Honderden wereldwijde cybersecurity-experts, onderzoekers en wetenschappers hebben een open brief ondertekend waarin alarm wordt geslagen over de Europese eIDAS-verordening. Dat meldde AG Connect onlangs. Deze creëert een achterdeur waarmee internetverkeer grootschalig afgetapt kan worden.
De eIDAS-Verordening bestaat sinds 2018 en regelt onder meer de rechtsgeldigheid van elektronische handtekeningen, zegels en certificaten. Een voorbeeld van dat laatste zijn de SSL- of TLS-certificaten die door webbrowers worden gecontroleerd om na te gaan of websites echt zijn.
Om de echtheid na te gaan, moet je een vertrouwde entiteit hebben die zegt welke certificaatuitgevende instanties te vertrouwen zijn. Dit ging laatst mis bij DeGiro: die hadden niet de goede certificaten en wisten niet wie die vertrouwde entiteit was – de root certificate issuer, in jargon.
Dit is een bug én feature in het systeem: iedereen moet uitzoeken wie hij vertrouwt, er is geen bindende mededeling vanuit de overheid dat Diginotar partij X altijd geloofd moet worden. En de ophef is dus ontstaan over de voorgenomen wijziging aan de eIDAS-Verordening die dat wél gaat introduceren:
Under the eIDAS regulation, each member state of the EU (as well as recognised third party countries) is able to designate Qualified Trust Service Providers (Qualified TSPs) for the distribution of Qualified Website Authentication Certificates (QWACs). Outside the EU, these TSPs and QWACs are more typically known as Certificate Authorities (CAs) and TLS Certificates, respectively. Article 45 requires browsers to recognise these certificates.Hiermee wordt het huidige proces van controle en vertrouwen opgeheven en vervangen door een controle door de overheid. Daar hebben velen moeite mee: een kwaadwillende overheid zou een certificaat onder valse naam kunnen uitgeven, waarna browsers de verkeerde site als authentiek aanmerken en men zo gegevens kan onderscheppen.
In de open brief wordt het iets concreter uitgelegd:
Concretely, the regulation enables each EU member state (and recognised third party countries) to designate cryptographic keys for which trust is mandatory; this trust can only be withdrawn with the government’s permission (Article 45a(4)). This means any EU member state or third party country, acting alone, is capable of intercepting the web traffic of any EU citizen and there is no effective recourse. We ask that you urgently reconsider this text and make clear that Article 45 will not interfere with trust decisions around the cryptographic keys and certificates used to secure web traffic.Voor de duidelijkheid: het gaat dus niet om aftappen bij de internetprovider of vanuit de browser afluisteren, maar om het kunnen omleiden van argeloze internetgebruikers naar malafide sites om te zien wat ze daar doen. Omdat het certificaat als authentiek wordt gezien, zijn die sites niet meer van echt te onderscheiden – sterker nog, juridisch zijn ze de echte site.
Een echte oplossing hiervoor is er nog niet. DNS CAA is op papier een tegenkracht: een website kan in haar domeinnaamgegevens noteren welke autoriteiten voor haar certificaten mag uitgeven. Een browser zou dan kunnen zeggen “dit certificaat voor blog.iusmentis.com is weliswaar vertrouwd vanwege het root certificate van de Democratische Republiek Bordurië, maar iusmentis.com zelf geeft aan dat alleen het Nederlandse SIDN dit mag zeggen”. Het is alleen niet echt in gebruik.
Morgen is de stemming over dit voorstel, en de hoop is dat men op het laatste moment toch de onzinnigheid hiervan inziet.
Arnoud
Mogen browsers niet sowieso (zelfs zonder bericht van blog.iusmentis.com) zeggen “Deze website wordt vertrouwd door de EU; kies zelf of jij dat dan ook doet.” En dus een andere vertrouwd-teken gebruiken dan bij andere certificaatuitgevende instanties.
Overigens heb ik als argeloze internetgebruiker geen idee of ik Sectigo Limited (die het certificaat nu goedkeurt) wel zou moeten vertrouwen, dat zou voor mij net zo goed een onderdeel van het Ministry of Truth van Oceania kunnen zijn.
Dat klopt, dat is voor jou zelf ook moeilijk om uit te zoeken. Bij Sectigo of Digicert kan je je daar misschien nog een goed oordeel over vormen omdat die partijen zo groot zijn dat eventueel misbruik waarschijnlijk snel uit zou komen, maar bij E-Tugra uit Turkije heb ik ook wat vraagtekens, want hoeveel invloed heeft het regime in Ankara op die partij?
