Jeder EU-Staat könnte Zertifizierungsstellen ernennen

Vielmehr sieht das QWACs-Konzept vor, dass sogenannte Trust Service Provider diese Zertifikate ausstellen - und die werden von den EU-Staaten ernannt. Die Browserhersteller wären verpflichtet, alle Trust Service Provider von allen EU-Staaten anzuerkennen.

Mozilla hatte bereits vor längerer Zeit darauf verwiesen, dass die Regeln für Trust Service Provider deutlich schwächer sind als die Regeln des eigenen Root-Zertifikatsprogramms - und das anhand einer ganzen Reihe von konkreten Beispielen belegt. Diese Einwände wurden laut Mozilla von der zuständigen Behörde ETSI bislang ignoriert.

Das TLS-Zertifikatssystem funktioniert generell so, dass rein technisch jede Zertifizierungsstelle für jeden Hostnamen Zertifikate ausstellen kann. Das hat zur Folge, dass letztendlich eine unsichere Zertifizierungsstelle das ganze System unterminieren kann.

An den Sicherheitsvorgaben der Browser vorbei

Genau deshalb hatten die Browserhersteller in den letzten Jahren die Regeln für Zertifizierungsstellen deutlich verschärft und es gibt etablierte Mechanismen, wie im Fall von Regelverfehlungen reagiert wird. In Extremfällen wird Zertifizierungsstellen das Vertrauen komplett entzogen, der bekannteste Fall war hierbei die einst größte Zertifizierungsstelle Symantec. QWACs könnte in solchen Fällen das ganze System unterminieren und verhindern, dass Browser entsprechend reagieren und ihre eigenen, höheren Sicherheitsstandards durchsetzen.

Wir hatten der EU-Kommission einige Fragen zu der geplanten Richtlinie gestellt. In einer kurzen Antwort bestreitet ein Sprecher der EU-Kommisssion, dass QWACs-Zertifikate niedrigere Sicherheitsstandards haben, geht aber auf die Vorwürfe von Mozilla nicht im Detail ein. Eine weitere Nachfrage wurde bislang nicht beantwortet. Auch seien QWACs-Zertifikate nicht mit EV vergleichbar - was der Unterschied ist, wollte man uns aber auch auf Nachfrage hin nicht erläutern.