστών
Η απαίτηση από τα προγράμματα περιήγησης να εμπιστεύονται αυτά τα πιστοποιητικά από ΑΠ που έχουν εξουσιοδοτηθεί από την κυβέρνηση της ΕΕ, θα μπορούσε να επηρεάσει και χρήστες εκτός ΕΕ. Αντί να βελτιωθεί η ασφάλεια όπως επιδιώκεται, αυτό πιθανότατα θα επιφέρει παρεμπόδιση της ασφάλειας στις διαδικτυακές εμπειρίες των χρηστών εντός και εκτός της ΕΕ.
Έχει μάλιστα προταθεί μια γελοία προσθήκη από την Entrust (μια ΑΠ) ότι κάθε ιστότοπος που δεν χρησιμοποιεί πιστοποιητικά QWAC ή πιστοποιητικά EV θα επισημαίνεται από το πρόγραμμα περιήγησης με μια προειδοποίηση προς τον χρήστη όταν υποβάλλει δεδομένα. Μια τέτοια προειδοποίηση δεν θα είχε νόημα, επειδή τα τυπικά πιστοποιητικά επικύρωσης τομέα (DV) παρέχουν την ίδια ασφάλεια για τα δεδομένα κατά τη μεταφορά όπως τα EV.
Το Transport Layer Security (TLS) είναι η ραχοκοκαλιά για να εξασφαλίσετε τη σύνδεσή σας με έναν ιστότοπο. Όταν συμβαίνει αυτό, ονομάζεται HTTPS. Σκεφτείτε το ως HTTP(S)cure.
Τα προγράμματα περιήγησης έχουν εργαστεί για χρόνια για να δείξουν στους ανθρώπους ότι η σύνδεσή τους είναι ασφαλής χωρίς να τους μπερδεύουν. Αυτή η πρόταση θα αναιρούσε μεγάλο μέρος αυτής της εκπαίδευσης των χρηστών, εξαπολύοντας δυνητικά μια πλημμύρα προειδοποιήσεων για ιστότοπους που στην πραγματικότητα ήταν επαρκώς ασφαλισμένοι με πιστοποιητικά DV.
Αν περπατάει σαν EV Cert και πετάει σαν EV Cert—Ίσως είναι ένα πιστοποιητικό EV
Αυτή η τροπολογία κάνει επίσης προβληματικές υποθέσεις σχετικά με το πόσα γνωρίζουν οι καταναλωτές για την ταυτότητα των εταιρειών. Για παράδειγμα, μεγάλες εταιρείες όπως η Unilever διαθέτουν πολλά προϊόντα και μάρκες και οι καταναλωτές μπορεί να μην το συνειδητοποιούν. Ορισμένες γνωστές μάρκες, όπως τα αυτοκίνητα Volvo, ανήκουν σε εταιρείες με φαινομενικά άσχετα ονόματα . Δεν είναι επίσης αδύνατο για δύο εταιρείες που προσφέρουν εντελώς διαφορετικά προϊόντα να μοιράζονται ένα όνομα. Ο όρος μάρκετινγκ “brand twins” το περιγράφει αυτό. Παραδείγματα περιλαμβάνουν η Delta Airlines και η Delta Faucet ή η Apple Records και ο τεχνολογικός γίγαντας Apple, Inc.
Για αυτούς τους λόγους, είναι σχεδόν αδύνατο για ένα QWAC να επιτύχει τον δηλωμένο στόχο του να κάνει την οντότητα που κατέχει έναν τομέα εύκολα εμφανή στα άτομα που επισκέπτονται έναν ιστότοπο—ειδικά σε ολόκληρο τον κόσμο. Τα QWAC προβάλλουν επίσης μια αδύναμη άμυνα ενάντια στις απλούστερες και πιο αποτελεσματικές μορφές hacking: την κοινωνική μηχανική. Οι ίδιοι οι άνθρωποι —απατεώνες, phishers κ.λπ.— που φέρεται να παρεμποδίζονται με πιστοποιητικό EV ή QWAC, έχουν και θα βρουν έναν τρόπο να τους παρακάμψουν, επειδή η διαδικασία επικύρωσης εξακολουθεί να γίνεται από ανθρώπους. Επίσης, δεν πρέπει να εγκρίνουμε την επικίνδυνη αρχή ότι μόνο οι «σωστοί άνθρωποι» — με άλλα λόγια, αυτοί που έχουν την οικονομική δυνατότητα — θα πρέπει να έχουν κρυπτογραφημένες υπηρεσίες.
