Podd #223: Qwacka tillbaka till Netscape

EU vill förändra sättet som säkra anslutningar på internet garanteras. Dagens modell bygger på ett certifikat­system med signering i flera led. För att en webbläsare ska lita på att webbplatsen som visas är den äkta måste webbplatsen ha ett giltigt certifikat. Det certifikatet måste i sin tur vara signerat av en certifikat­utfärdare som webbläsaren eller det underliggande operativ­systemet har förtroende för. Certifikat­utfärdarna som är betrodda fastläggs av rotcertifikaten som webbläsar- och operativ­systems­utvecklarna har valt ut.

Webbläsar- och operativ­systems­utvecklarna ansvarar för att granska rotcertifikat­utfärdarna. Slutanvändarna litar på sina webbläsare och operativ­system samt deras gransknings­processer. Därigenom litar slutanvändarna också på att ingen av de utvalda rotcertifikat­utfärdarna låter sig utnyttjas för att generera falska certifikat.

Nu vill EU att EU:s medlems­länder ska få samma roll som de betrodda rotcertifikat­utfärdarna. Som en del av den reviderade EIDAS-förordningen vill EU kräva att europeiska webbläsare ska lita på statsutfärdade certifikat på samma sätt som webbläsarna litar på dagens rotcertifikat. Dessa stats­understödda certifikat kallas Qwac (Qualified Website Authentication Certificate) och kan ge EU:s medlemsländer möjlighet att bryta upp krypterad internettrafik.

I veckans avsnitt av Bli säker-podden pratar Peter och Nikka om konsekvenserna som Qwac får för säkerheten på nätet. Avsnittet är en uppföljning till avsnitt 162 från våren 2022 då Tess och Nikka varnade för förslaget, vilket nu ser ut att bli verklighet.

Kapitel i avsnittet

• 00.00 Inledning
• 01.21 Hitta.se lanserar Adresslarm
• 07.47 Google Play framhäver tredjepartsgranskning
• 14.20 Qwacka tillbaka till Netscape

Rekommenderade åtgärder för samhälls­medborgare

Detta är den senaste versionen av åtgärdslistan som alla samhälls­medborgare bör vidta. Listan hör ihop med nyheten som avhandlas i nyheten ”Hitta.se lanserar Adresslarm (01.21)”.

• Spärra obehörig ombuds­registrering (Skatteverkets webbplats).
• Spärra obehörig ändring av folkbok­föringsadress (Skatteverkets webbplats).
• Aktivera ”Adresslåset” för ändring av postadress (Adressändrings webbplats).
• Byt till att få myndighets­posten via en digital brevlåda (t.ex. Kivra eller Min myndighetspost).
• Aktivera ”Adresslarm” i väntan på att Skatteverkets tjänst ska bli klar (Hitta.se). Observera att detta kräver att du har dina uppgifter publicerade på hitta.se.

Uppdatering 2023-11-10: Tillägg om att Adresslarm kräver att personuppgifterna är publicerade på Hitta.se. Vi kommer att förtydliga detta i nästa veckas podd också. Tack @Zop.se på Bluesky.

Omtalat i avsnittet

• Sveriges radios rapportering om kriminellas falska folkbokföring
• Adresslarmet hos hitta.se
• Skatteverkets pressmeddelande om motsvarighet till Adresslarm
• Googles blogginlägg om oberoende säkerhetsgranskning av VPN-appar
• Listan över appar som genomgått auktoriserad säkerhetsgranskning
• Owasp Mobile Application Security Verification Standard
• Förra poddavsnittet om Qwac (från 2022)
• Poddavsnittet om DNS4EU (från 2022)
• Scott Helmes första blogginlägg om Qwac (från 2022)
• Scott Helmes andra blogginlägg om Qwac
• Akademins första protestbrev Qwac (från 2022)
• Akademins andra protestbrev mot Qwac
• Mozillas temasida om Qwac

Dessa shownotes finns även hos Bredband2 som podden produceras tillsammans med.