Avsnitt 223: Qwacka tillbaka till Netscape

EU vill förändra sättet som säkra anslutningar på internet garanteras. Dagens modell bygger på ett certifikat­system med signering i flera led. För att en webbläsare ska lita på att webbplatsen som visas är den äkta, måste webbplatsen ha ett giltigt certifikat. Det certifikatet måste i sin tur vara signerat av en certifikat­utfärdare som webbläsaren eller det underliggande operativ­systemet har förtroende för. Certifikat­utfärdarna som är betrodda fastläggs av rotcertifikaten som webbläsar- och operativ­systems­utvecklarna har valt ut.

Webbläsar- och operativ­systems­utvecklarna ansvarar för att granska rotcertifikat­utfärdarna. Slutanvändarna litar på sina webbläsare och operativ­system samt deras gransknings­processer. Därigenom litar slutanvändarna också på att ingen av de utvalda rotcertifikat­utfärdarna låter sig utnyttjas för att generera falska certifikat.

Nu vill EU att EU:s medlems­länder ska få samma roll som de betrodda rotcertifikat­utfärdarna. Som en del av den reviderade EIDAS-förordningen vill EU kräva att europeiska webbläsare ska lita på statsutfärdade certifikat på samma sätt som webbläsarna litar på dagens rotcertifikat. Dessa stats­understödda certifikat kallas Qwac (Qualified Website Authentication Certificate) och kan ge EU:s medlemsländer möjlighet att bryta upp krypterad internettrafik.

Kapitel i avsnittet

00.00 Inledning
01.21 Hitta.se lanserar Adresslarm
07.47 Google Play framhäver tredjepartsgranskning
14.20 Qwacka tillbaka till Netscape

Rekommenderade åtgärder för samhälls­medborgare

Detta är den senaste versionen av åtgärdslistan som alla samhälls­medborgare bör vidta. Listan hör ihop med nyheten som avhandlas i nyheten ”Hitta.se lanserar Adresslarm (01.21)”.

• Spärra obehörig ombuds­registrering (Skatteverkets webbplats).

• Spärra obehörig ändring av folkbok­föringsadress (Skatteverkets webbplats).

• Aktivera ”Adresslåset” för ändring av postadress (Adressändrings webbplats).

• Byt till att få myndighets­posten via en digital brevlåda (t.ex. Kivra eller Min myndighetspost).

• Aktivera ”Adresslarm” i väntan på att Skatteverkets tjänst ska bli klar (Hitta.se). Observera att detta kräver att du har dina uppgifter publicerade på hitta.se.

Uppdatering 2023-11-10: Tillägg om att Adresslarm kräver att personuppgifterna är publicerade på Hitta.se. Detta kommer att förtydligas i nästa veckas podd också. Tack @Zop.se på Bluesky.

Omtalat i avsnittet

• Sveriges radios rapportering om kriminellas falska folkbokföring

• Adresslarmet hos hitta.se

• Skatteverkets pressmeddelande om motsvarighet till Adresslarm

• Googles blogginlägg om oberoende säkerhetsgranskning av VPN-appar

• Listan över appar som genomgått auktoriserad säkerhetsgranskning

• Owasp Mobile Application Security Verification Standard

• Förra poddavsnittet om Qwac (från 2022)

• Poddavsnittet om DNS4EU (från 2022)

• Scott Helmes första blogginlägg om Qwac (från 2022)

• Scott Helmes andra blogginlägg om Qwac

• Akademins första protestbrev Qwac (från 2022)

• Akademins andra protestbrev mot Qwac

• Mozillas temasida om Qwac

Dessa shownotes finns även hos Nikka Systems som podden produceras tillsammans med.