Firefox 3 ist da. Feine neue Funktionen und willkommene optische Auffrischung. Für den Einsatz im Umfeld von Forschung und Lehre in Deutschland ist er aber ungeeignet.
Weshalb? Die Reaktion auf ungültige bzw. nicht vertrauenswürdige SSL-Zertifikate wurde – wie schon bei Microsofts Internet Explorer 7 – drastisch verschärft. Bekam der Nutzer früher bei unbekannten oder falschen Zertifikaten nur eine Warnung angezeigt, die relativ leicht wegzuklicken war, gibt es jetzt eine dramatisch daherkommende Fehlermeldung zu sehen:
Das sieht sehr technisch aus. „sec_error_untrusted_issuer“. Sowas macht Nutzern Angst und riecht meilenweit nach: „Da ist was kaputt!“ Die Lösung wäre: Hinzufügen einer Ausnahme oder Import des richtigen Wurzelzertifikats. Das ist aber für technisch Ängstliche oder Unsichere etwas, das gefährlich und unseriös wirkt und außerdem sind noch 5 Klicks dafür nötig.
Betroffen sind nahezu alle gesicherten Webangebote deutscher Hochschulen und wissenschaftlicher Einrichtungen. Fragt man sich also: Warum passiert das? Warum sind die Unis nicht in der Lage, ordentliche Zertifikate zu benutzen?
Personalisierte Webdienste verschlüsseln in der Regel die Verbindung. Man erkennt das an dem https:// anstelle von http:// in der Adresszeile und einem Schloss, gelb gefärbter Adresszeile u.ä. in ihrem Browser. Verschlüsselte Verbindungen zu benutzen ist etwas sehr Sinnvolles und Wichtiges. Welchen Weg meine Daten von meinem Browser zum Webserver und zurück nehmen, habe ich nicht unter Kontrolle und kann den Rechnern und Leitungen dazwischen nicht vertrauen. Damit niemand mitlauschen, mein Passwort abfangen, in meinem Namen Unug treiben oder meine Daten und Kommunikation ausspähen kann, unterhalten sich Browser und Server also in einer Geheimsprache. Unverschlüsselt surfen ist wie Postkarten verschicken.
Im bösen Internet könnte sich jetzt aber unterwegs ein Server dazwischensetzen und so tun als wenn er meine Uni oder meine Bank wäre. Mit mir und dem Server handelt er jeweils getrennt die Verschlüsselung aus und kann als „man in the middle“ unbemerkt mitlauschen. Damit das nicht passieren kann, will ich wissen: Ist das da wirklich meine Uni? Ist das wirklich meine Bank? Kann ich dem Webserver vertrauen?
Die Frage nach dem Vertrauen führt zu den Zertifikaten. Wenn mir das auf sicherem Weg übermittelt wurde (z.B. durch persönliche Übergabe), kann ich es mit dem vom Server behaupteten vergleichen und sicher gehen: Ja, Identität stimmt. In der Regel werden Zertifikate aber nicht auf sicherem Wege übermittelt. Ich kenne Herrn Ebay ja gar nicht persönlich und Frau Sparkasse ebensowenig.
Also steht im Zertifikat meiner Uni drin: „Wenn du mir nicht glaubst, frag doch den DFN-Verein, der kennt mich und hat bei mir unterschrieben.“ Der DFN-Verein kümmert sich um das Deutsche Forschungsnetz, dem alle Hochschulen und wissenschaftlichen Einrichtungen angeschlossen sind. Mein Browser kennt aber das Zertifikat vom DFN-Verein auch nicht und muss achselzuckend sagen: „Schön, dass ihr euch kennt, aber DFN-Verein sagt mir nichts.“ Also der Hinweis: „Dann frag doch die Deutsche Telekom, die kennt den DFN-Verein und hat hier unterschrieben.“
Das Telekom-Zertifikat ist ein so genanntes Wurzelzertifikat. Mein Browser sollte es von Hause aus kennen. Der Internet Explorer 7 tut das auch: Keine Fehlermeldungen beim Aufruf verschlüsselter Uni-Angebote also.
Der Firefox kennt das Zertifikat aber nicht. Früher nicht und heute auch nicht. Man kann jetzt lange orakeln, wessen Schuld das ist: Jedenfalls versucht die Telekom seit mehr als einem Jahr die Anerkennung und Aufnahme ihres Zertifikates durch Firefox bzw. die Mozilla Foundation zu erreichen. Der ganze Vorgang ist öffentlich und im Mozilla-Bugtracker in allen Einzelheiten nachzulesen: https://bugzilla.mozilla.org/show_bug.cgi?id=378882
Das Fazit muss also leider lauten: Firefox 3 wird für Unis teuer und für Studierende und Lehrende ein Ärgernis. Jedes Rechenzentrum schreibt wieder Anleitungen dazu, wie die Zertifikate in den Browser importiert werden können. Und bei unserem Support laufen die Telefone und E-Mail-Postfächer heiß: „Stud.IP ist kaputt. Mein Browser zeigt nur noch Fehler an.“
Ist mir heute auch aufgefallen. Am blödesten an der Sache finde ich aber, dass man die alte Warnung nicht wieder einschalten kann (zumindest habe ich nichts gefunden). Ich mag es generell nicht gern‘, wenn ein Programm mir meine User-Macht wegnimmt.
Noch besser: ich kam erst nicht auf die Seite von der ich mir das DFN-Zertifikat holen wollte. Weil der natürlich auch nicht getraut wurde.
Wärst Du so nett und packst den Beitrag auch in das andere Blog bzw. verlinkst hier her?
Ein aufschlußreicher Artikel! Das Hinzufügen des Zertifikats ist zwar kein Problem. Aber genau die erwähnte Frage „Warum sind die Unis nicht in der Lage, ordentliche Zertifikate zu benutzen?“ stellte ich mir auch – und habe jetzt die Antwort.
Hallo zusammen, danke für den Bericht! Hatt jemand eine Lösung zur behebung die auch ich verstehe ?Habe immer noch das Problem und gleichzeitig Angst „Hinzufügen einer Ausnahme“ durchzuführen. Habe keine bis wenig Ahnung! Kann mich weder bei meiner Bank noch ebay einloggen, also überall wo meine persönlichen Daten hinterlegt sind. Wie kann ich das Problem nun beheben, damit ich wieder onlinebanking machen kann ohne Angst zu haben ich habe ein Trojaner o.ä. ?? Vielen Dank und eine schöne Zeit ohne Weihnachtsstreß…
Gruß aus dem WesterWald
Peter
Das Zertifikat ist in der kürzlich erschienenen Version 3.5 von Firefox nun endlich enthalten. Alle Nutzer mit dem beschriebenen Problem sollten auf diese Version aktualisieren. Die Warnung für die entsprechend signierten Seiten bleibt dann aus. Stattdessen erscheint links in der Adressleiste eine Markierung, welche die korrekt verifizierte Seite bestätigt.