![\"Mozilla\"](\"https:\/\/i.imgur.com\/p5nkKzo.jpg\" "\\"Firefox\\"")
Kleine Meldung am Rande: Die Entwickler des Firefox testen momentan den Import von Windows Root-Zertifikaten, die durch Dritte installiert wurden, im Browser, um Probleme mit Antivirus-L\u00f6sungen zu beheben. Das Ganze bezieht sich aber nur auf bestimmte Windows-Systeme und Umgebungen. Hier ein paar Informationen, was Sache ist und warum der Test durchgef\u00fchrt wird.<\/p>\n
<\/p>\n
Kollege Lawrence Abrams weist in diesem Artikel<\/a> auf Bleeping Computer auf diesen Schlenker hin. Beim Surfen im Internet validiert Firefox das SSL-Zertifikat einer Website mithilfe eines eigenen integrierten Root-Zertifikatspeichers. Um zuk\u00fcnftige Fehler durch die SSL-Scan-Funktion vieler Antivirenprogramme zu vermeiden, importiert Mozilla jetzt testweise die Windows-Root-Zertifikate in den Firefox. Konkret werden dabei Root-Zertifikate importiert, die durch Dritte im Windows-Zertifikatsspeicher installiert wurden (siehe hier<\/a>).<\/p>\n Dies betrifft Windows 8.1- und Windows 10-Systeme, auf denen eine Antivirusl\u00f6sung abseits des Windows Defender installiert ist und der Firefox 66 verwendet wird. Zudem muss die Option security.enterprise_roots.enabled <\/em>auf false<\/em> stehen. Dann setzt der Firefox die Option auf true, um den Import der Windows Stammzertifikate beim Start des Browsers zu erzwingen. Das Ganze ist in diesem Mozilla-Bug-Report<\/a> beschrieben.<\/p>\n Dieser Schritt ist notwendig, da der Firefox seinen eigenen Zertifikatsspeicher mitbringt und nicht auf die Root-Zertifikate des Betriebssystems zugreift (vereinfacht bei einer betriebssystem\u00fcbergreifenden Entwicklung wohl einiges). Zudem erm\u00f6glicht dieser Ansatz den Entwicklern die bessere Kontrolle, welchen Zertifikaten beim Surfen im Web vertraut wird.<\/p>\n Als Mozilla den Firefox 65 im Februar 2019 ver\u00f6ffentlichte, gab es pl\u00f6tzlich \u00c4rger. Manche Benutzer erhielten beim Surfen unverhofft Fehler mit der Angabe \"Ihre Verbindung ist nicht sicher\" oder \"SEC_ERROR_UNKNOWNOWN_ISSUER\" angezeigt, obwohl die Seiten g\u00fcltige Zertifikate besa\u00dfen. Der folgende Screenshot stammt von Martin Brinkmann, Ghacks.net, der den Bug 1523701<\/a> in diesem Blog-Beitrag<\/a> aufgegriffen hat.<\/p>\n Bei Bleeping Computer ist noch ein weiterer Screenshot<\/a> mit einer solchen Meldung zu sehen. Der Mozilla Supportbeitrag hier<\/a> beschreibt den Fehler auf Deutsch und zeigt ebenfalls eine Fehlerseite. Hier im Blog hat Ralf Lindemann seinerzeit in diesem Kommentar<\/a> (mit Verweis auf den Artikel von Martin Brinkmann) auf diesen Sachverhalt hingewiesen.<\/p>\n @Connie Interessant ist allerdings, bei mir l\u00e4uft FF 65 problemlos, auch mit aktivierten https-Scanning (Avast). Tja \u2026<\/p><\/blockquote>\n Die Redaktion von Golem geht in diesem Beitrag<\/a> auf das Problem ein und schreibt, dass die Auslieferung des Firefox 645 sogar gestoppt wurde.\u00a0Sp\u00e4ter stellte sich heraus, dass diese Fehler durch die Art und Weise verursacht wurden, wie Antivirenprogramme (Avast, Bitdefender und Kaspersky) die f\u00fcr SSL-Scans ben\u00f6tigen Zertifikate in Firefox installieren. Die AV-L\u00f6sungen m\u00fcssen dabei doppelgleisig fahren. Damit eine Antivirus-Scan-Engine SSL-Verbindungen scannen kann, muss sie die ben\u00f6tigen eigenen Zertifikate in den Zertifikatsspeichern von Firefox und Windows installieren. In Firefox 65 wurden diese Zertifikate aber von den AV-Programmen nicht ordnungsgem\u00e4\u00df erkannt bzw. ausgewertet. Als Folge wurde ein Fehler angezeigt.<\/p>\n Es scheint, als ob der obige Fehler nur unter Windows auftrat. In einem Firefox-Fehlerbericht<\/a> erkl\u00e4rt das Mozilla-Sicherheitsteam, dass die Probleme mit den Antivius-Programmen vermieden worden w\u00e4ren, sofern der Windows Root Certificate Speicher standardm\u00e4\u00dfig verwendet worden w\u00e4re. Daher aktiviert Mozilla zum Test jetzt wohl standardm\u00e4\u00dfig die Option security.enterprise_roots.enabled<\/em>. Diese veranlasst Firefox, die Windows-Root-Zertifikate beim Start des Browsers zu importieren.<\/p>\n Wer von dem Problem betroffen war, weil der Firefox die Zertifikate noch kannte, konnte sich seinerzeit mit Workarounds behelfen.<\/p>\n Dieser Test wird jetzt bei Benutzern von Windows 10 und Windows 8 angewandt, die ein anderes Antivirenprogramm als Windows Defender registriert und die Option security.enterprise_roots.enabled <\/em>im Firefox nicht bereits aktiviert haben. Verl\u00e4uft der Test positiv, d\u00fcrfte diese Option k\u00fcnftig im Firefox standardm\u00e4\u00dfig aktiviert werden (noch etwas, was den Start des Browsers verlangsamen d\u00fcrfte, oder sehe ich das falsch?).<\/p>\n","protected":false},"excerpt":{"rendered":" Kleine Meldung am Rande: Die Entwickler des Firefox testen momentan den Import von Windows Root-Zertifikaten, die durch Dritte installiert wurden, im Browser, um Probleme mit Antivirus-L\u00f6sungen zu beheben. Das Ganze bezieht sich aber nur auf bestimmte Windows-Systeme und Umgebungen. Hier … Weiterlesen ![\"Firefox](\"https:\/\/i.imgur.com\/BwqabzT.jpg\" "\\"Firefox")
<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>, Firefox Zertifikatverwaltung)<\/p>\nDer Hintergrund<\/h2>\n
R\u00fcckblick: Mozilla Firefox 65 wirft Zertifikatsfehler<\/h2>\n
![](\"https:\/\/www.ghacks.net\/wp-content\/uploads\/2019\/02\/connection-not-secure-firefox.png\")
<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>, Firefox Fehler, Quelle: Ghacks.net)<\/p>\n
\nBei Firefox 65 gibt es Probleme im Zusammenspiel mit dem https-Scanning diverser AV-Programme (Avast, AVG): https-Seiten werden nicht angezeigt. Bis Mozilla ein Update rausschiebt, sollte das Deaktivieren des https-Scanning Abhilfe schaffen.<\/p>\nEin Zertifikate-Import h\u00e4tte den Fehler verhindert<\/h2>\n
Workarounds sind m\u00f6glich<\/h2>\n
\n