Кваліфікований сертифікат автентифікації вебсайту

Кваліфікований сертифікат автентифікації вебсайту (сертифікат QWAC) — кваліфікований цифровий сертифікат^[en] згідно з довірчими службами, визначеними в Регламенті Європейського Союзу eIDAS.

У звіті Агентства Європейського Союзу з питань мережевої та інформаційної безпеки за 2016 рік запропоновано шість стратегій і дванадцять рекомендованих дій як ескалований підхід, спрямований на найважливіші аспекти, які вважаються критично важливими для вдосконалення ринку автентифікації вебсайтів у Європі та успішного впровадження кваліфікованих сертифікатів автентифікації вебсайтів як засобу підвищення прозорості в цей ринок.^[1]

QWAC у контексті інших стандартів

Існують різні типи сертифікатів автентифікації вебсайтів, які відрізняються вмістом, що міститься в Предметі сертифіката: перевірено доменом (DV), перевірено організацією (OV) і розширеною перевіркою^[en] (EV). Інша відмінність, яку можна зробити, це кількість доменів, захищених сертифікатом: однодоменний, підстановочний, багатодоменний. Сертифікати з розширеною перевіркою мають особливий набір політик випуску, що вимагає підвищеного рівня перевірки особи підписувача сертифіката відповідно до вимог Форуму CA/Browser Forum, тому вони мають найвищий рівень гарантії ідентичності серед усіх TLS-сертифікатів на ринку. «Вимоги до сертифікатів EV TLS». CABF. 31 серпня 2013 року. Сертифікат EV можна було відрізнити в браузері за наявністю зеленого адресного рядка, зеленого тексту та наявності юридичної назви компанії в URL-адресі в залежності від того, який браузер використовувався. Дослідження, проведене Google та Каліфорнійським університетом Берклі,^[2] показало, що користувачі не змінюють свою поведінку залежно від наявності чи відсутності цих індикаторів. Результати цього дослідження спонукали компанію Google, яка займала значну частку ринку браузерів,^[3] припинити диференціацію між різними типами сертифікатів. У 2018 році ЄС звернувся до CABF з проханням про партнерство в оновленні існуючих вимог до електромобілів, щоб включити додаткову інформацію про об'єкт у сертифікат електромобіля. Google, а за ним і інші браузери, вже перебували в процесі відмови від індикації електромобілів і відраджували ЄС від використання сертифікатів електромобілів. Станом на 2019 рік більшість основних браузерів більше не мають чіткої індикації EV сертифікатів. Більшість фінансових установ як в ЄС, так і в США продовжують використовувати EV-сертифікати.

З огляду на небажання браузерів змінювати існуючі вимоги до EV для розміщення нової ідентифікаційної інформації eIDAS, регулятори eIDAS почали запроваджувати нову паралельну структуру безпеки, яка спирається на державну сертифікацію постачальників довірчих послуг^[en] (TSP). Це існуватиме поряд із існуючою системою центрів сертифікації (CA) з кількома зацікавленими сторонами. Паралельна структура безпеки викликає занепокоєння у галузевих зацікавлених сторін, які виявили ризики в підході, здебільшого пов’язані з урядовим управлінням CA, і висловили занепокоєння, що впровадження підірватиме конфіденційність людей в Інтернеті.^[4]^[5]

Регламент eIDAS

У Регламенті eIDAS довірчі послуги визначаються як електронні послуги, які зазвичай надаються TSP, які складаються з електронних підписів, електронних печаток, електронних позначок часу, електронних послуг зареєстрованої доставки та автентифікації вебсайтів.^[6]^[7]

По суті, Регламент eIDAS забезпечує основу для просування:^[8]

Прозорости і підзвітности: чітко визначені мінімальні зобов’язання для TSP і відповідальності.
Гарантії надійности послуг разом з вимогами безпеки для TSP.
Технологічної нейтральности: уникнення вимог, які можуть бути виконані лише за допомогою певної технології.
Правил ринку та визначености стандартизації.

Зміст

Сертифікати автентифікації вебсайтів є однією з п’яти довірчих послуг, визначених у Регламенті eIDAS. Стаття 45 встановлює вимоги до постачальників довірчих послуг, які видають сертифікати кваліфікованої автентифікації вебсайтів, що означає, що всі вимоги до кваліфікованих постачальників довірчих послуг (QTSP), описані в попередньому розділі, будуть застосовні. Додаток IV визначає зміст кваліфікованих сертифікатів для автентифікації вебсайту:^[7]

Вказівка на те, що сертифікат видано як кваліфікований сертифікат для автентифікації вебсайтів.
Набір даних, що однозначно представляє кваліфікованого постачальника довірчих послуг, який видає кваліфіковані сертифікати, включаючи державу-члена, у якій цей постачальник заснований та адекватно до ситуації
1. для юридичної особи: найменування та, де це застосовно, реєстраційний номер, як зазначено в офіційних документах,
2. а для фізичної особи: ім'я особи.
Для фізичних осіб: принаймні ім'я особи, якій видано сертифікат, або псевдонім. Якщо використовується псевдонім, він повинен бути чітко зазначений. Для юридичних осіб: принаймні назва юридичної особи, якій видається сертифікат, і, де це можливо, реєстраційний номер, зазначений в офіційних документах.
Елементи адреси, включаючи принаймні місто та штат, фізичної або юридичної особи, якій видається сертифікат, і, де це застосовно, як зазначено в офіційних документах.
Доменні імена, якими управляє фізична або юридична особа, якій видано сертифікат.
Термін дії сертифіката.
Ідентифікаційний код сертифіката, який має бути унікальним для кваліфікованого постачальника довірчих послуг.
Розширений електронний підпис або розширена електронна печатка кваліфікованого постачальника довірчих послуг, що його видав.
Місце, де можна безкоштовно отримати сертифікат, що підтверджує удосконалений електронний підпис або удосконалену електронну печатку, зазначений у пункті 8.
Місцезнаходження служб статусу дійсности сертифіката, за допомогою яких можна дізнатися про статус дійсності кваліфікованого сертифіката.

