Zeer enge wet dit, gelukkig heb ik root op al mijn devices, dus ik hack het er wel uit.

Goed, wat de EUSSR dus forceert is een MiTM mogelijkheid voor zichzelf voor browsers.

De oplossing is niet heel ingewikkeld: open source browser, aparte module die dit implementeert en die commentarieer je uit als je je eigen build maakt. Jammer dat het zo moet, maar de EUSSR wil graag naar een Chinese maatschappij toe. Encryptie past daar nou eenmaal niet in.

SSL certificaten bieden maar een beperkte mate van veiligheid, er zijn al teveel CA's.

Maar ik vraag me af of browsermakers een popup kunnen tonen met:
Een browsermaker mag zijn gebruikers toch beschermen tegen slechte CA's.

Tenzij Europa zegt dat hun certificaat niet als slecht bestempeld mag worden.

Definieër browser...
Zijn Curl en wget een browser?
Is Python.requests een browser?
Is Firefox een browser? Lynx?

Inderdaad het gaat er straks op neer komen dat je je eigen browser moet gaan compileren met een doe het zelf handleiding om die shitcode eruit te hacken.

Welk buiten Europees staatje heeft hier nu weer voor gelobbyd?

Niemand van de eu-burgers heeft er gelobbied, maar de onverkozenen hebben alzo besloten.
Het boek 1984 was echt nooit bedoeld als handleiding, maar wordt, en niet alleen door hen, wel als handleiding gebruikt.

Kinderen opvoeden met het promoten van de voordelen van een chip in hun kn#rretjes.

Maatschappij, die zich van de kop naar de staart steeds rotter, zieker en kwaadaardiger gaat manifesteren.
Er raken er steeds meer 'van het padje af'. Velen zijn inmiddels ziek en zuchtig.

Uitzonderingen daar gelaten en wie wil er nu inmiddels niet bij deze uitzonderingen horen.
Geen ads, geen smut, geen total surveillance, geen betutteling en geen digi-slavernij a.u.b.,

#webproxy

Een certificaat (of CA) dat gebruikt wordt om gebruikers te identificeren zou je niet moeten gebruiken om websites te identificeren (behalve in het identificatie-proces.) In zo'n geval wil je een root-certificaat in de browser, maar niet voor website-authenticatie.
Wat mij betreft is er tot dusver teveel onduidelijkheid over "de online identiteit" en het gebruik daarvan dat ik heel kritisch ben.

Neigt meer naar “positieve” censuur dit, alleen die websites die het vinkje volgens de EU waard zijn mogen dan worden getoond aan de browser. En inderdaad hoogst onvriendelijk van de EU-raad om zo tweespalt te zaaien.

browser m

1. computerprogramma waarmee elektronische bestanden (vooral webpagina's) kunnen worden geraadpleegd

https://nl.wiktionary.org/wiki/browser


Ja, maar men zou curl en wget evengoed ook crawlers kunnen noemen.


Ja, maar een API call met behulp van een Python script is in dit kader misschien een betere omschrijving.


Een firefox is een fantasiedier, terwijl een lynx een echte katachtige is :-)

Goed
1. De Raad van de EU is dus de vertegenwoordiging van elke en ieder land. Deze zijn dus de vertegenwoordigers van onze eigen regering. Die is democratisch gekozen.
2. We hebben het hier over certificaten in browser, niet over chips in hoofden
3. De Raad vd EU wil dat browsers zich aan de EU wet houden. Dus niet allerlei zelfverzonnen criteria opstellen om verkeer vertrouwlijk te maken, maar conform EU normen. Wie beter weet wat goed is voor haar burgers (de EU of een paar bedrijven), mag je nu zelf bepalen. Hiervoor gingen dus bedrijven hier over, daar is de door jou gewenste democratische invloed nihil
4. Orde handhaving is altijd op gespannen voet met vrijheid maar tevens onlosmakelijk verbonden. Als criminaliteit en terreur niet bestreden worden, heb je geen vrijheid; als orde handhaving geen toezicht en controle kent, leef je net zo goed in angst. Dit voorstel is an sich niets anders dan dat wat we al kennen: toezicht vanuit de orde handhaving. Vraag is dan ook, hoe het toezicht er op ingericht zal zijn.
5. Die is allemaal het voorstel van de Raad vd EU. De EU Commissie en het EU parlement hebben ook nog een standpunt. Uiteindelijke moeten alle drie eruit zien te komen. Eigenlijk is dit dus nieuws van de orde 'iemand vindt iets', want een besluit is nog lang niet genomen.

