MELASZ állásfoglalás a minősített weboldal-hitelesítő tanúsítványokról

HomeA MELASZ hírei

MELASZ állásfoglalás a minősített weboldal-hitelesítő tanúsítványokról

A Magyar Elektronikus Aláírás Szövetség elemzése és állásfoglalása a 910/2014/EU rendelet (eIDAS) tervezett módosításáról a minősített weboldal-hitelesítő tanúsítványok tekintetében

A 910/2014/EU rendelet (továbbiakban: eIDAS rendelet) 2016 óta szabályozza az elektronikus azonosítást és a bizalmi szolgáltatásokat az Európai Unió teljes területén, ám idővel aktuálissá vált a rendelet felülvizsgálata. Az eIDAS rendelet módosítására irányuló javaslat [1] sok szempontból vezet be változásokat a bizalmi szolgáltatások területe tekintetében is; amellett, hogy a szövegtervezet meghatároz több új bizalmi szolgáltatást, az eddigi szolgáltatások tekintetében alkalmazandó követelményeken is módosít.

Ezen módosítások közül élénk sajtóvisszhangot kapott a tervezet weboldalhitelesítésére szolgáló minősített tanúsítványokra (Qualified Website Authentication Certificate, QWAC) vonatkozó követelményeket tartalmazó 45. cikkének (2) bekezdése, amelynek szövege a következő:

„(2) Az (1) bekezdésben említett, weboldal hitelesítésére szolgáló minősített tanúsítványokat a webböngészőknek fel kell ismerniük. E célból a webböngészők biztosítják, hogy a valamely módszer alkalmazásával megadott személyazonosító adatok felhasználóbarát módon jelenjenek meg. A webböngészők biztosítják az (1) bekezdésben említett, weboldal hitelesítésére szolgáló minősített tanúsítványok támogatását és interoperabilitását. Ez alól kivételt képeznek a működésük első öt évében azok a webböngészési szolgáltatásokat nyújtó vállalkozások, amelyek a 2003/361/EK bizottsági ajánlás értelmében mikro- és kisvállalkozásnak minősülnek.” [1]

Tekintve, hogy ez egy markáns beavatkozás a böngészők működésébe, ezt a tervezett intézkedést sok kritika érte.

Jelen írásban az ennek során felmerülő érveket szeretnénk körbejárni, illetve kontextusba helyezni.

I. A minősített weboldal-hitelesítő tanúsítványok felismerése, a rájuk vonatkozó követelmények

Eddig a weboldal-hitelesítő tanúsítványok felismerése és megjelenítése kizárólagosan a webböngészők hatásköre volt, így arról is ők döntöttek, hogy mely szolgáltatók számítanak megbízhatónak. Ez több kérdést is felvetett, többek között azt, hogy az Internet biztonságának szabályozása kinek a hatáskörébe tartozik. Az eIDAS rendelet jelenleg hatályos verziója is tartalmaz már szabályozást a minősített weboldal-hitelesítő tanúsítványokkal kapcsolatban, ám az eIDAS tervezett új verziójában (lásd a fenti idézetet) az európai törvényhozás egyértelműen állást foglal amellett, hogy a webböngészők számára is kötelező legyen az Európai Unió szintjén elismert minősített bizalmi szolgáltatók általuk kibocsátott minősített weboldal-hitelesítő tanúsítványok elfogadása és megfelelő megjelenítése – ezzel megszüntetve a kizárólagos döntés jogát. A gyakorlatban a javaslat azt jelentené, hogy amennyiben egy tanúsítvány az eIDAS rendelet szerinti minősített weboldal-hitelesítő tanúsítvány, azt valamilyen módon a webböngészőknek a felhasználói felületen is jeleznie kell, továbbá feltüntetni a benne foglalt szervezetet is – erre lehet egy példa az URL-sávban való zöld színnel való jelzés és a szervezet szövegszerű megjelenítése.

