Deze website is een overzicht van het werk van Marietje Schaake in het Europees Parlement tussen 2009 en 2019. Marietje is bereikbaar via marietje.schaake@ep.europa.eu

Menu

Parlementaire vraag: Misbruik door derde landen van beveiligingscertificaten die zijn afgegeven door Europese certificeringsautoriteiten

13 sep 2011
Marietje

Parlementaire vragen

13 september 2011 E-008086/2011   Vraag met verzoek om schriftelijk antwoord aan de Commissie Artikel 117 van het Reglement Marietje Schaake (ALDE) en Sophia in 't Veld (ALDE)  Betreft: Misbruik door derde landen van beveiligingscertificaten die zijn afgegeven door Europese certificeringsautoriteiten Op 30 augustus 2011 werd er in de Nederlandse media(1) bericht dat de Iraanse regering Gmailadressen van internetgebruikers uit Iran aftapt dan wel heeft afgetapt met behulp van een vals beveiligingscertificaat dat is afgegeven door de Nederlandse certificeringsautoriteit DigiNotar(2). De Iraanse regering heeft door DigiNotar afgegeven valse beveiligingscertificaten gebruikt voor de domeinen google.com, mozilla.com en torproject.org. Met de certificaten kon de Iraanse regering deze domeinen „nabootsen” en het internetverkeer daarvandaan omleiden naar haar eigen servers. Deze aanpak is algemeen bekend als de „man-in-the-middle”(3). De internetgebruikers die deze domeinen bezochten hebben dus in goed vertrouwen de Iraanse regering voorzien van hun gebruikersnamen en wachtwoorden, en haar daardoor — zonder enig voorbehoud en zonder hun toestemming vooraf — toegang verschaft tot hun e-mailadres(sen) en andere aan de domeinen gerelateerde diensten en in staat gesteld om deze af te tappen. Dit heeft het leven van de internetgebruikers in gevaar gebracht, omdat Iran bekendstaat om zijn systematische mensenrechtenschendingen(4); de daden van Iran hebben daarnaast de mate waarin internetgebruikers op goedgekeurde beveiligingscertificaten kunnen vertrouwen, ernstig ondermijnd, wat invloed heeft op de diensten op het gebied van elektronische handel in zijn algemeenheid. 1. Is de Commissie, in het licht van Beschikking 2009/767/EG(5) van de Commissie van 16 oktober 2009, die verband houdt met de dienstenrichtlijn (2006/123/EG(6)) en voorschrijft dat de lidstaten „vertrouwenslijsten” moeten opstellen en publiceren van certificatiedienstverleners die overeenkomstig de richtlijn inzake elektronische handtekeningen (1999/96/EG(7)) gekwalificeerde certificaten afgeven, ook van mening dat extra oplettendheid vereist is voor een zo groot mogelijk vertrouwen in de bedrijven op deze lijst, vooral gezien het feit dat zij het toezicht op en de certificering van een belangrijk deel van de kritieke infrastructuur van de lidstaten als taak hebben? Zo nee, waarom niet? 2. Kan de Commissie aangeven of er gevolgen zijn voor a) het gebruik van valse beveiligingscertificaten en/of b) de afgifte van valse beveiligingscertificaten? Zo nee, waarom niet? 3. Kan de Commissie aangeven of zij (aanvullende) regelgeving overweegt om vertrouwen te creëren in de afgifte van beveiligingscertificaten, zonder het vrije en open karakter van het internet in gevaar te brengen? 4. Is de Commissie van mening dat DigiNotar heeft gehandeld in strijd met door de EU en/of de VN aan Iran opgelegde sancties? Zo nee, waarom niet? 5. Is de Commissie bereid de afgifte van beveiligingscertificaten door Europese certificeringsautoriteiten op te nemen in bijlage I bij Verordening (EG) nr. 428/2009(8), die binnenkort wordt herzien? Zo nee, waarom niet? 6. Beschikt de Commissie over mechanismen voor toezicht op de invloed die mensenrechtenactivisten ondervinden van producten en diensten op het gebied van ICT en telecommunicatie die vanuit de EU worden geleverd? 7. Is de Commissie op de hoogte van andere regimes die misbruik maken van certificaten om mensenrechtenactivisten te volgen en op te sporen? (1) http://webwereld.nl/nieuws/107747/iran-kan-gmail-aftappen-door-nederlands-certificaat--update-2 html?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+Webwereld+%28Webwered%29 / http://www.nu.nl/internet/2601887/iraanse-regering-tapte-gmail-af.html. (2) http://www.diginotar.nl/OverDigiNotar/tabid/316/Default.aspx. (3) https://docs.google.com/gview?url=https://www.accessnow.org/page/-/docs/Access%20Tech/Access%20Security%20Alert%20SSL%20MITM%20v1.6.pdf. (4) http://www.nokiasiemensnetworks.com/news-events/press-room/clarification-on-nokia-siemens-networks-business-in-iran. (5) PB L 274 van 20.10.2009, blz. 36. (6) PB L 376 van 27.12.2006, blz. 36. (7) PB L 44 van 16.2.2000, blz. 1. (8) PB L 134 van 29.5.2009, blz. 1. Klik hier voor het antwoord.