ProHoster > Blog > Verwaltung > Firefox hat mit dem Importieren von Stammzertifikaten von Windows begonnen

Firefox hat mit dem Importieren von Stammzertifikaten von Windows begonnen

Firefox hat mit dem Importieren von Stammzertifikaten von Windows begonnen
Firefox-Zertifikatspeicher

Mit der Veröffentlichung von Mozilla Firefox 65 im Februar 2019 kam es bei einigen Nutzern zu Problemen fing an, Fehler zu bemerken wie „Ihre Verbindung ist nicht sicher“ oder „SEC_ERROR_UNKNOWN_ISSUER“. Als Ursache erwiesen sich Antivirenprogramme wie Avast, Bitdefender und Kaspersky, die ihre Root-Zertifikate auf dem Computer installieren, um MiTM in den HTTPS-Verkehr des Benutzers zu implementieren. Und da Firefox über einen eigenen Zertifikatsspeicher verfügt, versuchen sie auch diesen einzuschleusen.

Browser-Entwickler rufe schon lange an Benutzer weigern sich, Antivirenprogramme von Drittanbietern zu installieren, die den Betrieb von Browsern und anderen Programmen beeinträchtigen, aber das Massenpublikum hat den Aufrufen noch nicht Beachtung geschenkt. Da viele Antivirenprogramme als transparenter Proxy fungieren, verringern sie leider die Qualität des kryptografischen Schutzes auf Client-Computern. Zu diesem Zweck entwickeln wir Tools zur Erkennung von HTTPS-Abhörvorgängen, die auf der Serverseite das Vorhandensein eines MiTM, beispielsweise eines Antivirenprogramms, im Kanal zwischen dem Client und dem Server erkennen.

Auf die eine oder andere Weise störten die Antivirenprogramme in diesem Fall erneut den Browser und Firefox hatte keine andere Wahl, als das Problem selbst zu lösen. Es gibt eine Einstellung in den Browserkonfigurationen security.enterprise_roots.enabled. Wenn Sie dieses Flag aktivieren, beginnt Firefox, den Windows-Zertifikatspeicher zur Validierung von SSL-Verbindungen zu verwenden. Wenn jemand beim Besuch von HTTPS-Seiten auf die oben genannten Fehler stößt, können Sie entweder das Scannen von SSL-Verbindungen in Ihrem Antivirenprogramm deaktivieren oder diese Markierung manuell in Ihren Browsereinstellungen setzen.

Problem diskutiert wird im Mozilla Bugtracker. Die Entwickler haben beschlossen, die Flagge zu Versuchszwecken zu aktivieren security.enterprise_roots.enabled standardmäßig, sodass der Windows-Zertifikatspeicher ohne zusätzliche Benutzeraktion verwendet wird. Dies geschieht ab Version Firefox 66 auf Windows 8- und Windows 10-Systemen, auf denen Antivirenprogramme von Drittanbietern installiert sind (mit der API können Sie das Vorhandensein eines Antivirenprogramms im System nur ab der Windows 8-Version feststellen).

Source: habr.com

Kommentar hinzufügen