Zertifikats-Konflikte
03.07.2019, 17:18 Uhr
03.07.2019, 17:18 Uhr
Firefox 68 behebt durch AV-Software provozierte Fehler
Mozilla will durch verschiedene Anpassungen Zertifikats-Fehlern vorbeugen, die in der Vergangenheit beim Einsatz von Antiviren-Software in Firefox provoziert wurden.
In der Vergangenheit kam es schon mehrere Male zu Konflikten beim Einsatz von Mozillas Firefox-Browser in Kombination mit verschiedenen Antiviren-Lösungen. Mit der Version 68 will Mozilla diese Fehler nun beheben, die zumeist auf Zertifikats-Konflikten beruhen.
Man-in-the-Middle-Angriff durch AV-Software
Wie Mozilla auf einem Blogpost darlegt, nutzen viele Antiviren-Programme unter Windows Man-in-the-Middle-Methoden (MITM), um verschlüsselte HTTPS-Verbindungen auf mögliche Gefahren zu durchsuchen. Dabei werden in Windows Modifikationen am Zertifikats-Speicher vorgenommen. Da Firefox allerdings seinen eigenen Zertifikats-Speicher (Root Store) verwendet, kann es hier zu Konflikten kommen, wenn die Antiviren-Software die Änderungen nicht ordnungsgemäss an Firefox übergibt. Beim Besuch von verschlüsselten Webseiten tritt dann ein TLS-Fehler auf, der den Browser am Öffnen der Seite hindert.
Bereits heute gibt es in Firefox die Funktion "enterprise roots", über die der Browser die eigenen Zertifikate mit dem Root Store des Betriebssystems abgleicht. Dadurch können Konflikte durch MITM verhindert werden. Bislang musste diese Funktion allerdings vom Nutzer selbst konfiguriert werden.
Ab Firefox 68 soll der Browser nun selbständig enterprise roots aktivieren, sobald Fehlern auftreten, die auf MITM hindeuten. Ein Zutun des Nutzers ist dann nicht mehr erforderlich. Wenn ein Fehler durch diese Massnahme behoben wurde, wird der Browser den Nutzer zudem darüber informieren. Im für Unternehmen konzipierten Firefox ESR 68 will Mozilla das Feature gleich standardmässig aktivieren.
Die Sicherheit des Browsers sollen diese Änderungen nicht beeinträchtigen, da Programme mit Zugriff auf den Root Store des Betriebssystems in der Regel auch innerhalb des Browsers Änderungen vornehmen können. Darüber hinaus werden im Root Store von Firefox lediglich die Zertifikate integriert, die nicht ohnehin im System schon vorhanden sind - entsprechend bleibe im Browser die Kontrolle über die Zertifikate erhalten.