W ostatnich latach internet stał się kluczowym obszarem naszego życia, a cyberbezpieczeństwo stało się priorytetem nie tylko dla wielu użytkowników, ale też dla całych instytucji, branż i państw na całym świecie. W dążeniu do zapewnienia większego bezpieczeństwa w sieci, Unia Europejska zaproponowała kontrowersyjny system alternatywnej certyfikacji witryn internetowych. Pomysł krytykują prominentni eksperci ds. cyberbezpieczeństwa i organizacje stojące na straży prywatności w sieci.
Unia Europejska zabiera się za kłódki
Qualified Website Authentication Certificates, znane jako QWAC, to propozycja Unii Europejskiej, która pozwoliłaby rządom państw członkowskich na wydawanie certyfikatów stronom internetowych obowiązujących w każdej przeglądarce. Głównym celem tego pomysłu jest potwierdzanie autentyczności stron internetowych, zwłaszcza tych prowadzonych przez rządy, w celu zwiększenia bezpieczeństwa użytkowników.
Unijni decydenci stoją na stanowisku, iż aktualne rozwiązania w tym zakresie są niewystarczające. Każdy użytkownik surfujący po sieci zauważył zapewne, iż strony najczęściej posiadają z przodu adresu URL specjalny znaczek w kształcie kłódeczki. To tzw. certyfikat bezpieczeństwa, wydawany przez wyspecjalizowane w tej niszy niezależne firmy (np. DigiCert), które, najogólniej rzecz ujmując, pomagają użytkownikowi końcowemu zorientować się czy jest na adekwatnej, a nie podstawionej, stronie.
Branża co prawda próbowała sama z siebie zaadresować problem wypuszczając rozwiązanie znane jako Extended Validation (EV), które miało na celu dodatkowo wskazywać prawnego właściciela i operatora witryny. To rozwiązanie nie przyjęło się jednak na masową skalę, stąd próby rozwiązania przez polityków problemu „odgórnie”.
Eksperci ds. cyberbezpieczeństwa biją na alarm
Choć, z czym prawdopodobnie zgodziłoby się większość użytkowników internetu (w tym wyżej podpisany), zwiększenie bezpieczeństwa online jest ważne, propozycja QWAC budzi liczne obawy ekspertów branżowych. Osoby te, a także organizacje spośród których wymienić można Linux Foundation, Mozilla Foundation, Cloudflare i wiele innych, niepokoi nadmierna władza, jaką ta inicjatywa przyznaje władzy publicznej.
Główne obawy obejmują następujące kwestie:
- Potencjalna inwigilacja: Pozwolenie rządom na wydawanie certyfikatów stron internetowych może otworzyć furtkę do nadużyć. Rządy miałyby dostęp do kluczy kryptograficznych stron, co potencjalnie pozwoliłoby im na podsłuchiwanie ruchu użytkowników, co jest równoznaczne z inwigilacją obywateli.
- Rozmywanie standardów bezpieczeństwa: w tej chwili globalne standardy zapewniają szerokie bezpieczeństwo w sieci. Propozycja QWAC może zacząć rozmywać te standardy i stworzyć luki niespójności.
- Efekt domina: zmiany lub problemy w jednym państwie członkowskim dotykałyby na różne sposoby obywateli pozostałych państw członkowskich.
Wyżej wymienieni eksperci i organizacje wystosowały w związku z tym formalny apel do unijnych urzędników w specjalnym liście otwartym. Dokument ten zawiera wezwanie do „zaniechania” proponowanych rozwiązań w regulacji eIDAS (Electronic Identification, Authentication and Trust Services), aby uniknąć potencjalnych nadużyć i zachować prywatność użytkowników.