Firefox 68: Mozilla behebt Konflikte zwischen Browser und Antiviren-Software

Seit der Freigabe von Firefox 65 Ende Januar hatten viele Nutzer auf Windows-Systemen mit Verbindungsproblemen zu kämpfen, die aus Konflikten zwischen dem Webbrowser und Antiviren-Software von Drittanbietern resultierten. Die neue Firefox-Version 68, deren Release für den kommenden Dienstag, den 9. Juli geplant ist, soll diese Probleme beheben.

AV-Software als "Angreifer"

Die Konflikte hatten sich in der Vergangenheit darin geäußert, dass Firefox beim Aufruf von HTTPS-Webseiten Fehlermeldungen anzeigte, die die Verbindung als "nicht sicher" (Fehlermeldung “SEC_ERROR_UNKNOWNOWN_ISSUER”) einstuften.

Die Ursache für diese Fehlermeldungen erläuterte jetzt ein Firefox-Entwickler in einem Blogeintrag. Antiviren-Software sei meist so konfiguriert, dass sie versuche, sich als "Man-in-the-Middle" (MitM) in TLS-Verbindungen einzuklinken, um übertragene Daten zu scannen, "noch bevor diese den Browser erreichen". Im Gegensatz zu anderen Browsern greift Firefox nicht auf den Betriebssystem-eigenen Zertifikatsspeicher zurück, sondern verwendet einen eigenen. Da die Anti-Viren-CA nun nicht im Firefox-eigenen Speicher vorlag, konnte der Browser die Software nicht als vertrauenswürdigen Zertifikatsherausgeber verifizieren. In der Konsequenz waren via HTTPS aufgerufene Webseiten aufgrund der scheinbar unsicheren Verbindung nicht erreichbar.

Problemlösung ausgiebig getestet

Als wirksamer Troubleshooter erwies sich die Aktivierung der Firefox-Präferenz security.enterprise_roots.enabled. Sie sorgt dafür, dass der Browser bei jedem Start die von Dritten nachträglich installierten Root-Zertifikate aus dem Windows-eigenen Zertifikatsspeicher (sozusagen "auf Vorrat") in seinen eigenen Zertifikatsspeicher importiert.

Das Mozilla-Team hat bereits im März begonnen, die Präferenz auf einigen wenigen Systemen zu testen. In Firefox 68 wird sie in der ESR (Extended Support Relase) Version standardmäßig aktiv sein. In der "normalen" Version des Browsers wird sie automatisch aktiviert, sobald der Browser beim Verbinden einen MitM-Fehler erkennt. Sofern die Umstellung das Problem behebt, bleibt sie danach aktiv. Diese Vorgehensweise der Fehlerbehandlung greift laut Blogeintrag aber wohl nur, wenn der Nutzer keine manuelle Umstellung der Präferenz auf "false" vorgenommen hat.

Zusätzlich will Mozilla der neuen Browser-Version ein Benachrichtigungsfeld hinzufügen, dass Nutzer informiert, falls eine Webseite ein bestimmtes Root-CA benötigt. Es soll nach einem Klick auf das Schloss-Symbol links neben dem Adressfeld sichtbar werden.

Update 03.07.19, 9:15 / 15:08: Ungenauigkeiten/Übersetzungsfehler im Text korrigiert (die Einstellung wird zunächst nur in ESR zum Standard; Fehlerbehebung mittels security.enterprise_roots.enabled greift nur bei unveränderten Nutzereinstellungen). (ovw)