Die Mozilla-Verantwortlichen haben sich in einem Blog-Beitrag zu den Details der Zertifikatspanne im Firefox-Browser geäußert. Neben einer Entschuldigung gab es auch den Hinweis, dass man bestimmte Telemetriedaten, die man erfasst hat, löschen werden. Hier ein kurzer Überblick.
Worum geht es?
Es ist nun genau eine Woche her – am Samstag den 4. Mai 2019 schlugen bei mir einige Mails und Kommentare ein, dass der Firefox ein Problem habe. Plötzlich wurden alle oder viele Add-ons im Browser deaktiviert. Wer versuchte, ein neues Add-on herunterzuladen, bekam eine Fehlermeldung “Download fehlgeschlagen. Bitte überprüfen Sie ihre Verbindung.” – siehe roter Balken in folgendem Screenshot.
Grund war ein abgelaufenes Zertifikat, mit dem die Add-ons seit einiger Zeit aus Sicherheitsgründen authentifiziert werden müssen. Ich hatte das Thema ausführlicher im Blog-Beitrag Firefox-Bug deaktiviert alle Extensions (Zertifikat abgelaufen) thematisiert.
Mozilla veröffentlichte recht schnell einen Workaround und erklärte, wie man das Problem durch ein Interims-Zertifikat per Auto-Update lösen könne. Diese Lösung erforderte aber, dass die Benutzer sogenannte Studien im Browser als Feature zuließen. Das heißt aber, dass Mozilla über den Browser Telemetriedaten sammelte. Löste bei einigen Nutzern keine Freude aus. Ich habe hier den Blog-Beitrag Fix für Firefox Addon-Problem und ‘Der Download ist fehlgeschlagen’ mit Hinweisen, wie man den Fehler durch Import des Interims-Zertifikats beheben konnte, ohne dass Studien aktiviert werden mussten, nachgeschoben. Ab Sonntag veröffentlichte Mozilla dann korrigierte Fassungen des Firefox 66.0.4 und 66.0.5, die das Problem beheben sollten. Die Beiträge zu diesem Thema trieben die Besucherzahlen hier im Blog in schwindelnde Höhen (bis zu 40.000 Besucher pro Tag).
Mozilla erklärt sich
In diesem Blog-Beitrag vom 9. Mai 2019 entschuldigt sich Joe Hildebrand im Namen von Mozilla für das Desaster. Die Signaturprüfung für Add-ons war von den Entwicklern als Sicherheitsfunktion eingeführt worden, um kompromittierte Add-ons zu erkennen und zu deaktivieren. Auf Grund eines Implementierungsfehlers, der hier erläutert wurde, führte das abgelaufene Zertifikat dann zu den deaktivierten Add-ons. Hier will man interne Abläufe ändern, um eine Wiederholung zukünftig zu verhindern.
Dann geht Hildebrand auf das Thema Telemetrie und Studies ein. Die Entwickler versuchten den schnellen Fix über Studies automatisch an die Browser auszurollen. Dazu musste die Funktion von Benutzern aktiviert werden. Studies sammelt aber Telemetriedaten, was viele Nutzer nicht wollen. Mozilla löscht daher die für den Zeitraum 4. Mai bis 11. Mai 2019 erhobenen Telemetrie- und Studiendaten:
Um die potenziellen Absichten unserer Nutzer so weit wie möglich zu respektieren, werden wir auf der Grundlage unserer derzeitigen Einrichtung alle unsere Quelltelemetrie- und Studiendaten für unsere gesamte Benutzerpopulation löschen, die zwischen 2019-05-04T11:00:00:00Z und 2019-05-11T11:00:00:00Z gesammelt wurden.
Weitere Hinweise zu diesem Fall will das Team zu einem späteren Zeitpunkt veröffentlichen. Heise hat hier noch einen Artikel zum Thema publiziert. Danke an Rudi für den Hinweis.
Ähnliche Artikel:
Firefox-Bug deaktiviert alle Extensions (Zertifikat abgelaufen)
Fix für Firefox Addon-Problem und ‘Der Download ist fehlgeschlagen’
Firefox 66.0.4 und 60.6.2 ESR fixen Addon-Problem
Firefox 66.0.5 und 60.6.3 ESR
„am Samstag den 4. Dezember 2019 schlugen…“
aah, er hat dann also mal ne Zeitreise unternommen – a net schlecht.
Der 4. Dez. ist, wenn, ein Mittwoch. :D
Hab wohl grad, angesichts der Temperaturen, an Weihnachtsplätzchen gedacht ;-)
Cookies? Gerne doch, aber nicht von Drittanbietern ;-)
Als Alternative käme evtl. Waterfox in Betracht.
https://www.waterfox.net/about/
Mein FF ist nach der strengen user.js konfiguriert und geht selbst da noch drüber hinaus, den Rest erledigt uMatrix für mich :-).
Ich habe nur den Hotfix installiert und alle Erweiterungen waren wieder aktiv.