Ik werk in deze business.
helaas kan ik hier niet mijn jaren ervaring op dit gebied documenteren.
Ik weet wat er gaande is.
Ik weet wat de macht is van de browser partijen.
Ik weet hoe die wordt gebruikt.
Ik ken de regelgeving van de browsers (CABForum en van de specifieke browsers)
Ik ken de regelgeving van eIDAS en de onderliggende normenkaders (ETSI EN 319 401; 319 411-1, 319 411-2, 319 403 auditnormering, ETSI TS 419 261 trustworthy systems, ETSI TS 419 221 over qualified signature creation devices, etc etc).
Ik durf het aan te stellen dat de Europese standaarden veel beter (strenger, explicieter, controleerbaarder, te handhaven) dan die van de browsers. De eisen overlappen elkaar voor het grootste gedeelte. De bedoelingen zijn grotendeel hetzelfde. De onderliggende regels ook. Nogmaals: die van Europa zijn veel beter uitgewerkt.
Daarnaast is de gehele governance vanuit eIDAS heel expliciet in de wet geregeld. Ook hoe met risico’s wordt omgegaan, hoe met audits wordt omgegaan, waar wanneer welke aansprakelijkheid ligt, etc, etc.
En dan zeg ik: als Europese wettelijk ingestelde instituties verklaren dat een CA betrouwbaar is, wie is een willekeurige browser dan om het tegendeel te beweren en/of de praktische doorwerking te blokkeren.
Er is dus geen enkele reden om de EU Trust List niet als erkend op te dragen aan tech bedrijven die in Europa zaken willen doen. De browsers zouden juist dankbaar moeten zijn dat in Europa in ieder geval ook de aansprakelijkheid is geregeld.
Additioneel tov gisteren.
Inderdaad hebben browserpartijen met het voorstel geen bevoegd meer om een vertrouwensdienst uit hun trust stores te halen. En dat is juist goed.
1. de eisen die browserpartijen stellen zijn niet eenduidig. Dus de combinatie van eisen van de verschillende browserpartijen verzwaren de eisen voor de vertrouwensdiensten. Dat zou prima zijn als die verschillen in eisen veiligheid verbeteren en rechtszekerheid verbeteren. Dat doen ze niet. Soms (afhankelijk van individueel veranderende interpretaties) zijn eisen zelfs strijdig met elkaar.
2. Ook kritische infrastructuren (van overheden, van organisaties, van bedrijven) zijn afhankelijk de betreffende certificaten. Browser partijen hebben aantoonbaar geen enkele interesse voor de belangen die de kritieke infrastructuren ondersteunen. Daarmee zijn de browsers spreekwoordelijk de partijen geworden die de stopknop hebben van de F35 die Nederland heeft gekocht. Het gaat hier niet om een falende vertrouwensdienst te straffen, het gaat hier om de belangen van alle bovenliggende diensten (gezondheidszorg, waterkeringen, belastingdiensten, inklaringen, vergunningen, etc, etc, etc).
3. Het zijn juist de Europese toezichthouders die een vertrouwensdienst kunnen sluiten. Juist de Europese toezichthouders kunnen ingrijpen zonder de gevolgen van een digitale nucleaire bom. Toezichthouders zullen ingrijpen als er iets mis is. Daarom krijgen de toezichthouders ook alle auditrapportages (incl alle details). En als een vertrouwensdienst moet worden gesloten, dan kan dat zodanig dat de bovenliggende belangen kunnen worden beschermd. Hoe de toezichthouders dat doen, dat is afhankelijk van de mate van overtreding en de mate van bovenliggend belang. Juist dit ook geeft vertrouwen dat niet een of andere techreus aan de overkant van de plas om een of andere techdetail kritieke dienstverlening uit zet.
4. Tot slot wil ik wijzen op de belegging van aansprakelijkheid. Die is bij techreuzen niet geregeld (zij mogen alles, de rest mag alleen maar luisteren). In e eIDAS is aansprakelijkheid voor alle partijen uitgewerkt. Dat betekent dat schade ook wordt verhaald op de partij die de schade heeft veroorzaakt. Daar zijn natuurlijk rechters voor. Juist die belegging van aansprakelijkheid helpt elke partij in rechtszekerheid. Ook als het gaat over privacy.
Nog even een verdachtmaking van mijn kant richting browsers
Welk belang zou men kunnen hebben?
Bedenk dat met het gebruik van certificaten ook een validatieslag wordt gemaakt. Rechtsom of linksom.
Start anekdote: Bij aanvang van de eIDAS evaluatie vroeg een Europeaan dat het wellicht interessant is om één centrale validatiedienst te maken. Ik heb gevraagd of ik die dienst dan mag opzetten. Dat wilde ik graag gratis doen als ik alle gegevens daarin maar voor eigen doeleinden zou mogen gebruiken. Toen werd het stil in de zaal. Einde anekdote.
Wellicht zien de browserpartijen een belang om de centrale spil te worden in digitale identiteiten. Daarmee hebben zij een technische reden gevonden om de AVG te omzeilen (of een omweg). Gezien de winstmarges bij browsers zijn de reclame belangen er groot genoeg voor.
Wat Europa doet is juist goed. Is zelfs noodzakelijk.
Bron: Security.nl