Kwalifikowany certyfikat uwierzytelniania witryny

Znak zaufania UE dla kwalifikowanych usług zaufania.

Kwalifikowany certyfikat uwierzytelniania witryny internetowej ( certyfikat QWAC ) to kwalifikowany certyfikat cyfrowy w ramach usług zaufania określonych w rozporządzeniu Unii Europejskiej eIDAS .

W raporcie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa z 2016 r. zaproponowano sześć strategii i dwanaście zalecanych działań jako eskalowane podejście, które koncentruje się na najważniejszych aspektach uważanych za kluczowe dla poprawy rynku uwierzytelniania witryn internetowych w Europie i pomyślnego wprowadzenia kwalifikowanych certyfikatów uwierzytelniania witryn internetowych jako sposobu na zwiększenie przejrzystości ten rynek.

QWAC w kontekście innych norm

Istnieją różne rodzaje certyfikatów uwierzytelniających strony internetowe, które różnią się treścią zawartą w temacie certyfikatu: Domain Validated (DV), Organization Validated (OV) i Extended Validation (EV). Kolejnym rozróżnieniem, jakie można wprowadzić, jest liczba domen, które są zabezpieczone certyfikatem: pojedyncza domena, symbol wieloznaczny , wiele domen . Certyfikaty z rozszerzoną weryfikacją mają odrębny zestaw zasad wydawania, wymagających zwiększonego poziomu weryfikacji tożsamości subskrybenta certyfikatu, zgodnie z zaleceniami CA/Browser Forum, dzięki czemu mają najwyższy poziom pewności tożsamości spośród wszystkich certyfikatów TLS dostępnych na rynku. „Wymagania dotyczące certyfikatu EV TLS” . CABF . Certyfikat EV wyróżniał się w przeglądarce obecnością zielonego paska adresu, zielonym tekstem oraz obecnością legalnej nazwy firmy w adresie URL w zależności od używanej przeglądarki. Badania przeprowadzone przez Google i UC Berkeley wykazały, że użytkownicy nie zmienili znacząco zachowania w oparciu o obecność lub brak tych wskaźników. Wyniki tego badania zmotywowały Google, który miał znaczący udział w rynku przeglądarek, do zaprzestania rozróżniania różnych typów certyfikatów. UE zwróciła się do CABF w 2018 r., prosząc o partnerstwo w aktualizacji istniejących wymagań EV w celu uwzględnienia dodatkowych informacji podmiotu w certyfikacie EV. Google, a następnie inne przeglądarki, był już w trakcie wycofywania oznaczenia EV i zniechęcał UE do używania certyfikatów EV. Od 2019 roku większość głównych przeglądarek nie ma już silnego oznaczenia certyfikatów EV . Większość instytucji finansowych zarówno w UE, jak iw USA nadal korzysta z certyfikatów EV.

W związku z niechęcią przeglądarek do modyfikowania istniejących wymagań EV w celu uwzględnienia nowych informacji identyfikujących eIDAS, organy regulacyjne eIDAS zaczęły wprowadzać nową równoległą strukturę bezpieczeństwa opartą na rządowej certyfikacji dostawców usług zaufania (TSP). Działałoby to równolegle z istniejącym wielostronnym urzędów certyfikacji (CA). Równoległa struktura bezpieczeństwa budzi obawy interesariuszy z branży, którzy zidentyfikowali ryzyko związane z tym podejściem, głównie związane z rządowym zarządzaniem urzędami certyfikacji, i wyrazili obawy, że wdrożenie naruszy prywatność osób w sieci.

Rozporządzenie eIDAS

W Rozporządzeniu eIDAS usługi zaufania definiuje się jako usługi elektroniczne, zwykle świadczone przez DUT, które składają się z podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz uwierzytelniania stron internetowych.