Αυτή η πρόταση για τη δέσμευση του TLS σε μια νομική ταυτότητα σε όλους τους τομείς που πληρούν τις προϋποθέσεις δεν είναι εφικτή ή επεκτάσιμη. Τα QWAC δεν θα λύσουν εύκολα αυτό το πρόβλημα στον σύγχρονο ιστό ή με εφαρμογές για κινητές συσκευές. ακόμα και με τις μικρές τεχνικές διαφορές τους από το EV. Η Mozilla και άλλοι προμηθευτές ( Apple, Google, Microsoft, Opera και Vivaldi ) έχουν κάνει επαρκείς προτάσεις για την επικύρωση της ταυτότητας του eIDAS χωρίς δεσμευτική ταυτότητα με την ίδια τη διαδικασία ανάπτυξης του TLS ή χωρίς καθόλου χρήση πιστοποιητικών TLS. Η ώθηση για χρήση QWAC για την επίτευξη αυτού του στόχου είναι ένα επιζήμιο πλαίσιο που θα αποθάρρυνε το προσιτό και πιο αποτελεσματικό TLS.
Ανάπτυξη TLS
Η διασυνοριακή διαλειτουργικότητα είναι ένα εξαιρετικό ιδανικό, αλλά η εντολή να δοθεί έμφαση στα QWAC στο πρόγραμμα περιήγησης εμποδίζει ειρωνικά τη διαλειτουργικότητα. Η πρόταση του άρθρου 45 του eIDAS επιχειρεί να εγγυηθεί τη νόμιμη και ασφαλή ταυτότητα του κατόχου του ιστότοπου—αλλά δεν είναι αυτό το πρόβλημα που δημιουργήθηκε για να λύσει το TLS.
Τα τυπικά πιστοποιητικά επικυρωμένων τομέων από τις ΑΠ έχουν επιτύχει το επίπεδο ασφάλειας που χρειάζονται οι επισκέπτες του ιστότοπου παγκοσμίως. Εργαλεία όπως το Certbot και το δωρεάν CA Let’s Encrypt έχουν συμβάλει στο να γίνει η ανάπτυξη και η αυτοματοποίηση του TLS πιο διαδεδομένη και προσβάσιμη. Σήμερα, οι κάτοχοι τομέα μπορούν να χρησιμοποιούν αυτοματοποιημένες υπηρεσίες φιλοξενίας για υπηρεσίες μεταξύ επιχειρήσεων και με δικούς τους πελάτες που μειώνουν το κόστος διαχείρισης της κίνησης και βελτιστοποίησης. Η υποχρεωτική έμφαση στο QWAC απειλεί να μας κάνει πίσω. Οι κάτοχοι τομέα θα πρέπει πιθανότατα να χρησιμοποιήσουν αυτοδιαχειριζόμενες επιλογές πιστοποιητικού για να διατηρήσουν την ασφάλειά τους στον ιστό. Αυτό θα αύξανε την ανισότητα στο διαδίκτυο. Μια μεγάλη εταιρεία μπορεί να αποκτήσει την υποδομή για να το κάνει αυτό. Μπορεί ακόμη και να επιτύχουν μερική αυτοματοποίηση, όπως συνέβη με τα πιστοποιητικά EV. Ωστόσο, μικρότερες εταιρείες και ιδιώτες ενδέχεται να μην είναι σε θέση να αποκτήσουν αυτά τα εργαλεία τόσο εύκολα. Η απαίτηση από όλους τους κατόχους τομέων να διαθέτουν την τεχνική τεχνογνωσία και τους χρηματικούς πόρους για να αυτοδιαχειρίζονται τα πιστοποιητικά τους θέτει την ανάπτυξη του TLS 6 χρόνια πίσω, αυξάνοντας τη δυσκολία και τα εμπόδια για τη συμμόρφωση με τον κανονισμό eIDAS.
Όλα αυτά θυμίζουν πολύ την εποχή που η ανάπτυξη του TLS ήταν πιο δύσκολη, δαπανηρή και χρονοβόρα . Αυτή η τροπολογία για τα QWAC στο πρόγραμμα περιήγησης χαρακτηρίζει την ελεύθερη ασφάλεια ως κακή ασφάλεια. Σε αυτήν την περίπτωση, αυτό δεν είναι ούτε αληθινό ούτε χρήσιμο για τους χρήστες του Διαδικτύου.
Πηγή άρθρου: https://www.eff.org/