Firefox traut deutschen Unis immer noch nicht

Vor knapp drei Monaten wurde hier über Zertifikatsprobleme mit dem neuen Firefox berichtet: Die von deutschen Hochschulen verwendeteten Webseiten-Zertifikate werden mit bedrohlichen Fehlermeldungen bestraft, weiter kommt nur, wer gefährlich klingende Warnung ignoriert oder umständlich das richtige Zertifikat importiert. Das liegt daran, dass die Unizertifikate vom DFN e.v. (Deutsches Forschungsnetz) ausgestellt werden und der DFN wiederum von der Deutschen Telekom zertifiziert wird, die ein so genanntes Wurzelzertifikat hat, das der Browser eigentlich kennen sollte. Internet Explorer und Opera tun das auch, der Firefox aber (noch) nicht. Der vor im April 2007 angestoßene Anerkennungsprozess zieht sich ohne erkennbaren Fortschritt weiter hin.

Inzwischen gibt es Konsequenzen: Das Rechenzentrum der Uni Köln rät ganz offen vom Firefox 3 ab und empfiehlt Internet Explorer oder Opera.

In der aktuellen c’t (20/08) greift Jürgen Schmidt die neuen Firefox-Verhaltensweisen relativ scharf an und kritisiert die überbewertende Bevorzugung von EV-SSL-Zertifikaten (die im Firefox jetzt mit großem grünen Balken erscheinen, aber fast nur von Banken verwendet werden) sowie „sehr unglücklich gewählten Formulierungen“ bei weiterführenden Informationen.

Schmidts Aussagen zu deutschen Hochschulen sind aber etwas danebengegriffen:

Insbesondere im universitären Umfeld wird viel mit selbst signierten Zertifikaten gearbeitet

Nein! Alle deutschen Hochschule, deren Webangebote ich kenne, bemühen sich intensiv und durch den DFN gut organisiert darum, tadellose Services anzubieten. Gerade deshalb ist die Firefox-3-Telekom-Zertifikats-Problematik (ganz unabhängig von der Schuldfrage) ein ernstes Problem. Immerhin haben Hochschulen in den vergangenen Jahren immer wieder zu Alternativbrowsern wie Firefox geraten – nicht zuletzt aus Sicherheitsbedenken und häufig auch in der Überzeugung, mit quelloffenen Produkten verlässlichere Alternativen für den Lehr- und Wissenschaftsbetrieb zu empfehlen. Schmidts Argument rührt vermutlich von Test- und Projektservern her, die zu Forschungszwecken eingerichtet werden: Die für den Produktivbetrieb vorgehaltenen Angebote deutscher Hochschulen sind aber seit Jahren deutlich professioneller organisiert.

Eine kleine Anmerkung am Rande: In einem Infokasten zeigt der c’t-Artikel das „Zertifikats-Sharing der Fachhochschulen Braunschweig und Wolfenbüttel“ als mögliches Problem. Tatsächlich handelt es sich um eine Hochschule, nämlich die „Fachhochschule Braunschweig-Wolfenbüttel“, die aus Bequemlichkeitsgründen über URLs erreichbar ist, die nur einen der beiden Standorte benennen. Gerade bei Fachhochschulen, die häufig mehrere Standorte haben, kein unübliches Vorgehen. Löst das Problem nicht, wirkt aber mangelhaft recherchiert.

Daher nochmal der Hinweis: Webangebote deutscher Hochschulen, gerade in sicherheitsrelevanten Bereichen, laufen schon seit langem nicht mehr auf Servern, die bei irgendeiner Hilfskraft unter dem Schreibtisch stehen und mit irgendwelchen schludrig ausgestellten Zertifikaten daherkommen. Das Bemühen um Professionalität wird aber durch die aktuelle Firefox-Problematik erschwert und kostet eine Menge Geld (Support, Anleitungen) und vielleicht auch Vertrauen der Nutzer. Das wäre für Firefox und die Hochschulen mehr als schade.

Firefox traut deutschen Unis nicht

Firefox 3 ist da. Feine neue Funktionen und willkommene optische Auffrischung. Für den Einsatz im Umfeld von Forschung und Lehre in Deutschland ist er aber ungeeignet.

