Chinese praktijken EU maken VPN voor Google Chrome vrijwel nutteloos
De EU wil de nieuwe eIDAS 2.0-wetgeving invoeren, wat mogelijk grote gevolgen heeft voor je online privacy via bijvoorbeeld Chrome. Het maakt je VPN wellicht compleet overbodig.
De eIDAS 2.0 is een herziening van de eerste eIDAS-wet. Deze heeft alles te maken met digitale identiteit en verandert de manier waarop webbrowsers zoals Google Chrome, Safari en Edge omgaan met beveiliging en website-authenticatie. Tegelijkertijd komt er ook een speciale EU ID Wallet, een identificatie-app voor Europeanen.
Hoewel je het misschien niet zou verwachten, ligt het probleem juist in het eerste deel: website-authenticatie. Verschillende organisaties zoals Firefox-maker Mozilla en privacy-advocaten luiden dan ook de noodklok over de plannen van de EU, zo blijkt uit berichtgeving van TechRadar. Zelfs een VPN zal niet werken.
Geen versleutelde verbinding in Google Chrome of een andere browser door de EU
Als je bijvoorbeeld Google Chrome gebruikt op je smartphone, zie je aan de linkerkant van de URL-balk een slotje staan. Dat betekent dat de website beveiligd is door een HTTPS-verbinding, een versleutelde verbinding tussen de browser en server.
Voor die verbinding is een speciaal certificaat gecreëerd dat de veiligheid waarborgt. eIDAS 2.0 zou dat mogelijk kunnen veranderen. Het geeft EU-landen de mogelijkheid om deze vertrouwensbewijzen zelf af te geven, en browsers mogen deze niet negeren, zelfs niet als ze merken dat die niet in de haak is.
Doordat EU-staten dus zelf ‘valse’-certificaten mogen afgeven, kunnen zij dus internetverkeer zelf onderscheppen, terwijl lijkt alsof de verbinding versleuteld is. Ze fungeren dus als een tussenpersoon tussen je computer en de website, zondat dat Google Chrome daar dus wat aan kan doen.
Een VPN lijkt compleet nutteloos
Misschien denk je dat een VPN je hierbij kan helpen, maar dat is dus niet het geval. Een VPN beschermt wel je netwerkverbinding, maar niet de browser zelf. Normaal gesproken loopt alles via je netwerkverbinding, dus dat is geen probleem. Maar als de EU straks tussen de browser en je computer komt, heeft het dus wel de mogelijkheid om al je websitebezoeken te onderscheppen
.
Dit kunnen EU-landen straks dus doen met ; ‘slechte’ certificaten. Nu opent Chrome of Edge dus geen verbinding als die niet versleuteld is, maar straks mogen de browsers dat dus niet meer doen, waardoor landen vrij spel hebben om net te laten lijken of je verbinding versleuteld is. Ze zouden dat kunnen doen en ondertussen het verkeer kunnen onderscheppen.
Aan TechRadar vertelt tech-expert Harry Halpin, oprichter van Nym Technologies, het volgende: “Dit zijn allemaal zeer gevaarlijke zaken. Ik ben verbaasd dat zo’n idiote regel is aangenomen door de EU.” Hij luidt dan ook de noodklok: “Een surveillanceregime dat erger is dan wat China en Rusland hebben. Ik denk niet dat iemand met gezond verstand dit zou accepteren.”
De hoop is nog niet verloren
Toch is niet iedereen zo negatief als Halpin. De Europese Commissie wuift de zorgen weg. Tot nu toe heeft het slechts ingestemd met een voorlopige tekst, dus de wet is nog niet goedgekeurd.
De mensen achter Opera, een concurrent van Google Chrome, zijn juist positiever gestemd. Hoewel ze denken dat de nieuwe wet het internetverkeer niet veiliger zal maken, geloven ze wel dat er een andere versie van de wet zal komen door de EU.
Hoe de definitieve versie van de wet eruit zal zien, wordt pas eind maart bekend. Alle open processen moeten namelijk voor de Europese verkiezingen zijn afgerond.