A tervezett szabályozás ellen a böngészők oldaláról gyakran megfogalmazott érv, hogy így „gyengébb biztonságú” szolgáltatóktól származó tanúsítványokat is kötelesek lesznek megbízhatóként megjeleníteni. Ezt a kijelentést érdemes alaposan átgondolni annak fényében, hogy a minősített bizalmi szolgáltatókra igen szigorú követelmények vonatkoznak. Számos megfelelőségértékelésen és szemlén kell bizonyítaniuk biztonságos működésüket, mind általános biztonsági metrikáik, mind bizalmi szolgáltatói eljárásrendi és műszaki gyakorlatuk tekintetében, ezek során pedig számos szabványnak kell megfelelniük. Arról természetesen lehet vitatkozni, hogy biztos-e az, hogy minden tagország felügyelő hatósága, valamint minden akkreditált megfelelőségértékelő szervezet teljesen azonos szigorúsággal ellenőrzi-e a követelmények betartását – feltehetően nem –, de azt bátran kijelenthetjük, hogy az eIDAS bevezetése óta az ellenőrzés szigorúsága nőtt, egyenszilárdsága nagyon sokat javult.

De tekintsük át a böngészők által eddig alkalmazott gyakorlatot is (ún. „Root programok”), amely alapján a szoftvereikben megbízhatónak fogadnak el egy tanúsítvány kibocsátó szolgáltatót (nem feltétlenül csak eIDAS szerinti bizalmi szolgáltatót, és tapasztalataink szerint viszonylag gyakran változtatják (esetenként nem adva elegendő időt az átállásra). A globális jelenlét miatt a böngészők közvetlen helyszíni szemlét nem alkalmaznak, ezt az aspektust csak az auditdokumentációk alapján tudják vizsgálni. A folyamatban levő befogadási eljárás részletei amúgy nyilvánosak, azokhoz bárki hozzászólhat, de a végső döntést a program gondozói hozzák meg. Ezen ismérvek mellett talán egy halvány kérdést az is megér, hogy vajon a böngészők befogadási eljárása során végzett ellenőrzés mennyire egyenszilárdságú, átlátható és versenysemleges.

A böngészők által alkalmazott „Root programok” mellett fontos még megemlítenünk a CA/B Forum által kidolgozott ajánlásokat is. Ezek a weboldal-hitelesítő tanúsítványok több különböző szintjét különböztetik meg (DV, IV, OV, EV). Az EV („Extended Validated”) tanúsítványok a legerősebbek. Fontos tudni, hogy az ezekre kidolgozott követelményeket a megfelelő ETSI specifikációk is meghivatkozzák (amelyeket az eIDAS szerint működő szolgáltatók is alapul vesznek), az EV és a QWAC tanúsítványokra vonatkozó követelmények pedig nagyon hasonló biztonsági szintet nyújtanak (míg a DV, IV, OV alacsonyabbat). Napjainkban lehetséges elválasztani a kettőt (azaz kiadható olyan QWAC, ami nem EV és olyan EV, ami nem QWAC), a legmegbízhatóbb gyakorlat ezen szigorú követelmények mindegyikének betartása, így a legmagasabb biztonsági szintű tanúsítvány az EV policy (QEVCP-w) alapján kiadott QWAC.

Emiatt praktikusan adódna az a gondolat, hogy az EV-QWAC szinthez kapcsolódó követelményeket kellene egységesíteni, amelyhez az eIDAS biztosítaná a jogszabályi kereteket, és a webböngészők kötelesek lennének ezeket elfogadni. Az eIDAS rendelet tervezett verziója pontosan ezt igyekszik megvalósítani. Ezt támasztja alá az is, hogy tervezetben (45. cikk (3)) szerepel, hogy a QWAC-okra vonatkozóan konkrét műszaki előírások kerülnek meghatározásra, amelyek közé akár beemelésre kerülhetnek majd a webböngésző-gyártók által karbantartott követelményrendszerek (pl. CA/B Forum Baseline Requirements és az azáltal hivatkozott szabványok) – amelyeknek való megfelelőséget jelenleg is bevállalják a minősített weboldal-hitelesítő tanúsítvány kibocsátó szolgáltatók, az ezeknek való megfelelés vizsgálatát pedig már jelenleg is akkreditált megfelelőségértékelő szervezetek végzik.

