ЕС внедряет правительственные веб-сертификаты — почему инициатива вызывает опасения в ИТ-сообществе

Мы регулярно обсуждаем инициативы, связанные с ограничением работы приложений, шифрованием и end-to-end, а также сканированием устройств пользователей и трафика. Сегодня поговорим о том, что происходит в Европе с одним из таких законопроектов.

Фотография: Micah Williams / Unsplash.com

Фотография: Micah Williams / Unsplash.com

Чехарда с сертификатами

ЕС планирует обновить внутренний регламент eIDAS (Electronic Identification, Authentication and Trust Services). Он отвечает за регулирование электронной идентификации, работу с цифровыми подписями и сертификатами.

Идея состоит в том, чтобы позволить странам-членам Евросоюза выдавать собственные сертификаты QWAC для аутентификации веб-сайтов. Требования к ним будет прорабатывать специальный централизованный орган — ETSI.

Регуляторы желают сократить влияние крупных компаний-разработчиков браузеров и уменьшить спектр решений, которые они могут принимать в сфере идентификации сайтов. В то же время страны — члены ЕС хотят обеспечить достоверную верификацию людей и бизнеса в интернете. Компаниям действительно полезно идентифицировать пользователей, а пользователям, в свою очередь, хотелось бы знать, что они совершают покупку на сайте реальной организации, а не мошенническом ресурсе.

Раньше для этой цели европейские страны пытались применять сертификаты с расширенной проверкой (Extended Validation, EV), которые показывали, кто легальный владелец и оператор ресурса. Но эта мера не получила распространения — верификация каждого конкретного сайта стоила дорого. Плюс сам процесс был отлажен не лучшим образом. Один американский специалист по информационной безопасности показал, что злоумышленник может получить EV-сертификат для фишингового сайта. Ему достаточно зарегистрировать фирму с одноименным названием. Чтобы проиллюстрировать уязвимость, эксперт без проблем воссоздал страницу крупной компании, занимающейся обработкой электронных платежей. Эксперимент обошелся ему всего в $177.

Учитывая дополнительные издержки и проблемы с безопасностью, EV-сертификаты постепенно стали терять популярность. Так, осенью 2019 года (и даже раньше) от их поддержки отказались сразу несколько крупных браузеров. Эту тему обсуждали даже здесь на Хабре. В попытке найти новое решение для улучшения безопасности Евросоюз рассматривает государственную регуляцию QWAC. Но свежие поправки встречают сопротивление среди экспертов в сфере кибербезопасности.

Что случилось

Порядка пятисот специалистов по ИБ выступили против инициативы, подписав открытое письмо. Исследователи и сотрудники некоммерческих организаций вроде EFF обеспокоены тем, что правительства, выпускающие такие сертификаты, получат возможность мониторить веб-трафик граждан и всех резидентов Евросоюза (в том числе банковскую информацию, медицинские данные и личную переписку).

Браузеры будут обязаны доверять сертификатам, которые выпускают правительственные центры — даже если они не удовлетворяют требованиям безопасности или кооперативным политикам разработчиков браузера. Сообщество беспокоит, что этот факт негативно отразится на безопасности. Эту точку зрения разделили Linux Foundation, Cloudflare и Mozilla, которые подготовили собственное обращение.

Фото: Katja Anokhina / Unsplash.com

Фото: Katja Anokhina / Unsplash.com

Однако не все специалисты выступают против нового законопроекта. Так, организация European Signature Dialogue, занимающаяся публичными сертификатами, обвинила противников поправок к eIDAS в дезинформации. По их заявлениям, ЕС не сможет «шпионить» за жителями, так как не контролирует корневые удостоверяющие центры эмитентов QWAC. Однако представители Mozilla утверждают, что этой возможностью будут обладать отдельные страны — члены ЕС. В теории правоохранительные органы этих государств смогут мониторить зашифрованный трафик.

Больше опасений

Вопросы к eIDAS вызывает тот факт, что поправки к нему обсуждали ещё летом, но тогда государственные сертификаты не рассматривали в принципе. Несмотря на то что официальная причина ввода новых норм проходит под эгидой стандартизации требований к сертификатам, техническое сообщество настроено скептически.

Опасения, связанные с мониторингом трафика, в целом небезосновательны. В качестве примера резиденты Hacker News приводят недавнюю атаку на сервис jabber.ru в сетях двух немецких хостинг-провайдеров. Атакующий выпустил TLS-сертификаты через Let«s Encrypt и использовал их для перехвата подключений STARTTLS на порту 5222. Учитывая реакцию техподдержки и особенности перенаправления трафика, администратор проекта предположил, что за MITM-атакой стоят правоохранительные органы.

