新提出的 eiDAS 修正案赋予欧盟监控 HTTPS 网站的法律授权

2018 年，欧盟推出了电子身份识别、认证和信任服务（eiDAS)，这是一套通过电子签名、印章、时间戳、交付服务和网站身份验证建立网络空间信任和安全基线的法规。随着大流行病的出现，部分法规必须进行修订，改革后的 eiDAS 可能很快包括第 45 条，该条款基本上允许欧盟政府通过各种手段拦截 HTTPS 协议上的加密互联网流量，对欧盟公民和居民进行监控。

据《计算机周刊》（ComputerWeekly）报道，伦敦大学学院（UCL）安全工程教授史蒂文-默多克（Steven Murdoch）是公开信的签署人之一，他对改革后的 eiDAS 中提及网络浏览器监控感到惊讶。如果第 45 条按原样通过，欧盟各国政府将能以提高网站用户安全性为借口，随意插入新的 HTTPS 根证书。然而，这些新插入的证书也可能被用来拦截整个欧盟的网络流量，获取机密数据。

默多克指出，第 45 条 "可以被解释为将权力从大型科技公司手中夺走并交给政府的一种方式"，但 "这是一种错误的机制"，因为它仍然对所有欧盟公民不利。此外，拟议的第 6a 和第 7 条中提及欧洲数字身份钱包的条款的条款，实质上是授权政府和技术服务提供商监控个人如何使用数字证书。

购买 SSL/TLS Under Lock and Key：亚马逊上购买《SSL/TLS 密码学理解指南