Een belangrijk verschil is natuurlijk wel dat die root ca’s zijn toegevoegd aan browsers nadat daar een oordeel over is gevormd, en allerlei partijen houden in de gaten of die partij zich wel netjes gedraagt. De Mozilla foundation zou bijvoorbeeld aan de bel trekken als het lijkt dat er sprake is van misbruik, en dan worden ze er bij de volgende browserupdate uit gegooid. Er is geen wet waarin staat dat Sectigo of E-Tugra verplicht in die browser moet zitten en er niet uit gehaald mag worden.
Het is vooral dat dwingende karakter waar ik me zorgen over maak. Het is alsof er een wet zou komen waarin staat dat bouwmarkten verplicht zijn om sloten van het merk van de overheid te verkopen die ze bij wet verplicht ook moeten labelen als super veilig, en ze mogen ook niet stoppen met die verkopen, hoe slecht de sloten ook blijken te zijn in de praktijk.
Dankjewel voor het onder de aandacht brengen hiervan. Ik had het vanochtend zelf ook al niet gelezen.
Ik denk dat de Europese Commissie hier mee de monopolistische macht van Google wil inperken, en wil voorkomen dat Google arbitrair certificaataanbieders kan weigeren.
Een nobel doel, wellicht. Maar wellicht is het voor de lange termijn toch beter om te zorgen dat Google opgebroken wordt. Zodat een advertentiebedrijf niet zomaar ook ’s werelds meestgebruikte browser kan ontwikkelen en verspreiden.
Overigens bestaat er naast CAA-records (die een certificaataanbieder zou kunnen negeren) nog een ander middel; DANE. Met DANE kan je in je DNS-records zetten wat de fingerprint is van je certificaat. Dit wordt voor e-mail volop gebruikt, maar browsermakers weigeren dit te implementeren. Dit doen ze onder het mom van technische redenen, maar de kans lijkt klein dat Chrome dit ooit zal krijgen zeker nu Google ook certificaataanbieder is.
Dit kwam bijvoorbeeld laatst bij dit incident nog weer naar voren. Hierbij hadden de ISP’s (vermoedelijk op last van opsporingsdiensten) de servers van jabber.ru laten MITM’en (het verkeer laten omleiden). Hierdoor konden de authoriteiten een certificaat laten issuen voor henzelf op naam van jabber.ru en alle verkeer meelezen. Dit kwam naar boven toen ze vervolgens dat certificaat lieten verlopen en alle gebruikers een certificaatfout kregen. Met DANE zou voorkomen zijn dat deze aanval geslaagd was.
Als de ISP’s de DNS records hebben aangepast zodat het verkeer naar een andere server gaat, hadden ze dan niet ook het DANE record kunnen aanpassen met de fingerprint van het nieuwe certificaat?
Als je de DNS bij diezelfde partij runt wel ja. Maar als je die DNS bij een andere hostingbedrijf plaatst (in een andere jurisdictie), of er voor kiest om deze zelf te hosten (inclusief dnssec), dan wordt het wel lastig voor opsporingsdiensten om dit ongezien door te voeren.
De monopolie van Google op de certificateninfrastructuur is veel groter dan wat de meeste mensen denken.
Google is maakt de meestgebruikte browser, dus in de praktijk besluiten zij welke CA zijn werk mag doen en welke niet. Dat besluit laten ze voorlopig aan Mozilla over, maar Mozilla heeft de meeste inkomsten uit de zoekdeal met Google.
Google is ook een eigen CA. Je kunt in plaats van Let’s Encrypt ook via pki.goog een certificaat krijgen.
Iedere CA moet alle certificaten publiek loggen in de Certificate Transparency (CT) blockch^Wlog. Wanneer ze dit loggen, komt er een handtekening van de CT terug en die kan in het certificaat gezet. Chrome weigert certificaten zonder twee CT handtekeningen. Eén van die handtekeningen moet gezet zijn door Google’s CT log.
Google kan ook certificaten weigeren in hun CT log. Van die macht hebben ze voor zover mij bekend nooit misbruik gemaakt, maar het is zeker binnen de mogelijkheden. Als ze jouw site weigeren in hun CT log, kan je dus geen certificaat meer krijgen, en is jouw website voor je bezoekers onbereikbaar.