Weshalb? Die Reaktion auf ungültige bzw. nicht vertrauenswürdige SSL-Zertifikate wurde – wie schon bei Microsofts Internet Explorer 7 – drastisch verschärft. Bekam der Nutzer früher bei  unbekannten oder falschen Zertifikaten nur eine Warnung angezeigt, die relativ leicht wegzuklicken war, gibt es jetzt eine dramatisch daherkommende Fehlermeldung zu sehen:

Firefox 3 Sicherheitswarnung Stud.IP

Das sieht sehr technisch aus. „sec_error_untrusted_issuer“. Sowas macht Nutzern Angst und riecht meilenweit nach: „Da ist was kaputt!“ Die Lösung wäre: Hinzufügen einer Ausnahme oder Import des richtigen Wurzelzertifikats. Das ist aber für technisch Ängstliche oder Unsichere etwas, das gefährlich und unseriös wirkt und außerdem sind noch 5 Klicks dafür nötig.

Betroffen sind nahezu alle gesicherten Webangebote deutscher Hochschulen und wissenschaftlicher Einrichtungen. Fragt man sich also: Warum passiert das? Warum sind die Unis nicht in der Lage, ordentliche Zertifikate zu benutzen?

Personalisierte Webdienste verschlüsseln in der Regel die Verbindung. Man erkennt das an dem https:// anstelle von http:// in der Adresszeile und einem Schloss, gelb gefärbter Adresszeile u.ä. in ihrem Browser. Verschlüsselte Verbindungen zu benutzen ist etwas sehr Sinnvolles und Wichtiges. Welchen Weg meine Daten von meinem Browser zum Webserver und zurück nehmen, habe ich nicht unter Kontrolle und kann den Rechnern und Leitungen dazwischen nicht vertrauen. Damit niemand mitlauschen, mein Passwort abfangen, in meinem Namen Unug treiben oder meine Daten und Kommunikation ausspähen kann, unterhalten sich Browser und Server also in einer Geheimsprache. Unverschlüsselt surfen ist wie Postkarten verschicken.

Im bösen Internet könnte sich jetzt aber unterwegs ein Server dazwischensetzen und so tun als wenn er meine Uni oder meine Bank wäre. Mit mir und dem Server handelt er jeweils getrennt die Verschlüsselung aus und kann als „man in the middle“ unbemerkt mitlauschen. Damit das nicht passieren kann, will ich wissen: Ist das da wirklich meine Uni? Ist das wirklich meine Bank? Kann ich dem Webserver vertrauen?

Die Frage nach dem Vertrauen führt zu den Zertifikaten. Wenn mir das auf sicherem Weg übermittelt wurde (z.B. durch persönliche Übergabe), kann ich es mit dem vom Server behaupteten vergleichen und sicher gehen: Ja, Identität stimmt. In der Regel werden Zertifikate aber nicht auf sicherem Wege übermittelt. Ich kenne Herrn Ebay ja gar nicht persönlich und Frau Sparkasse ebensowenig.

Also steht im Zertifikat meiner Uni drin: „Wenn du mir nicht glaubst, frag doch den DFN-Verein, der kennt mich und hat bei mir unterschrieben.“ Der DFN-Verein kümmert sich um das Deutsche Forschungsnetz, dem alle Hochschulen und wissenschaftlichen Einrichtungen angeschlossen sind. Mein Browser kennt aber das Zertifikat vom DFN-Verein auch nicht und muss achselzuckend sagen: „Schön, dass ihr euch kennt, aber DFN-Verein sagt mir nichts.“ Also der Hinweis: „Dann frag doch die Deutsche Telekom, die kennt den DFN-Verein und hat hier unterschrieben.“

Das Telekom-Zertifikat ist ein so genanntes Wurzelzertifikat. Mein Browser sollte es von Hause aus kennen. Der Internet Explorer 7 tut das auch: Keine Fehlermeldungen beim Aufruf verschlüsselter Uni-Angebote also.

Der Firefox kennt das Zertifikat aber nicht. Früher nicht und heute auch nicht. Man kann jetzt lange orakeln, wessen Schuld das ist: Jedenfalls versucht die Telekom seit mehr als einem Jahr die Anerkennung und Aufnahme ihres Zertifikates durch Firefox bzw. die Mozilla Foundation zu erreichen. Der ganze Vorgang ist öffentlich und im Mozilla-Bugtracker in allen Einzelheiten nachzulesen: https://bugzilla.mozilla.org/show_bug.cgi?id=378882

Das Fazit muss also leider lauten: Firefox 3 wird für Unis teuer und für Studierende und Lehrende ein Ärgernis. Jedes Rechenzentrum schreibt wieder Anleitungen dazu, wie die Zertifikate in den Browser importiert werden können. Und bei unserem Support laufen die Telefone und E-Mail-Postfächer heiß: „Stud.IP ist kaputt. Mein Browser zeigt nur noch Fehler an.“