Certificaten die niet aan MIJN voorwaarden voldoen, worden als NOT TRUSTED in mijn systemen geweigerd.

Hoe denken ze dit te handhaven? Een tekstje op je website dat de browser niet voor Europeanen bedoeld is kan al genoeg zijn. Of een open-source groep die er gewoon geen boodschap aan heeft.

Dubieuze wet waar je vraagtekens bij mag zetten.

En nou maar hopen dat er gewoon een manual komt om die er weer uit te slopen.
De EU toont elke keer weer dat ze absoluut niet te vertrouwen zijn. Zo zachtjes aan zijn ze de grootste bedreiging...

Browsermakers zouden zich helemaal niet met certificaten moeten bezighouden, dat moet een taak zijn voor het OS.

Wat houd dit in wat er gaat gebeuren dat zo slecht is dan ?
Ikke niet zo slim.

Dat wordt dan weer de US-versie downloaden, net zoals toen de internationale versie kreupele versleuteling had.

De eerste stap is het idiote idee dat root certificaten meegecompileerd moeten worden in een browser voorgoed uit
te bannen. Windows heeft al jaren een eigen certificaatstore onafhankelijk van de browsers, dat moet ieder OS gaan doen.
En dan een handig beheerprogramma erbij waar je certificaten gemakkelijk in kunt enablen/disablen op grond van zoek
criteria. Zodat je in een keer "alle root certitficaten van andere overheden dan de mijne" kunt blokkeren, etc.
Dit moet uiteraard zo in elkaar zitten dat bij updates de handmatig aangebrachte blokkades niet iedere keer weer
overschreven worden.

Is geen enge wet. Is juist goed. Dit breekt de marktmacht van de techreuzen.
Lees de eIDAS verordening eens. Daarin is geregeld
- wederzijdse erkenning
- aansprakelijkheidsbedingen (wie schade aanricht, die moet betalen).
- formeel en onafhankelijke externe audits (door een Conformity Assessment Body). En die gaan heel ver. Dat weet ik omdat ik voor een Nederlandse TSP werk. Volgens normenkader ETSI EN 319 403-1, 403-2 en 403-2).
- formeel en onafhankelijk toezicht
- een expliciet normenkader (ETSI EN 319 401; ETSI EN 319 411-1 en 411-2)
- expliciete hardening van infrastructuur componenten op basis van norm (CEN TS 419 261)
- en het ding dat handtekeningen mag zetten moet voldoen aan Protection Profile CEN TS 419 221 met de onderzoeksmethode Common Criteria ISO 15408.

Het gaat erom dat Europese website eigenaren nu eens rechtsbescherming krijgen.
Met deze wetgeving (de nieuwe eIDAS verordening) kan een techreus niet op grond van dubieuze overwegingen een TSP als onbetrouwbaar bestempelen. Dat betekent dat Europese website eigenaren zekerheid hebben dat zij niet zomaar worden uitgezet. Denk niet dat vrijblijvendheid inhoudt. Integendeel (lees hierboven wanneer een TSP door Europa kan worden goedgekeurd, welke controles eromheen hangen).
Als een TSP haar werk niet goed doet, dan moet die TSP betalen. Aan ieder die door een fout uitgegeven certificaat schade heeft opgelopen. Dat geldt ook als de Conformity Assessment Body en de toezichthouder de 'uitgiftevergunning' intrekt.

Techreuzen rotzooien maar wat aan. Denken rechtlijnig en wel richting eigen marktmacht. Hebben ook in het verleden zeer foute beslissingen genomen en blijven verborgen of blijven ontkennen als een benadeelde schade gaat verhalen.

Als Europese instituties op basis van Europese wet- en regelgeving (met al die zekerheden) formeel vertrouwen uitspreken, wie is dan het commerciele techbedrijf om dat te ontkennen of de doorwerking onmogelijk te maken. De arrogantie (ja, het maakt me boos). Als zo'n techbedrijf twijfelt aan de betrouwbaarheid van een TSP, dan gaat dat techbedrijf haar bewijzen maar overleggen aan de betreffende toezichthouder. Die is dan verplicht te acteren.


