以下は、米国の電子フロンティア財団(EFF)のブログ記事です。

アレクシス・ハンコック2021年12月15日
欧州評議会のサイバー犯罪条約
現在、欧州議会と欧州理事会で審議中の提案が通れば、ブラウザのHTTPSのセキュリティはかなり悪化するかもしれない。EUのデジタル・アイデンティティ・フレームワーク（eIDAS）の第45条の修正案は、ウェブを閲覧する何百万人ものユーザーにセキュリティ上の大きな悪影響を及ぼすことになる。

この修正案は、必要なセキュリティ保証がないまま、政府が指定した第三者を信頼するようブラウザに要求するものです。しかし、安全性に問題のある第三者を信頼してしまうと、ユーザーのプライバシーが損なわれ、個人情報や財務情報が流出したり、マルウェアに狙われたり、ウェブトラフィックを盗み見られたりする可能性があります。

認証局とは何か？

認証局（CA）は、ウェブやその他のインターネットサービスの主要なトランスポート・セキュリティモデルを支える信頼できる公証機関です。HTTPS サイトにアクセスする際、ブラウザはリクエストしたサイトと通信していることを知る必要がありますが、その信頼は最終的に CA によって支えられています。CA は、公開暗号鍵の所有権と真正性を証明するデジタル証明書を発行します。CAは、この鍵がそのWebサイトのものであることを検証します。証明書がブラウザで有効であるためには、CAによって署名されていなければなりません。CAの基本的な義務は、提出された証明書要求を検証し、正当であると確認できたものだけに署名することです。

ルートストアとは何か？

オペレーティングシステムやブラウザは、どのCAが自社の基準を満たし、ユーザーに利益をもたらすかを選択します。それらのCAのルート証明書をルートストアに保存します。これらの厳格な要件を満たさない認証局は、これらのルートストアに入れません。

政府が強制的にCAを要求することの危険性

改正案では、EU加盟国によって承認されたすべての主要なルートストアのCAに要求されます。改正案では、これらのCAがルートストアのセキュリティ要件を満たさなければならないという保証はなく、その搭載に異議を唱えるためのメカニズムも記載されておらず、必要な透明性もありません。

これは、欠陥のある、あるいは不注意なCAによる管理不行き届きの実践という問題を超えた問題につながる可能性があります。ブラウザが、自分たちの基準でフラグを立てたCAを取り消すことができなければ、セキュリティインシデントへの対応が遅れることになります。

このような設定は、政府が「MITM（Machine-in-the-Middle中間者）」攻撃を人々に試みることを誘惑する可能性もあります。2019年8月、カザフスタン政府は、市民のトラフィックをスキャンして 「セキュリティ上の脅威 」を探すために、証明書のインストールを要求しようとしました。Google Chrome、Mozilla Firefox、Apple Safariはこの証明書をブロックしました。彼らがこのような立場を取ることができたのは、適切なセキュリティ管理を行う独立したルートストアを運営しているからです。この新しい規制の下では、このようなことは簡単にはできないでしょう。EUは1つの国よりもはるかに大きな影響力を持っています。eIDASは反民主主義を意図したものではありませんが、より権威主義的な監視への道を開く可能性があります。

この修正案が採用されれば、過去10年間に多くの人が努力して達成したセキュリティ上の利益が後退することになります。この修正案は取り下げられるべきです。その代わりに、これらの認証局は、透明性、セキュリティ、インシデント対応の要件を満たすように働きかけられるべきです。

出典：https://www.eff.org/deeplinks/2021/12/eus-digital-identity-framework-endangers-browser-security