Ungefragte Sicherheit im FireFox
Quo usque tandem abutere, Mozilla, patientia nostra? Überaschenende Einblicke in das Zertifikatshandling von Firefox und Thunderbird. Einige wichtige abgelaufene Zertifikate werden defaultmäßig als in der Ausnahmeliste geführt. Und natürlich noch einiges mehr.
Überraschung
Mein Kollege schaute gerade etwas konsterniert, als er im ThunderBird einem Zertifikatsproblem nach jagte.
Der Klick auf View Certificates und dann auf den Reiter Servers offenbart Erschreckendes:
Was zur Hölle?!
Was sollen diese Freischaltungen für abgelaufene Zertifikate? Was soll die Zertifikate für mögliche Schadcode-Server?
Usability-Problem
Zumindest die Suche nach dem ominösen MD5 Collisions Inc. Zertifikat bringt eine Erklärung: Allen diesen Zertifikaten wurde das Vertrauen entzogen.
Das Problem damit ist, dass man diese Eigenschaft nicht sofort sieht. Da in der Liste auf die individuellen Freischaltungen landen, die man selbst genehmigt hat, ist es nicht so leicht, den Überblick zu behalten. Denn schließlich dient die Liste ja ganz anderen Zwecken:
- Mozilla stellt eine Liste von Zertifikatsausnahmen bereit, damit der Nutzer lokale Abweichungen der globalen Policy vornehmen kann.
- Der Nutzer trägt in die Liste Zertifikate ein, denen er vertraut.
- Mozilla behält sich vor, die Liste der Zertifikatsausnahmen auch selbst zu pflegen.
- Bisher hat Mozilla zum Schutz der Nutzer dort Zertifikate eingetragen, denen nicht vertraut werden soll.
- Es ist der Liste nicht anzusehen, ob vertraut oder nicht vertraut wird.
Damit bleibt dem Nutzer nichts anderes übrig, als regelmäßig alle Einträge in der Liste anzuklicken, um die Vertrauenseinstellungen zu überprüfen. Das ist inakzeptabel.
Bis Mozilla das von sich aus schöner macht kann man sich mit dem "Cert Viewer Plus" Addon behelfen. (https://addons.mozilla.org/en-us/firefox/addon/cert-viewer-plus/) Wenn man das installiert hat, dann gibt es einen zusätzlichen "Details" Reiter wenn man im Firefox Zertifikate anschaut. Und da ist für die 3 Trust-Bits SSL/Mail/Code dann entweder gar kein Häkchen (nicht zutreffend (?)), oder ein graues (Untrusted), oder ein schwarzes (Trusted).
2 Kommentare