随着Mozilla发起保护现状的运动,欧盟网络身份验证计划的关键时刻

Mozilla已加紧努力劝阻欧盟立法者不要强迫网络浏览器承认由欧盟创建的有争议的网络证书的有效性。Firefox浏览器的非营利架构师发起了一项活动,敦促欧洲议会(MEP)成员修改欧盟委员会(EC)提出的提案,该提案将强制浏览器接受合格网站身份验证证书(QWAC)。

欧盟于2014年创建了QWAC,以验证网站自称的身份,因此-从理论上讲-保护用户免受欺诈、恶意软件和监视。

然而,QWAC基于有点不可信的扩展验证证书,自推出以来的八年里未能在Web生态系统中获得很大的立足点。

Mozilla认为,QWAC不如现有的、长期存在的Web身份验证生态系统,并且EC提案将绕过“针对Web上的网络犯罪的关键第一道防线”。

由于欧洲议会议员预计将在10月对该提案进行投票,Mozilla7月13日发起了一项#SecurityRiskAhead活动,在布鲁塞尔的欧洲议会外举行了一场嘉年华式的钓鱼游戏。

Mozilla欧洲高级公共政策经理Owen Bennett说,Mozilla的信息似乎正在获得关注。

他说,为了适应修订,QWACs修正案(第45.2条)已从最近的欧盟数字身份框架报告草案(PDF)中删除 ,并且各种与安全相关的修正案已提交议会。

Bennett认为,38位安全专家在3月发表的一封敦促重新思考的公开信是说服欧洲议会议员的“重大转折点”。

互联网协会、电子前沿基金会(EFF)和世界上最大的证书颁发机构Let's Encrypt也反对该提案。

浏览器主导的网络身份验证系统使用TLS加密的HTTPS协议查看经过认证的网站,并在URL地址栏中显示一个挂锁图标以宣传其安全状态。

Web-或SSL-证书目前由100多个证书颁发机构(CA)颁发,这些证书由Mozilla和其他领先的浏览器制造商(包括Google、Microsoft和Apple)审查。

由欧盟成员国政府批准的“信任服务提供商”(TSP)发布的QWAC的批评者认为,他们无法利用可比较的技术专长和资源。他们还可以指出,数以亿计的网络用户乐于在网上提交支付卡详细信息,以此证明现状得到广泛且合理的信任。

Mozilla首席安全官Marshall Erwin警告说,如果欧盟的善意提议“被复制到其他地方,该法规将为政府提供工具,以执行由国家赞助的互联网流量监控”。

Mozilla列举了2011年伊朗神权政治以及哈萨克斯坦和毛里求斯政府分别在2020年和2021年进行的大规模窥探活动,作为该法规可能促成的活动的例子。

“第45条对网站安全设置了上限,”Bennet说。“它说你必须接受QWAC,而不是采取任何额外的保护措施,并且在发现证书颁发机构受到损害时不采取行动。对我们来说,这给Firefox用户带来了难以承受的风险。”

欧盟的数字身份框架将被纳入2014年颁布的电子身份、认证和信任服务(eIDAS)法规中,以促进欧洲内部信任服务市场的出现。

Bennett表示,该活动并不是要“炸毁整个法规”,而是Mozilla只是想要“一些小调整”,让浏览器在发布QWAC的实体不符合现有安全标准或构成不符合现有安全标准时采取行动的自由裁量权。安全风险”。

eIDAS法规是技术中立的。QWAC于2014年推出,作为增强信任和减少欺诈的一种手段,用于确保PSD2环境中的可信交易(作为支付服务提供商识别的一种手段)。

浏览器社区提出的担忧是基于对委员会法律提案不支持的承认QWAC义务的技术实施的理解。委员会提案旨在在浏览器环境中实现对QWAC的识别,这可以在不干扰现有根存储策略和Web浏览器安全要求的情况下实现。根据欧盟法律颁发的可信证书没有理由不被浏览器社区认可。

与相关标准化机构合作并获得普遍和全球公认的标准,第45条所指的实施法案将规定适用标准的技术规范/参考,从而能够根据上述情况对QWAC进行认可。

发表评论

评论已关闭。

相关文章