Firefox: Mozilla experimentiert nach Fehlermeldungen mit Root-Zertifikatsimport
Nach Komplikationen mit Anti-Viren-Software unter Windows 8.1 und 10 testet Mozilla derzeit den Import von Windows Root-Zertifikaten in Firefox 66.
(Bild: StockSnap)
Die Mozilla-Entwickler testen beim aktuellen Firefox 66 momentan den Import von Windows Root-Zertifikaten in den Browser. Konkret werden dabei nicht etwa alle, sondern nur die nachträglich installierten Third-Party-Zertifikate aus dem Windows Zertifikatsspeicher importiert.
Grund für diesen Test sind Probleme, die ab der Freigabe von Firefox 65 im Februar 2019 auftraten. Der Browser verwendet einen eigenen Zertifikatsspeicher, um den Entwicklern die Kontrolle darüber zu ermöglichen, welchen Zertifikaten beim Surfen im Web vertraut wird. Seit Version 65 kam es jedoch scheinbar bei der Installation der Zertifikate zu Problemen unter Windows. Ursache waren Fehler beim SSL-Scan von https-Verbindungen durch Antiviruslösungen von AVAST, Kaspersky und Co.
Unberechtigte Fehlermeldungen beim Seitenaufruf
Windows-Nutzer, die eine Dritthersteller-Antiviruslösung installiert hatten, bekamen beim Abruf von https-Seiten plötzlich die Fehlermeldung “Diese Verbindung ist nicht sicher” oder “SEC_ERROR_UNKNOWNOWN_ISSUER” angezeigt, obwohl die Seiten gültige Zertifikate besaßen.
(Bild: Mozilla)
Später stellte sich heraus, dass diese Probleme mit den Fremdvirenscannern unter Windows 8.1 und Windows 10 nicht aufgetreten wären, wenn Firefox zuvor die von Dritten nachträglich installierten Root-Zertifikate aus dem Win-Zertifikatsspeicher importiert hätte. Mit dem aktuellen Test versuchen die Mozilla-Entwickler nun herauszufinden, ob es beim regelmäßigen Import Probleme beim Start des Browsers oder danach gibt. Signalisieren die Telemetriedaten keine Schwierigkeiten, dürfte die Option zum Import der Stammzertifikate in künftigen Versionen des Firefox standardmäßig gesetzt werden.
Tests nur mit ausgesuchten Windows-Nutzern
In einem Bug-Report grenzt Mozilla die Zielgruppe ein, auf die sich die aktuellen Tests erstrecken. Betroffen sind demnach ausschließlich Anwender, die Firefox 66 als Browser unter Windows 8.1 oder Windows 10 einsetzen und zusätzlich zwei weitere Bedingungen erfüllen: Erstens muss auf dem System eine vom Windows Defender abweichende Virenschutzlösung eines Drittanbieters installiert sein; weiterhin muss die Firefox-Option security.enterprise_roots.enabled auf false eingestellt sein.
Sind diese Bedingungen erfüllt, stellt der Firefox 66 die Option security.enterprise_roots.enabled auf true um. Dies bewirkt, dass der Browser bei jedem Start unter den genannten Windows-Versionen den beschriebenen Zertifikatsimport durchführt.
Update 28.03.19, 14:12: Da der ursprüngliche Text den Eindruck erweckte, Mozilla würde sämtliche Zertifikate aus dem Zertifikatsspeicher importieren, haben wir einige Formulierungen nachträglich geändert. (ovw)