Критика

Оновлення eIDAS, запропоновані у 2021 році, вимагають від браузерів надання нових форм гарантії автентичности вебсайтів, не вказуючи, як саме. Вони вимагають, щоб веббраузери, як-от Chrome, Safari та Firefox, містили список визначених державою «Довірених постачальників послуг», а також приймали та «відображали у зручній для користувача спосіб» QWAC, які видають ці TSP, незважаючи на різноманітні довіри, юридичні, технічні проблеми та проблеми безпеки.^[5]^[4] Internet Society та Mozilla кажуть, що вимоги регламенту вимагають порушення інших вимог. Вони також стверджують, що це підірве технічну нейтральність і сумісність, підірватиме конфіденційність кінцевих користувачів і створить небезпечні ризики для безпеки.^[9] Натомість вони пропонують продовжувати розбудовувати існуючу структуру CA.

Примітки

↑ Qualified Website Authentication Certificates. ENISA (англ.). 16 травня 2016. Архів оригіналу за 7 березня 2022. Процитовано 6 березня 2022.
↑ Felt, Adrienne Porter; Reeder, Robert W.; Ainslie, Alex; Harris, Helen; Walker, Max; Thompson, Chris; Acer, Mustafa; Morant, Elisabeth; Consolvo, Sunny (2016). Rethinking Connection Security Indicators. SOUPS. Архів оригіналу за 1 березня 2022. Процитовано 28 квітня 2022.
↑ W3Counter: Global Web Stats - January 2018. www.w3counter.com. Архів оригіналу за 5 листопада 2021. Процитовано 28 квітня 2022.
↑ ^а ^б Experts urge EU not to force insecure certificates in web browsers. BleepingComputer (амер.). Архів оригіналу за 6 березня 2022. Процитовано 6 березня 2022.
↑ ^а ^б Internet Impact Brief: Mandated Browser Root Certificates in the European Union's eIDAS Regulation on the Internet. Internet Society (амер.). 8 листопада 2021. Архів оригіналу за 6 березня 2022. Процитовано 6 березня 2022.
↑ Turner, Dawn. Understanding eIDAS. Cryptomathic. Архів оригіналу за 20 квітня 2016. Процитовано 12 квітня 2016.
↑ ^а ^б Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. EUR-Lex. The European Parliament and the Council of the European Union. Архів оригіналу за 15 січня 2018. Процитовано 18 березня 2016.
↑ Turner, Dawn M. Trust Service Providers according to eIDAS. Cryptomathic. Архів оригіналу за 6 жовтня 2017. Процитовано 17 жовтня 2017.
↑ Mozilla (1 жовтня 2020). European Commission's Open Public Consultation on eIDAS - Attachment to Mozilla's Survey Response (PDF). Архів (PDF) оригіналу за 6 березня 2022. Процитовано 6 березня 2022.

[1] Qualified Website Authentication Certificates. ENISA (англ.). 16 травня 2016. Архів оригіналу за 7 березня 2022. Процитовано 6 березня 2022.

[2] Felt, Adrienne Porter; Reeder, Robert W.; Ainslie, Alex; Harris, Helen; Walker, Max; Thompson, Chris; Acer, Mustafa; Morant, Elisabeth; Consolvo, Sunny (2016). Rethinking Connection Security Indicators. SOUPS. Архів оригіналу за 1 березня 2022. Процитовано 28 квітня 2022.

[3] W3Counter: Global Web Stats - January 2018. www.w3counter.com. Архів оригіналу за 5 листопада 2021. Процитовано 28 квітня 2022.

[:0-4] а ^б Experts urge EU not to force insecure certificates in web browsers. BleepingComputer (амер.). Архів оригіналу за 6 березня 2022. Процитовано 6 березня 2022.

[:1-5] а ^б Internet Impact Brief: Mandated Browser Root Certificates in the European Union's eIDAS Regulation on the Internet. Internet Society (амер.). 8 листопада 2021. Архів оригіналу за 6 березня 2022. Процитовано 6 березня 2022.

[Tuner_Understanding_eIDAS-6] Turner, Dawn. Understanding eIDAS. Cryptomathic. Архів оригіналу за 20 квітня 2016. Процитовано 12 квітня 2016.

[eIDAS-EUR-Lex-7] а ^б Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. EUR-Lex. The European Parliament and the Council of the European Union. Архів оригіналу за 15 січня 2018. Процитовано 18 березня 2016.

[eIDAS-TrustServiceProviders-8] Turner, Dawn M. Trust Service Providers according to eIDAS. Cryptomathic. Архів оригіналу за 6 жовтня 2017. Процитовано 17 жовтня 2017.

[9] Mozilla (1 жовтня 2020). European Commission's Open Public Consultation on eIDAS - Attachment to Mozilla's Survey Response (PDF). Архів (PDF) оригіналу за 6 березня 2022. Процитовано 6 березня 2022.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]