Er worden geldprijzen van ₹ 3,4 crore aangeboden aan ontwikkelaars die helpen bij het creëren van een native Indiase webbrowser “voor de wereld”. Dat heeft het ministerie van Elektronica en Informatietechnologie bekendgemaakt op woensdag. Een belangrijk voorbehoud is dat browserideeën die aan deze wedstrijd deelnemen, moeten vertrouwen op de Controller of Certifying Authorities (CCA), de autoriteit van de Indiase overheid voor digitale handtekeningen, inclusief SSL-certificaten (Security Sockets Layer).
SSL-certificaten worden gebruikt om websites te versleutelen en ervoor te zorgen dat browsers weten dat een website niet wordt gewijzigd of nagebootst door aanvallers. Browsers weten dat ze deze certificaten vertrouwen als ze zijn uitgegeven door een certificeringsinstantie, die op haar beurt wordt vertrouwd door een “rootcertificeringsinstantie”. India heeft geen rootcertificeringsinstantie die wordt vertrouwd door grote browsers zoals Google Chrome, Mozilla Firefox en Microsoft Edge.
Dit heeft geleid tot een situatie waarin de overheid een rootcertificeringsautoriteit exploiteert die juridisch geldig is onder de Indiase wet – de Root Certifying Authority of India, opgericht in 2000 onder de CCA – maar de certificaten die onder haar bevoegdheid worden uitgegeven, worden grotendeels niet herkend door webbrowsers, wat Indiase regeringen en particuliere websites ertoe aanzet SSL-certificaten van buitenlandse certificeringsautoriteiten te kopen.
Dit volgt op ten minste één grote inbreuk op de beveiliging die verband houdt met een Indiase certificeringsinstantie. Eén door de CCA goedgekeurde organisatie – het National Informatics Centre (NIC), dat verschillende websites van de EU en de deelstaatoverheid host en onderhoudt – heeft een omstreden geschiedenis achter de rug als het gaat om browservertrouwen.
In juli 2014 vertrouwden besturingssystemen zoals Windows en webbrowserontwikkelaars voor Google Chrome en Firefox de Indiase CCA niet meer in hun ‘root store’, een opslagplaats van vertrouwde rootcertificeringsinstanties, nadat de NIC frauduleuze certificaten aan websites leek te verstrekken. De CCA heeft de autorisatie van NIC ingetrokken om de meeste SSL-certificaten uit te gevenmaar besturingssystemen en browsers hebben nog steeds geen door RCAI goedgekeurde autoriteiten in hun truststores.
Zelfs de website voor de Indian Web Browser Development Challenge, zoals de wedstrijd wordt genoemd, beschikt over een SSL-certificaat via Let’s Encrypt, een non-profit initiatief van de in Californië gevestigde Internet Security Research Group.
Het meeste werk van CCA draait momenteel rond het accepteren van digitale handtekeningen op documenten; maar op het gebied van SSL-certificaten hebben Indiase websites te maken gehad met de betrouwbaarheid van certificeringsinstanties in het buitenland. Ambtenaren hebben de poging om een browser te creëren die de Indiase certificeringsautoriteiten vertrouwt, ingekaderd als een kwestie van het verminderen van de buitenlandse afhankelijkheid.
“Er vindt een enorme uitstroom van buitenlandse valuta plaats” naar buitenlandse certificeringsautoriteiten, zei Arvind Kumar, de controleur van certificeringsautoriteiten, bij de lancering van de wedstrijd. “Jaarlijks wordt ongeveer 100 crore uitgegeven aan het kopen van deze SSL-certificaten in het buitenland.”
De wedstrijd wordt georganiseerd en gefinancierd in samenwerking met de onderzoeks- en ontwikkelingsafdeling van het IT-ministerie en de National Internet Exchange of India.
Uitgegeven – 9 augustus 2023 om 17.38 uur IST