Кроме того, еще в 2011 году хакеры перехватили контроль над сертификатом нидерландской компании DigiNotar. Когда брешь в безопасности обнаружили, в Google автоматически его аннулировали, а в Mozilla выслали пользователям уведомление с рекомендацией его отключить. История знает и другие примеры, когда сертификаты удостоверяющих центров были отозваны из-за обнаруженных признаков MITM-атаки.

В 2013 году крупные браузеры перестали доверять сертификатам французского агентства ANSSI и турецкой компании TurkTrust. В 2015 году аналогичная судьба постигла китайскую некоммерческую организацию CNNIC. В каждом из этих случаев разработчики браузеров смогли вмешаться в ситуацию. Однако произвести аналогичные манипуляции с правительственными сертификатами в рамках требований eIDAS будет сложнее.

Пока что предложенные поправки находятся на стадии обсуждения — текст законопроекта еще должен пройти ратификацию в Европарламенте. Но его до сих пор не выложили в открытый доступ. Рассмотрение должно пройти в начале 2024 года. Если еще раз вернуться к открытому письму от разработчиков браузеров и специалистов по ИБ, то они подводят следующий итог [PDF, стр. 5]: вступление закона в силу станет прецедентом, на который смогут опираться другие страны, чтобы потребовать аналогичных привилегий у разработчиков браузеров. Предстоит увидеть, каким будет результат, учитывая настроения в индустрии.

Дополнительное чтение

В Европе предложили сканировать устройства пользователей — кто против. Под предлогом борьбы с запрещенным контентом Еврокомиссия предложила обязать крупные онлайн-сервисы искать запрещенный контент на устройствах пользователей. Рассказываем, как правозащитники, телеком-компании, и эксперты по безопасности раскритиковали проект и обсуждаем основные поводы для беспокойства.

Почему Евросоюз разрабатывает собственную DNS-инфраструктуру. Союз из тринадцати государств работает над созданием собственной DNS-системы с целью уменьшить зависимость европейских стран от иностранных IT-компаний. Наш материал о том, как продвигается проект и какие опасения он вызывает у экспертного сообщества.

Как новые законодательные инициативы формируют мировой интернет-масштаб. Разбираем как Китай и Европейские страны пытаются повлиять на интернет в своих юрисдикциях и как это отразится на глобальном интернет-пространстве. Обсуждаем безопасность сети и потенциальное развитие новых технологий и рынков.

RESTRICT ACT — новый законопроект поставит под угрозу работу VPN в США. В США планируют ограничить деятельность иностранных сервисов, которые могут быть «потенциально опасными». Под удар рискуют попасть крупные приложения — например, TikTok — и практически все VPN-сервисы вместе с блокчейн-протоколами. Рассказываем о проблемах потенциальных нововведений и обсуждаем критику сообщества.

Фотография: Guillaume Bourdages / Unsplash.com

Фотография: Guillaume Bourdages / Unsplash.com

Могут ли интернет-провайдеры продавать обезличенные персональные данные. Посмотрим, как в мире провайдеры обращаются с персональными данными, в чём отличие Европы от США и как нынешние законы, связанные со сбором и хранением ПД, вызывают споры правоохранительных организаций и сопротивление НКО.

Провайдеры против корпораций и хаос в регулирующих органах: что происходит с сетевым нейтралитетом. К вопросам net neutrality регулярно возвращаются и американские, и европейские законодатели. Дебаты среди представителей индустрии не утихают. Одни считают, что сетевой нейтралитет необходим, другие — что он только тормозит развитие отрасли. Это — наш компактный обзор политик, которых придерживаются регуляторы США, Евросоюза, Южной Кореи и Великобритании.

Новые рубежи для IPv6 — что происходит на уровне законодательства. Крупные телекомы, провайдеры и другие ИТ-компании уже готовят рекомендации по миграции на протокол нового поколения для своих сотрудников и клиентов. Следуя примеру частных инициатив, к процессу все чаще подключаются регуляторы. Это — наш обзорный материал, в котором мы рассказываем, как государства продвигают переход на IPv6 на законодательном уровне. Обсуждаем инициативы Индии, Китая и Норвегии.

Гигабитный интернет в каждый дом — что предлагают западные регуляторы. «Право на интернет» закреплено в законодательстве сразу нескольких стран. Этот факт находит отражение в списках требований, предъявляемых к строительству новых домов. Британия требует от застройщиков устанавливать гигабитную инфраструктуру, а Франция — оборудовать комнаты коннекторами RJ-45.

© Habrahabr.ru