Honderden wereldwijde cybersecurity experts, onderzoekers en wetenschappers hebben een open brief ondertekend waarin alarm wordt geslagen over de inmiddels bijna definitieve tekst van de Europese eIDAS verordening. De vrees is onder meer dat regeringen een achterdeurtje krijgen om burgers online in de gaten te kunnen houden.

Al sinds september 2018 regelt de eIDAS verordening dat overheidsorganisaties Europees erkende inlogmiddelen moeten accepteren in hun digitale dienstverlening. In de verordening staat onder meer dat dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur gebruikt worden bij onder meer elektronische handtekeningen, zegels, tijdstempels een website authenticatie.

Nu er een update in de verordening is voorgesteld, artikel 45, zijn er echter grote zorgen ontstaan bij experts, onderzoekers en wetenschappers. Ze vinden dat het voorstel de mogelijkheden van regeringen uitbreidt om zowel hun eigen burgers als inwoners in de hele EU in de gaten te houden, omdat er mogelijk technische middelen worden toegestaan die versleutelde berichten kunnen onderscheppen en bestaande toezichtsmechanismen kunnen ondermijnen.

Overheiden die zelf certificaten uitgeven

De bom barstte toen er een voorstel werd gedaan om in de verordening alle EU lidstaten de mogelijkheid te bieden om zogenaamde Qualified Website Authentication Certificates, QWAC s, uit te gaan geven. Internetbrowsers verwerken certificaten om hun verbinding met servers te beveiligen en te authentiseren volgens bestaande wereldwijde afspraken over veiligheid en vertrouwelijkheid, maar met QWAC s krijgen lidstaten de mogelijkheid en bevoegdheid om zelf certificaten te maken en te plaatsen. Daarbij wordt het met het voorstel ook nog eens mogelijk dat er een verbod komt voor browsers om QWAC s te weigeren.

De non profitorganisatie The Internet Society, dat opkomt voor een veiliger internet, schrijft in een analyse dat met QWAC s de betrouwbaarheid van de browsers kan worden ondermijnd, en dat er bovendien verbindingen tot stand kunnen worden gebracht die de bestaande wereldwijde afspraken voor browserverbindingscertificaten vermijden. Het zou voor gebruikers ook niet duidelijk zijn dat ze te maken hebben met een ander type certificaat dan gebruikelijk.

Deze versturen we 3-4x per jaar.