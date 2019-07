Seit der Freigabe von Firefox 65 Ende Januar hatten viele Nutzer auf Windows-Systemen mit Verbindungsproblemen zu kämpfen, die aus Konflikten zwischen dem Webbrowser und Antiviren-Software von Drittanbietern resultierten. Die neue Firefox-Version 68, deren Release für den kommenden Dienstag, den 9. Juli geplant ist, soll diese Probleme beheben.

AV-Software als "Angreifer"

Die Konflikte hatten sich in der Vergangenheit darin geäußert, dass Firefox beim Aufruf von HTTPS-Webseiten Fehlermeldungen anzeigte, die die Verbindung als "nicht sicher" (Fehlermeldung “SEC_ERROR_UNKNOWNOWN_ISSUER”) einstuften.

Die Ursache für diese Fehlermeldungen erläuterte jetzt ein Firefox-Entwickler in einem Blogeintrag. Antiviren-Software sei meist so konfiguriert, dass sie versuche, sich als "Man-in-the-Middle" (MitM) in TLS-Verbindungen einzuklinken, um übertragene Daten zu scannen, "noch bevor diese den Browser erreichen". Im Gegensatz zu anderen Browsern greift Firefox nicht auf den Betriebssystem-eigenen Zertifikatsspeicher zurück, um die Vertrauenswürdigkeit installierter (Sicherheits-)Software zu überprüfen, sondern verwendet einen eigenen. Den hebelte die AV-Software aber offenbar dergestalt aus, dass Firefox daran scheiterte, sie mittels Zertifikat als (legitimen) MitM-Verursacher zu verifizieren. In der Konsequenz waren via HTTPS aufgerufene Webseiten aufgrund der scheinbar unsicheren Verbindung nicht erreichbar.

Problemlösung ausgiebig getestet

Als wirksamer Troubleshooter erwies sich die Aktivierung der Firefox-Präferenz security.enterprise_roots.enabled. Sie sorgt dafür, dass der Browser bei jedem Start die von Dritten nachträglich installierten Root-Zertifikate aus dem Windows-eigenen Zertifikatsspeicher (sozusagen "auf Vorrat") in seinen eigenen Zertifikatsspeicher importiert.

In der kommenden Firefox-Version 68 soll security.enterprise_roots.enabled per Default "true" sein. (Bild: Screenshot)

Das Mozilla-Team hat bereits im März begonnen, die Präferenz auf einigen wenigen Systemen zu testen. In Firefox 68 wird sie standardmäßig aktiv sein. Wenn ein Nutzer sie im about:config-Bereich manuell auf "false" setzt, stellt Firefox dies beim nächsten Auftreten eines MitM-Fehlers eigenständig wieder auf "true" um. Sofern die Umstellung das Problem behebt, bleibt sie anschließend aktiv .

Zusätzlich will Mozilla der neuen Browser-Version ein Benachrichtigungsfeld hinzufügen, dass Nutzer informiert, falls eine Webseite ein bestimmtes Root-CA benötigt. Es soll nach einem Klick auf das Schloss-Symbol links neben dem Adressfeld sichtbar werden. (ovw)