Dan nog:
- Elke gebruikersorganisatie mag de eigen infrastructuur natuurlijk configureren zoals zelf gewenst. (gelukkig maar)
- Als jij een TSP niet vertrouwt, dan hoef dat ook niet. Zet het maar uit. En dan kan je niet meer winkelen bij de Europese gebruikers van zo'n certificaat.

my 5 cents voor nu, ik reageer ook nog wel op een paar andere uitspraken in bovenstaande commentaren

De EU kan helemaal niet een MITM forceren.
Als je dat denkt, dan begrijp je de technologie niet.
Alleen een TSP zou dat kunnen voor alleen die organisaties waaraan zij certificaten levert. En juist die staan onder zware controle.

Als de techreuzen hun zin krijgen dan
- zullen alle certificaten een steeds korter durend leven hebben
- uiteindelijk alleen de techreuzen nog certificaten kunnen uitgeven
- die zijn dan oppermachtig en kunnen buiten elke controle om zelf de MITM worden
- door de validatiegegevens per IP adres en per certificaat kunnen achterhalen welke websites en/of webpagina's worden bezocht
- de noodzaak voor validatie zou de cookiewetgeving (gericht op techreuzen en hun profiling) volledig ontkrachten

Hoezo EUSSR. Denk eerder aan TechSSR.

Ook dit is helemaal niet waar.
Als je de (in de) EU vertrouwde certificaten zelf niet wil vertrouwen, dan haal je die CA's gewoon uit de trust list die de techreuzen ook met EU Trust List entries moeten vullen.

Ik ben zelf een van de sterkste voorstanders geweest. Ik ben geen staatje. Ik ben niet rijk. Ik heb geen eigen belang.
Als ik geld had willen verdienen, dan had ik me wel door de techreuzen laten inhuren. Hiervoor heb ik kennis genoeg.

Mijn overtuiging
- ik meen dat Europa op dit gebied goede dingen doet
- ik vind dat Europa op IT gebied soevereiniteit moet behouden
- ik vind dat er in Europa rechtszekerheid moet bestaan
- ik geef om persoonlijke vrijheid en wil die niet aan techreuzen verkwanselen

Er bestaan persoonsgebonden certificaten en er bestaan machine gebonden certificaten.
De Qualified Web Authenticatie Certificaat (QWAC) is een certificaat dat speciaal gemaakt is voor website authenticatie. Dat betekent dat de website is wie de website zegt dat die is (ondertekend door de onafhankelijke TSP die gecontroleerd heeft dat dit inderdaad zo is).
Dit onderwerp gaat helemaal niet over persoonsgebonden certificaten.

De EU zaait geen tweespalt.
Dat doen de techreuzen.

Het is ook geen positieve censuur.
Er is inderdaad wel een icoontje waarmee website eigenaren kunnen laten zien dat zij gebruik maken van een Qualified Web Authenticatie Certificaat (QWAC). Maar dat hoeven zij niet te gebruiken.
Voor mij zou de boodschap zijn
- De echtheid van de website is controleerd
- door een Europese gecontroleerde en erkende TSP
- die de hoogste technische en procedurele standaard in de wereld heeft gebruikt
- en waarop ook nog eens formeel toezicht wordt uitgeoefend

Het zal we een soort oplossing worden zoals bij de cookie wetgeving gebeurde.

Een instelling in de config.
Iets van : Ik ben burger van de EU: True/false
Dat kun je bij de installatie al vragen :-)
En wil je deze meuk niet, dan zeg je nee.

Of anders twee versies van de browser. Een met en een zonder deze meuk.
En dan de gebruiker laten kiezen welke hij wil hebben.

Zolang de browser fabrikanten geen regio lock inbouwen, is er weinig aan de hand.


En anders wachten op de handige jongen die een configueerbare browser ontwikkeld en uitbrengt in een ander werelddeel.
Daar zijn dan genoeg gebruikers voor.

Inderdaad.
Dit is goed begrepen. Dit is goed benaderd. Dit is goed uitgelegd.