Dit is extra het geval als je, op goed aanraden, HSTS (HTTP Strict Transport Security) hebt ingeschakeld, waarmee je zelf de belofte doet dat je tenminste voor het komende jaar een geldig HTTPS certificaat zou hebben, maar tegelijk heeft CAB-Forum de maximale lengte van certificaten beperkt tot 90 dagen per eind 2024. Weigert Google je dan opeens in de CT, gaat je website op zwart, en je kunt niet een andere CA kiezen.
Het argument van de open brief, dat dit er toe leidt dat de EU ondertrouwde spelers kan toelaten, geldt momenteel dus net zo goed voor Google.
Je noemt DANE als alternatief, en dat is zeker een goed alternatief om de macht van Google over de certificaten in te perken. Maar het is geen alternatief dat overheden beperkt in het overnemen van websites. Dat hoeft ook niet. Het moet internetgebruikers gewoon duidelijk zijn dat .nl Nederlands is, dus SIDN kan (evt. op last van de overheid) daar gewoon domeinen overnemen, ACME verificaties uitvoeren bij een CA, en de DNSSEC/DANE sleutels vervangen, net zoals dat zou gebeuren als het domein legitiem overgedragen was.
Al met al vind ik dat de groep die tegen eIDAS reageert boter op z’n hoofd heeft, en voor Google’s zoetsappige woorden valt (“red de wereld! laat geen overheid bepalen wat veilig is op het internet! kom in actie!”) maar daarmee niet ziet dat Google alle macht heeft onder het status quo.
Je hebt gelijk dat de macht en invloed van Google te groot is. Het is alleen geen kwestie van of het een of het ander. Het zou goed zijn als de macht van Google beperkt wordt, maar dit is niet de manier. Even afgezien van wat nou eigenlijk de exacte doelstelling van dit artikel was (want ik lees nergens dat dit is gedaan met als doel om de macht van Google te beperken) zijn dit soort technieken natuurlijk van het soort dat door regimes als in China gebruikt wordt om burgerlijke vrijheden te controleren en de toegang tot informatie te beperken. Kortom, ja de invloed van Google is te groot, maar dat maakt dit nog niet een goed voorstel.
Ik kan niet terugvinden wat de motivatie is om dit zo te doen. Mijn eigen gedachte is dat hier niet direct kwade motieven achter zit, maar meer zo’n basale gedachte als “de overheid bepaalt wie de cruciale te vertrouwen partijen zijn”. Net zoals de overheid bepaalt wie notaris is of wie bank mag zijn, en wat daar de criteria voor zijn.
Het komt inderdaad over als “never attribute to malice what can be properly explained by incompetence”.
Als ze er dan echter op gewezen worden door zoveel en zulke prominente figuren, en ze weigeren gehoor te geven aan die kritiek, dan wordt het wel een ander verhaal natuurlijk. Dan kan je moeilijk om de conclusie heen dat wat er staat precies de bedoeling was.
Terecht punt, hoewel het natuurlijk ook een heel menselijk mechanisme is (met name bij mensen op hoge posities) om je bij kritiek in te graven: ik ben de directeur/Eurocommissaris/eindbaas dus ik heb gelijk dus jouw kritiek is onzin.
Het is natuurlijk altijd heel makkelijk om te zeggen “je hebt wel gelijk, maar dit is niet de manier”, om zo het status quo in stand te houden.
Of het nou Google is of de EU die alle macht heeft, maakt op zich redelijk weinig uit. Beide partijen zullen dit jaar die macht vast niet misbruiken, en volgend jaar ook niet.
Jouw opmerking “Het is alleen geen kwestie van of het een of het ander” snap ik dus ook niet helemaal.
De oplossing is inderdaad niet dat de EU de macht van Google overneemt (al zou ik dat al wel een stap in de goede richting vinden; overheid of techreus, wat willen we liever)
De oplossing is dat we van het huidige CA systeem af stappen, en overgaan op DNSSEC en DANE. Daarmee hangt het vertrouwen nog wel aan de TLD-operator (SIDN voor .nl), maar die kunnen nu je domein ook al overnemen.
Maar Google zou een dergelijke wijziging nooit ondersteunen in Chrome, maar een EU zou het mogelijk wel kunnen afdwingen.