Zasadniczo rozporządzenie eIDAS zapewnia ramy promowania:

  • Przejrzystość i odpowiedzialność: dobrze określone minimalne obowiązki DUT i odpowiedzialność.
  • Gwarancja wiarygodności usług wraz z wymogami bezpieczeństwa dla TSP.
  • Neutralność technologiczna: unikanie wymagań, które mogłaby spełnić tylko określona technologia.
  • Reguły rynku i pewność normalizacji.

Treść

Certyfikaty uwierzytelniające serwisy WWW to jedna z pięciu usług zaufania zdefiniowanych w rozporządzeniu eIDAS. W art. 45 określono wymóg kwalifikowania dostawców usług zaufania wydających kwalifikowane certyfikaty uwierzytelniania witryn internetowych, co oznacza, że ​​zastosowanie będą miały wszystkie wymagania dotyczące kwalifikowanych dostawców usług zaufania (QTSP) opisane w poprzedniej sekcji. Załącznik IV określa treść certyfikatów kwalifikowanych do uwierzytelniania stron internetowych:

  1. Wskazanie, że certyfikat został wystawiony jako certyfikat kwalifikowany do uwierzytelniania serwisu.
  2. Zbiór danych jednoznacznie reprezentujący kwalifikowanego dostawcę usług zaufania wystawiającego kwalifikowane certyfikaty z uwzględnieniem państwa członkowskiego , w którym dostawca ten ma siedzibę i adekwatnie do sytuacji
    1. w przypadku osoby prawnej: nazwa i, w stosownych przypadkach, numer rejestracyjny zgodnie z oficjalnymi rejestrami,
    2. w przypadku osoby fizycznej: imię i nazwisko osoby.
  3. W przypadku osób fizycznych: co najmniej imię i nazwisko osoby, której wydano zaświadczenie, lub pseudonim. Jeżeli używany jest pseudonim, należy to wyraźnie zaznaczyć. W przypadku osób prawnych: co najmniej nazwa osoby prawnej, której wydano zaświadczenie oraz, w stosownych przypadkach, numer rejestracyjny podany w urzędowych rejestrach.
  4. Elementy adresu, w tym co najmniej miasto i województwo, osoby fizycznej lub prawnej, dla której wydawane jest świadectwo, oraz, w stosownych przypadkach, zgodnie z oficjalnymi rejestrami.
  5. Nazwy domen obsługiwane przez osobę fizyczną lub prawną, na którą wydawany jest certyfikat.
  6. Okres ważności certyfikatu.
  7. Kod identyfikacyjny certyfikatu, który musi być unikalny dla kwalifikowanego dostawcy usług zaufania.
  8. Zaawansowany podpis elektroniczny lub zaawansowana pieczęć elektroniczna wystawiającego kwalifikowanego dostawcę usług zaufania.
  9. Miejsce, w którym bezpłatnie udostępniony jest certyfikat potwierdzający zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną, o których mowa w pkt 8.
  10. Lokalizacja usług statusu ważności certyfikatu, których można użyć do zapytania o status ważności kwalifikowanego certyfikatu.

Krytyka

Zaproponowane w 2021 r. aktualizacje eIDAS wymagają od przeglądarek zapewnienia nowych form zapewnienia autentyczności strony internetowej bez dokładnego określania, w jaki sposób. Wymagają, aby przeglądarki internetowe, takie jak Chrome , Safari i Firefox , zawierały listę określonych przez rząd „Zaufanych dostawców usług” oraz akceptowały i „wyświetlały w sposób przyjazny dla użytkownika” QWAC, które wydają ci TSP, pomimo różnych zaufania, kwestie prawne, techniczne i związane z bezpieczeństwem. Internet Society i Mozilla powiedzieć, że wymagania rozporządzenia wymagają naruszenia innych wymagań. Twierdzą również, że podważyłoby to neutralność techniczną i interoperacyjność, naruszyłoby prywatność użytkowników końcowych i stworzyłoby niebezpieczne zagrożenia dla bezpieczeństwa. Sugerują zamiast tego dalsze budowanie na istniejących ramach CA.

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Qualified_website_authentication_certificate&oldid=1133956147