Kurze Informationen für Leute, die noch einen Firefox als Browser in Altversionen vor Version 128 (bzw. vor der ESR-Version 115.13) betreiben. Da läuft das Root-Zertifikat am 14. März 2025 ab.
Sprich: Der Browser kann nicht mehr auf https-Seiten zugreifen. Die Erfahrung musste ich kürzlich in einer ewig nicht mehr gebooteten Windows 7 VM machen, als die Browser meine Webseite mit dem Blog nicht mehr abrufen konnten. Erst als die Browser aktualisiert worden waren, lief es wieder.
The Register weist in diesem Artikel auf den Ablauf des Root-Zertifikats am 14. März 2025 hin. Benutzer mit Firefox-Versionen vor Version 128, die am 9. Juli letzten Jahres veröffentlicht wurde, oder der erweiterten Support-Version vor Version 115.13 könnten ab dem 14. März 2025 mit den Problemen konfrontiert werden. An diesem Datum läuft ein wichtiges Root-Sicherheitszertifikat ab, das der Open-Source-Webbrowser zur Überprüfung digital signierter Inhalte, geschützter Medien und Add-ons verwendet.
Na warten wir es doch erstmal ab was nicht mehr funktioniert.
da ESR 115 (aktuell 115.21) auch noch unter Windows 7 läuft, warum sollte man einen noch älteren verwenden wollen?
Aus Nostalgiegründen evtl. weil ein Addon nicht mehr funktioniert hat oder man unbedingt die dynamischen Lesezeichen ohne Addon haben wollte.
Mag sein!
Es geht aber nicht um einen (ganz) alten Firefox sondern um ESR 115.21 vs. ESR <115.13 wo sich die Fähigkeiten eigentlich nicht ändern sollten und es eigentlich keinen Grund geben sollte kein Update zu machen…
Die Frage ist eher warum man Windows 7 noch verwendet und vor allem mit einem veralteten Browser ins Internet lassen sollte… ;)
Und genau welches Zertifikat läuft dann ab?
Das Zertifikat, mit dem Firefox eigene Komponenten, Updates, Addons und Plugins (z.B. die für Widevine und OpenH264) signiert. Diese werden dann nicht geladen und z.B. eingebettete Videos nicht mehr abgespielt.
Die FAQ war oben schon verlinkt: https://support.mozilla.org/en-US/kb/root-certificate-expiration
„While it’s possible to use Firefox without updating, you may experience problems such as add-ons being disabled, DRM media difficulties and other interruptions. Skipping the update also means missing important security fixes and performance improvements. We strongly advise you to update to the latest version to avoid these issues and ensure your browser stays secure and efficient.“
Hab doch fix die Raspis getauscht da ist der alte 3B mit Buster in die Reserve gewandert und der 4B mit 4 GB und Bookworm mit Firefox 136 als Haupt-PC erkoren wurden. Nur wegen eines Zertifikats der alte lief noch gut.
Das ist „nur“ ein Mozilla eigenes Cert.
Hätten sie dann ja auch einfach erneuern können.
Haben sie … wenn man Updates auf offiziell supportete Versionen durchführt ;)
Und wozu wird das benutzt?
um Zertifikate (x), AddOns, Revokes, etcpp. von Mozilla Servern zu laden?
Der Artikel ist ggf. etwas umständlich verfasst (musste mehrmals lesen) – auch die „Register“ und „Mozilla“ Quellen scheinen unvollständig – deshalb hier eine kurze Zusammenfassung (so wie ich es verstanden habe):
ESR (Extended Support Release) Versionen: 115.13+
Aktuelle Version im Support: 115.21
-> Sollte OK sein
!!! Achtung: Letzte 115er ESR Version (vorr. 115.24) ist für den 27. Mai geplant. !!!
!!! Deshalb sollte spätestens am 24. Juni auf ESR 128(.12 ?) oder 140(.0) bzw. !!!
!!! auf den standard non-ESR Firefox (140.0) gewechselt werden !!!
ESR (Extended Support Release) Versionen: 128.0+
Aktuelle Version im Support: 128.8
-> Sollte OK sein
STD (Standard Support Release) Versionen: 128.0+
Aktuelle Version im Support: 136.0.1
-> Sollte OK sein
Für normale Benutzer gibt keinen Grund eine der aktuell nicht unterstützten Versionen zu verwenden wo das Problem dann auch nicht auftreten sollte!
Das betroffene (einzige) Mozilla (root) Zertifikat sollte das „signingca1.addons.mozilla.org“ Zertifikat sein – in FF 136.0.1 gültig bis 04. April 2025, also auch nur noch knapp 3 Wochen (dürfte aber vorher automatisch ersetzt werden) – welches wohl, nach einer kurzen Recherche, ausschließlich zur Überprüfung von Addon Signaturen dient bzw. wahrscheinlich auch für das DRM-Plugin (OpenH264-Videocodec zur Verfügung gestellt von Cisco Systems, Inc.). Verbindungen (SSL/TLS | https://…) scheinen nicht betroffen zu sein! (Schreibt auch Mozilla so ähnlich bzw. steht da nicht!)
Rant: Wer wissen will warum Mozilla die Benutzer wegrennen einfach mal versuchen die letztgenannten Informationen im Firefox direkt zu finden [Einstellungen – Datenschutz & Sicherheit – Zertifikate (fast ganz unten) – Zertifikate anzeigen… – Zertifizierungsstelle] bzw. zu mehreren/allen Zertifikaten…
Wer diesen GUI-Mist verbrochen hat fristlos feuern und wenn’s rumheult direkt zuschlagen. Wer das abgenommen dasselbe… (Thunderbird übrigens genau derselbe Scheiß bei deutlich häufiger nötigen Funktionen)
PS Gibt es eigentlich den übersichtlichen „Firefox Rapid Release Calendar“ – oder so ähnlich – nicht mehr?
Wie komme ich an das Zertifikat ‚ran ?
Da ist ein Kasten wo pro „authority“ aufklappen kann und da dann die Zertifikate stehen. Aber eine mozilla authority ist da nicht (oder ich finde sie nicht).
Ich würde gerne nur das Zertifkat erneuern und gut ist.
Viele Grüße.