Ik wil niet de status quo in stand houden, integendeel, ik wil dat er dingen fundamenteel veranderen. Alleen niet door die macht van Google bij een andere partij zoals de EU neer te leggen. Dit is ook wat ik bedoelde met het is geen kwestie van het een of het ander; het niet bij de EU willen leggen betekent niet dat ik vind dat het bij Google moet blijven, het bij Google weg willen halen betekent niet dat ik denk dat bij de EU neerleggen dan het enige mogelijke alternatief is. Daarom zei ik “niet op die manier”, het moet nog bij Google nog bij de EU.
Is van Google naar de EU een stap in de goede richting? Nee, ik denk van niet. Ik denk dat je gedachten daarover sterk afhangen van de mate waarin je vertrouwen hebt in de overheid. Ik hoef je niet te vertellen dat er honderdduizenden mensen zijn die heel terecht geen enkel maar dan ook geen enkel vertrouwen hebben in de overheid en haar instanties. De lijst met schandalen is armlang en de gevolgen van die schandalen zijn levensgroot. De EU heeft een ernstig gebrek aan democratische controle en de besluitvormende processen vinden plaats achter gesloten deuren met vooral veel invloed van lobbyisten.
Dit, die kwestie van vertrouwen in de overheid, is een vraag die ook geregeld opduikt in discussies over privacy en dataverzameling, de redenatie gaat dan min of als volgt: “Iedereen zet echt alles op facebook, dus mag de overheid ook precies weten waar ik ben en welke websites ik bezoek”. Wat daarin over het hoofd wordt gezien is dat Google aan dataverzameling en privacyschending doet om meer gerichte advertenties te verkopen, terwijl de overheid aan privacyschending en dataverzameling doet om te belasten, bekeuren, beboeten en vervolgen.
Als Google haar positie misbruikt dan werken sommige websites niet voor met sommige browsers, en misschien doet je telefoon niet meer alles, en er zijn ongetwijfeld allerlei processen in de maatschappij die verstoort raken, maar that’s it. Heel vervelend, maar niet direct dramatisch. Als de overheid haar positie zou misbruiken dan heeft dat enorme impact op mensenrechten, vrijheid van meningsuiting en pers, privacy en andere vrijheden. De macht die de staat heeft is namelijk vele malen groter dan de macht die Google of welke andere techreus dan ook heeft. Het voorstel zou de EU ongekende mogelijkheden geven om de toegang tot informatie voor mensen in haar voordeel te beinvloeden, en dat is een rol die niet hoort te liggen bij dezelfde instantie die gecontroleerd moet kunnen worden door diezelfde mensen.
Ik wil hier geen lans breken voor Google trouwens, ik gebruik Google zo min mogelijk, o.a. door een telefoon met de-googled android, geen google drive, firefox, geen gmail, geen maps, geen google car en zo. Wat ik wel wil zeggen is dat het bij een overheid nog slechter af is. We moeten gewoon niet vergeten dat de overheid niet altijd of alleen maar nobele intenties heeft. In het gewone leven van een gewoon iemand heb je in de EU over het algemeen niet zoveel last van de overheid, maar probeer eens als journalist je bronnen te beschermen, of als klokkenluider een ernstige misstand aan het licht te brengen, of corruptie onder ambtenaren of politici boven water te krijgen en dan zal je ervaren dat de invloed die de overheid over je heeft veel groter is dan die van Google.
Zoveel mensen tegen eIDAS, maar niemand op de bres voor een echte oplossing, zoals DNSSEC/DANE.
CAA DNS records gaan dit sowieso niet oplossen, omdat deze enkel door de certificaatuitgevers gecontroleerd worden; als een uitgever ziet dat je een CAA DNS record hebt, moet deze checken dat je deze uitgever goedgekeurd hebt, anders wordt het ondertekenen geweigerd.
De browser zal het niet checken, en dat hoeft ook niet, want als het certificaat eenmaal uitgegeven is hoeft CAA niet meer te kloppen, bijvoorbeeld als je over wil gaan naar een nieuwe CA-boer.
TLSA/DANE is wel een check die de browser zou moeten uitvoeren. Hiermee kan je in DNS zetten welke autoriteit jouw certificaat ondertekend heeft, of welke sleutel je voor TLS gebruikt, of beiden. Alleen ondersteunt vandaag de dag geen enkele browser dat. Zelfs de TLSA-extensie voor Firefox die ik gebruikte is opeens verdwenen.
Het lijkt erop dat in de definitieve versie van de eIDAS artikel 45a(4) geschrapt is. Is het probleem daarmee nu van de baan?
Je linkt naar het originele voorstel uit 2021. Ik kan nog nergens een definitieve tekst vinden.