II. A weboldal-hitelesítő tanúsítványok, illetve a hozzájuk tartozó személyazonosító adatok megjelenítése

Korábban a böngészők különböző (időnként változó) vizuális módszerekkel jelenítették meg a különböző biztonsági szinteknek megfelelő weboldal-hitelesítő tanúsítványokat. Egy időben a legszigorúbb követelményeknek is megfelelő EV tanúsítványokat egy zöld lakat jelezte, míg ezt a megkülönböztetést később elhagyták – azzal az indokkal, hogy felhasználók úgysem foglalkoznak a tanúsítványokkal, a különböző jelölések csak megzavarják őket, sőt, „hamis biztonságérzetet adnak, és ezzel elősegítik az adathalászatot”.

A jelenlegi gyakorlat szerint többnyire egy „zárt kis lakat” szimbólum jelzi, hogy a meglátogatott weboldal rendelkezik érvényes weboldal-hitelesítő tanúsítvánnyal, de a böngészők nem tesznek különbséget a különböző biztonsági szintű (DV, IV, OV, EV) tanúsítványok között. Pedig a különbség lényeges: egy DV (domain validated) tanúsítvány esetében a tanúsítvány nem tartalmazza a domaint birtokló cég/magánszemély nevét, sőt, az igénylés során a személyazonosságukat nem is kell igazolniuk, így valójában nem lehet tudni, hogy ki áll egy DV tanúsítvány mögött. Míg egy EV (extended validated) tanúsítvány esetében nem csak a domaint birtokló cég és az igénylő személye kerül körültekintően ellenőrzésre, hanem még pl. az is, hogy a cég valójában egy legálisan működő (pl. bejegyzett, EU szankciólistán nem szereplő) szervezet-e. Meglepő tehát, hogy a böngészők jó ötletnek tartják összemosni ezeket a szinteket.

Természetesen fontos kiemelni azt a tényt, hogy attól, hogy egy weboldal rendelkezik (akár a legmagasabb biztonsági szintű) weboldal-hitelesítő tanúsítvánnyal, az még nem jelent semmit azzal kapcsolatban, hogy az oldalon elhelyezett tartalom lehet-e kártékony vagy rosszindulatú. Egy magasabb biztonsági szintű tanúsítvány esetében csak azt tudhatjuk biztosan, hogy ki (jellemzően: melyik szervezet) gondozza a megtekintett oldalt, amely révén így áttételesen (például egy közismert nagy bank esetében) azért élhetünk azzal a feltételezéssel, hogy megbízhatunk a tartalmában is (vagy nem).

A vonatkozó kutatások [2] is azt támasztják alá, hogy a megfigyelt adathalász weboldalak túlnyomó többsége DV (legalacsonyabb biztonsági szintű) tanúsítványt használ.

Ahogy fentebb is említettük, a minősített weboldal-hitelesítő tanúsítványok az EV tanúsítványokhoz nagyon hasonlóak, igaz ez az alany azonosítására vonatkozóan, illetve a tanúsítványba foglalandó adatokkal kapcsolatban is. Így amennyiben a webböngészők a minősített weboldal-hitelesítő tanúsítványokat nemcsak elfogadnák, hanem felhasználóbarát módon meg is jelenítenék (a minősítettség tényét és) a tanúsítványba foglalt szervezet adatait, az jelentős és hiteles többletinformációt adna a felhasználóknak az oldalt üzemeltető szervezet legitimitásáról (esetlegesen annak hiányáról).

A használt tanúsítványokkal kapcsolatban pedig a legjobb gyakorlat véleményünk szerint az EV követelmények is megfelelően kiadott QWAC használata, ugyanis ez ötvözi a klasszikus tanúsítvány-eljárásrendek és az eIDAS rendelet szerinti kategóriák szempontjából vett legszigorúbb követelményrendszereket.

 

Összességében azt gondoljuk, hogy a bemutatott tényeket és körülményeket összegezve kijelenthető, hogy az eIDAS rendelet módosításának tervezete – természetesen annak megfelelő végrehajtása esetén – várhatóan nem „aláásni”, hanem erősíteni fogja az Internet jelenlegi biztonságát, ahogyan az a jogalkotók szándéka is volt.

 

[1] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12528-EU-szerte-egyseges-digitalis-szemelyazonositas-az-online-tranzakciok-soran_hu

[2] https://www.phishlabs.com/blog/top-10-tlds-abused/