Aanvulling.
Het toezicht staat al in de huidige eIDAS verordening. Dat is al uitgewerkt. Dat werkt ook in de praktijk.
- Een geaccrediteerde Conformity Assessment Body (CAB) . Een CAB kan alleen de auditvergunning krijgen als die voldoet aan de nationaal vastgestelde eisen die weer een invulling zijn van een Europese directive (die moeten in nationale wetgeving worden uitgewerkt). De Nederlandse accreditatie body is de Raad van de Accreditatie. Bekende in Nederland aanwezige CAB's zijn EY en BSI. Overigens mag een TSP ook een buitenlandse geaccrediteerde CAB contracteren voor haar werk.
- Een door de wet aangewezen toezichthouder. In Nederland is dat de Autoriteit Telecom. Ook als een TSP een buitenlandse CAB heeft gecontracteerd, moet een nationale toezichthouder dat toezicht houden.
- Voor het dingetje dat kan ondertekenen (een HSM, een smartcard, oid) moet (zoals ik eerder aangaf) aan een aantal normen worden voldaan. Dat wordt door een onderzoekslaboratorium onderzocht (op basis van eerder genoemde onderzoeksnormen). Daarvan wordt verslag gedaan aan een onafhankelijk vaststeller van de onderzoeksresultaten. In Nederland is dat TÜV Nederland. En dat resultaat wordt dan door de toezichthouder op de lijst goedgekeurde producten geplaatst (alleen dan mag die CA, Smartcad, HSM, oid) het 'kwaliteitsstempel QSCD' dragen. En gelukkig mag een TSP kiezen uit alle in Europa goedgekeurde QSCD's.

Ja, het is ingewikkeld. Althans voor de TSP. Niet voor de uiteindelijke website eigenaar. Niet voor de bezoekers van die websites. Het kwaliteitslogo dat mag worden gebruikt stelt dus heel veel voor.

Helemaal met je eens.
Als je kiest, kan je dan met de consequenties leven?

Natuurlijk heb je gelijk.
De root stores (Trust Stores) moeten door iedere gebruiker vrijelijk kunnen worden geconfigureerd. De meeste techreuzen hebben dat ook zo ingericht. Dus daar hoef je in principe geen zorgen te hebben (tenzij je een exoot hebt en dan kan je je beter maar afvragen...)

Alleen die kreet "alle root certificaten van andere overheden....". In principe leveren de overheden geen root certificaten. Het zijn bijna altijd commerciele TSP's die root certificaten leveren. In Nederland hebben we wel een overheid Policy Autoriteit die het merk PKIo maakt. PKIo heeft voor diverse soorten certificaten een domein-intermediate-CA gemaakt waarbinnen strengere eisen gelden voor dat type certificaat. Verschillende commerciële TSP's hebben (naast hun eigen merk en policy) ook een op PKIo gebaseerde issuing CA. Daarnaast zijn er enkele overheden die ook (soms zelf, soms via een commerciële uitbesteding) PKIo policy gebaseerde certificaten uitgeven. Zoals de certificaten op de zorgpassen van medisch personeel, de taxipassen voor taxichauffeurs en de Defensiepassen voor defensiepersoneel.

Een zwak punt van het certificatensysteem is dat er niet een algemeen gebruikelijk mechanisme is wat een site koppelt
aan een certificaat uitgever, en wat ook gebruikt wordt in software die de mensen gebruiken.

Daardoor geldt "voor alleen die organisaties waaraan zij certificaten levert" in de praktijk niet of slechts heel beperkt.
Als ik een site heb met een certificaat geleverd door uitgever X, dan kan "de staat der Nederlanden" gewoon een
certificaat uitgeven wat de bezoekers van mijn site vertrouwen, en daarmee een MITM doen. De bezoekers controleren
niet of het certificaat wat hun browser ziet wel afkomstig is van uitgever X (wat het normaal is).

Iedereen die zelf een rootcert heeft kan dat ook doen. Tot het ontdekt wordt, dan wordt het rootcert ongeldig gemaakt.
Echter als het van de EU is dan MAG dat dus niet. Dat maakt het mogelijk om een MITM te doen zonder dat iemand
wat kan ondernemen.

Het punt is: wie vertrouw ik het minste, de techreuzen of de EU? En momenteel scoort de EU bij mij nog lager op dat punt dan de techreuzen. Die willen me "alleen maar" lastig vallen met reclame, die ik toch blokkeer. De EU wil me veel meer controleren.

Ik denk dat zowel de amerikaanse democratie zelf als de samenleving daar er ook nog wel eens de kantjes vanaf loopt. En dan zeg ik het nog maar heel erg netjes want wie week hebben we volgende week al hun vliegdekschepen nodig en een hele zooi F35 vliegtuigen.

