Nu föreslås att din webb-läsare måste acceptera allt som regeringen säger att den skall acceptera – helt utanför HTTPS certifikatsystem.
Vid behandlingen av EU:s Digital Identity Framework (eIDAS) har det lagts fram ett oroväckande ändringsförslag: Den browser du använder skall tvingas acceptera interaktion med sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.
See what they did there?
2019 försökte Kazakstans regering något liknande. Den använde certifikat-knepet för att övervaka sin befolkning. Men då kunde Chrome, Firefox och Safari blockera det aktuella certifikatet och därmed försvara kazakstanernas rätt till privatliv.
Med förslaget ovan kommer en sådan blockering inte längre vara möjlig i EU. I vart fall inte laglig. Då kommer staten att kunna snoka och placera ut vad som helst via vårt webb-interface. Det är orimligt.
Dessutom skapar man ett allmänt säkerhetsproblem. EFF:
»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«
Läs mer hos EFF: EU’s Digital Identity Framework Endangers Browser Security »
Uppdatering 11 februari: EFF har mer information »
Max Andersson säger
När jag läste det här trodde jag först det bara var tokerier från några ledamöter som fått igenom något dumt i ett utskott, men av EFF:s artikel att döma verkar förslaget komma från Kommissionen.
Det är illa, för då är risken betydligt högre att det blir verklighet.