Ungefragte Sicherheit im FireFox

07/06/2016 9:47 am Lutz Donnerhacke

Quo usque tandem abutere, Mozilla, patientia nostra? Überaschenende Einblicke in das Zertifikatshandling von Firefox und Thunderbird. Einige wichtige abgelaufene Zertifikate werden defaultmäßig als in der Ausnahmeliste geführt. Und natürlich noch einiges mehr.

Überraschung

Mein Kollege schaute gerade etwas konsterniert, als er im ThunderBird einem Zertifikatsproblem nach jagte.

FireFox Advanced Options

Der Klick auf View Certificates und dann auf den Reiter Servers offenbart Erschreckendes:

FireFox freigeschaltete Zertifikate

Was zur Hölle?!

Was sollen diese Freischaltungen für abgelaufene Zertifikate? Was soll die Zertifikate für mögliche Schadcode-Server?

Usability-Problem

Zumindest die Suche nach dem ominösen MD5 Collisions Inc. Zertifikat bringt eine Erklärung: Allen diesen Zertifikaten wurde das Vertrauen entzogen.

Das Problem damit ist, dass man diese Eigenschaft nicht sofort sieht. Da in der Liste auf die individuellen Freischaltungen landen, die man selbst genehmigt hat, ist es nicht so leicht, den Überblick zu behalten. Denn schließlich dient die Liste ja ganz anderen Zwecken:

  • Mozilla stellt eine Liste von Zertifikatsausnahmen bereit, damit der Nutzer lokale Abweichungen der globalen Policy vornehmen kann.
  • Der Nutzer trägt in die Liste Zertifikate ein, denen er vertraut.
  • Mozilla behält sich vor, die Liste der Zertifikatsausnahmen auch selbst zu pflegen.
  • Bisher hat Mozilla zum Schutz der Nutzer dort Zertifikate eingetragen, denen nicht vertraut werden soll.
  • Es ist der Liste nicht anzusehen, ob vertraut oder nicht vertraut wird.

Damit bleibt dem Nutzer nichts anderes übrig, als regelmäßig alle Einträge in der Liste anzuklicken, um die Vertrauenseinstellungen zu überprüfen. Das ist inakzeptabel.

Avatar
Lutz Donnerhacke 07/06/2016 12:08 pm
Einen extra Eintrag in einem extra Fenster unter einem extra Reiter ist nicht hilfreich. Eine extra Spalte in der Gesamtübersicht ist notwendig.
Avatar
Hendrik Klinge 07/06/2016 11:39 am
Ja. Das ist eine Hässlichkeit in der Firefox-GUI und gehört korrigiert.
Bis Mozilla das von sich aus schöner macht kann man sich mit dem "Cert Viewer Plus" Addon behelfen. (https://addons.mozilla.org/en-us/firefox/addon/cert-viewer-plus/) Wenn man das installiert hat, dann gibt es einen zusätzlichen "Details" Reiter wenn man im Firefox Zertifikate anschaut. Und da ist für die 3 Trust-Bits SSL/Mail/Code dann entweder gar kein Häkchen (nicht zutreffend (?)), oder ein graues (Untrusted), oder ein schwarzes (Trusted).

Total 2 comments

Post a comment

Related content