Maar hun democratie hebben bij ons (vooral de Fransen, Nederlanders en de Engelsen) destijds net zo afgeluisterd als de Chinezen nu overal bij iedereen doen!

Beetje respect graag. Wat goed is voor ons kunnen we prima zelf bepalen, zo een gezellig rommeltje als het soms ook is. Daar hebben we geen gepikte preken voor nodig.

Laten we alsjeblieft uit de EU stappen voordat ze werkelijk alles verkloten.
Kost bakken met geld en geeft alleen maar problemen.

Net als duizenden andere voorbeelden gaat het hier om iets dat de industrie uitstekend onder controle heeft (en ontworpen heeft!)
De bemoeizucht van domme bureaucraten kent geen grenzen.
Dit gaat maar een kant op en dat is een gigantisch totalitair model waar China nog eens jaloers op gaat worden.

Vrijheid heeft ons welvaart gebracht en centralisatie gaat onze ondergang betekenen.

Kunnen we certificaten niet gewoon afschaffen. Ze veroorzaken steeds maar meer ellende.
Ze hebben het punt bereikt dat ze door iets totaal anders vervangen moeten gaan worden.
Net zoals dar met OSsen regelmatig gebeurt.

Ik snap wel dat je meer vertrouwen in commerciele organisaties hebt dan in Europese/Nederlandse overheid.
De overheid (de wet- en regelgeving) geeft vaak geen ruimte voor mensen die niet wensen mee te doen. Daarnaast maken overijverige ambtenaren oplossingen waardoor in de IT een enorme scopecreep ontstaat. Meestal ten koste van privacy, persoonlijke vrijheid en vaak leidend tot ondermijning van het vertrouwen dat een burger in de overheid kan hebben. Dit gebeurt niet alleen bij overheden. Dit gebeurt ook bij veel commerciele bedrijven. Dan gaat het vaker om scopecreep om winstmaximalisatie of marktmacht te ontwikkelen.

Voor het hier voorliggende. De overheden van EU en/of Nederland kunnen helemaal geen misbruik maken van een wel-verplichting voor techreuzen. De techreuzen kunnen wel misbruik maken van een geen-verplichting.

Misschien wel een goed idee.
Maar dan de vraag: hoe kan ik er dan op vertrouwen dat een website betrouwbaar is? Dat die de (zakelijke) beloftes ook na komt?

De certificaten zijn vergelijkbaar met een paspoort. Dat certificaat is niets anders dan een verifieerbaar document dat door een derde is uitgeven dat die gecontroleerd heeft dat die website dat domein heeft (van die betreffende eigenaar is, en/of meer attributen die erin staan). Net zoals een paspoort. Daar zegt de overheid dat jij echt jij bent. Daarom kan je met jouw paspoort andere landen binnen reizen.

Voor de Qualified Web Authenticatie Certificaten (QWAC). De overheid stelt de kaders en de normen waaraan dat digitale web paspoort moet voldoen. De commerciële TSP'en leveren die website paspoorten aan de websites. De bezoekers van de websites hebben nu een reden om die website te vertrouwen. De QWC is simpelweg de hoogste standaard voor een website paspoort.

Het probleem ben jij niet, maar de massa.

Be careful what you wish for. De meeste mensen hebben een Windows desktop en de eindgebruiker is niet de persoon die bepaalt wat trusted is, Microsoft doet dat via hun eigen dienst.

Begin met NL... Daar is al jaren een reeks van ministers van justitie die grip willen krijgen op encryptie en er zullen makkelijk wat volgers hiervoor te vinden zijn.

Dus tuigt de EU nog een stelletje CAs op, die natuurlijk veel beter zijn en zich niet aan lastige standaarden hoeven te houden, behalve natuurlijk aan de grillen van corrupte politicy.

Dan gaan Nederlandse politicy er een nog groter zootje van maken, bedoel je zeker.

Gewoon CAA record instellen op je website en public key pinning in je software... klaar, kunnen ze nog steeds niets.

Daar hebben we in ieder geval nog een heel klein beetje invloed op als kiezer, de molen van de EU is een als een olietanker wiens koers niet gaat veranderen ook al zou ze recht op de kust af varen.
Het is ook allemaal geen verassing, dat is nu eenmaal hoe die dingen gaan.

Overigens, Noorwegen en Zwitserland kunnen het schijnbaar ook, zou niet weten waarom NL dit niet zou kunnen.