Jeder EU-Staat könnte Zertifizierungsstellen ernennen

Vielmehr sieht das QWACs-Konzept vor, dass sogenannte Trust Service Provider diese Zertifikate ausstellen - und die werden von den EU-Staaten ernannt. Die Browserhersteller wären verpflichtet, alle Trust Service Provider von allen EU-Staaten anzuerkennen.

Stellenmarkt
  1. Java Software Developer (w/m/d) Customer Service
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster, Oberviechtach
  2. Systemverantwortlicher (m/w/d) Modul - Ultrasonic Parking Functions
    IAV GmbH, Berlin, Chemnitz, Gifhorn
Detailsuche

Mozilla hatte bereits vor längerer Zeit darauf verwiesen, dass die Regeln für Trust Service Provider deutlich schwächer sind als die Regeln des eigenen Root-Zertifikatsprogramms - und das anhand einer ganzen Reihe von konkreten Beispielen belegt. Diese Einwände wurden laut Mozilla von der zuständigen Behörde ETSI bislang ignoriert.

Das TLS-Zertifikatssystem funktioniert generell so, dass rein technisch jede Zertifizierungsstelle für jeden Hostnamen Zertifikate ausstellen kann. Das hat zur Folge, dass letztendlich eine unsichere Zertifizierungsstelle das ganze System unterminieren kann.

An den Sicherheitsvorgaben der Browser vorbei

Genau deshalb hatten die Browserhersteller in den letzten Jahren die Regeln für Zertifizierungsstellen deutlich verschärft und es gibt etablierte Mechanismen, wie im Fall von Regelverfehlungen reagiert wird. In Extremfällen wird Zertifizierungsstellen das Vertrauen komplett entzogen, der bekannteste Fall war hierbei die einst größte Zertifizierungsstelle Symantec. QWACs könnte in solchen Fällen das ganze System unterminieren und verhindern, dass Browser entsprechend reagieren und ihre eigenen, höheren Sicherheitsstandards durchsetzen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
Weitere IT-Trainings

Wir hatten der EU-Kommission einige Fragen zu der geplanten Richtlinie gestellt. In einer kurzen Antwort bestreitet ein Sprecher der EU-Kommisssion, dass QWACs-Zertifikate niedrigere Sicherheitsstandards haben, geht aber auf die Vorwürfe von Mozilla nicht im Detail ein. Eine weitere Nachfrage wurde bislang nicht beantwortet. Auch seien QWACs-Zertifikate nicht mit EV vergleichbar - was der Unterschied ist, wollte man uns aber auch auf Nachfrage hin nicht erläutern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 QWACs: EU-Plan "würde Websicherheit dramatisch schwächen"
  1.  
  2. 1
  3. 2


F.Nixda 04. Mär 2022

Wahrscheinlich hat sich da eine Gruppe von vergreisten Abgeordneten mal wieder bei Sekt...

IrgendeinNutzer 03. Mär 2022

Warum?

Iruwen 03. Mär 2022

Google könnte in dem Fall ja nicht mehr damit drohen, die entsprechenden CAs zu sperren...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /