Mozilla entschuldigt sich

Bild: Mozilla

Es war ein peinlicher Fehler, der Mozilla da unterlaufen war und am letzten Wochenende dazu führte, dass fast alle von Firefox angebotenen Add-ons deaktiviert wurden und auch keine neuen Erweiterungen installiert werden konnten.

Betriebsames Wochenende

Mozilla erfuhr erst durch Anwender von dem Problem. Daraufhin brach in Mountain View in Kalifornien hektische Betriebsamkeit aus, die mehrere Teams das ganze Wochenende in Atem hielt und nach einem ersten Workaround zur Eindämmung des Problems die beiden außerplanmäßigen Veröffentlichungen Firefox 66.0.4 und 66.0.5 nach sich zog.

Peinlicher Fehler

Was war geschehen? Mozilla hatte es versäumt, ein Zertifikat rechtzeitig zu erneuern, dass für die Signaturprüfung der Firefox-Erweiterungen zuständig war. Ohne gültiges Zertifikat konnte keine Signaturprüfung stattfinden und somit wurde der Großteil der mehr als 15.000 Firefox-Add-ons mit einem Schlag ungültig. Jetzt veröffentlichte der Browser-Hersteller sowohl eine Entschuldigung als auch eine technische Erläuterung der Zusammenhänge.

Zur Sicherheit signiert

Die digitale Signaturpflicht für Erweiterungen, die auf Mozillas offizieller Add-ons-Webseite AMO angeboten werden, wurde bereits 2015 eingeführt, um die Anwender vor bösartigen Add-ons zu schützen. Die Art und Weise, wie die Add-On-Signatur funktioniert, ist, dass Firefox mit einem vorinstallierten Root-Zertifikat konfiguriert ist. Das Original-Zertifikat wird von Mozilla offline in einem Hardware-Sicherheitsmodul (HSM) gespeichert.

Verschachtelte Zertifikate

Alle paar Jahre wird damit ein neues Zwischenzertifikat (intermediate certificate) unterzeichnet, das online gehalten und im Rahmen des Signaturprozesses verwendet wird. Wenn ein Add-on zur Signatur vorgelegt wird, generiert Mozilla ein neues temporäres Entitätszertifikat und signiert dieses mit dem Zwischenzertifikat. Das Entity-Zertifikat wird dann verwendet, um das Add-on selbst zu signieren.

Zu spät bemerkt

Das Problem entstand durch das am 4. Mai unbemerkt abgelaufene Zwischenzertifikat. Mozilla überprüft seine Add-ons alle 24 Stunden, wobei der Zeitpunkt der Überprüfung durch verschiedene Zeitzonen für jeden Benutzer unterschiedlich ist. Das Ergebnis war, dass einige Nutzer sofort Probleme hatten, andere erst viel später. Mozilla wurde also erst durch die Meldungen verunsicherter Anwender auf das Problem aufmerksam.

Für fast alle Anwender behoben

Daraufhin wurde ein Lösungskonzept erarbeitet, das vorsah, ein neues gültiges Zertifikat zu erstellen und schnellstmöglich an alle Nutzer auszuliefern. Dies wurde als Workaround innerhalb von 12 Stunden umgesetzt und ausgeliefert und behob das Problem für die meisten Anwender, aber nicht für alle. Mit Firefox 66.0.4 und 66.0.5 sind aber nun fast alle Anwender wieder in der Lage, ihre Erweiterungen zu nutzen.

In einer Nachlese will Mozilla in der nächsten Woche klären, wie solche groben Fehler künftig vermieden werden können und wie sie, falls sie doch auftreten, schneller zu beheben sind.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
0 Kommentare
Inline Feedbacks
View all comments