Mozilla entschuldigt sich
Bild: Mozilla

Es war ein peinlicher Fehler, der Mozilla da unterlaufen war und am letzten Wochenende dazu führte, dass fast alle von Firefox angebotenen Add-ons deaktiviert wurden und auch keine neuen Erweiterungen installiert werden konnten.

Betriebsames Wochenende

Mozilla erfuhr erst durch Anwender von dem Problem. Daraufhin brach in Mountain View in Kalifornien hektische Betriebsamkeit aus, die mehrere Teams das ganze Wochenende in Atem hielt und nach einem ersten Workaround zur Eindämmung des Problems die beiden außerplanmäßigen Veröffentlichungen Firefox 66.0.4 und 66.0.5 nach sich zog.

Peinlicher Fehler

Was war geschehen? Mozilla hatte es versäumt, ein Zertifikat rechtzeitig zu erneuern, dass für die Signaturprüfung der Firefox-Erweiterungen zuständig war. Ohne gültiges Zertifikat konnte keine Signaturprüfung stattfinden und somit wurde der Großteil der mehr als 15.000 Firefox-Add-ons mit einem Schlag ungültig. Jetzt veröffentlichte der Browser-Hersteller sowohl eine Entschuldigung als auch eine technische Erläuterung der Zusammenhänge.

Zur Sicherheit signiert

Die digitale Signaturpflicht für Erweiterungen, die auf Mozillas offizieller Add-ons-Webseite AMO angeboten werden, wurde bereits 2015 eingeführt, um die Anwender vor bösartigen Add-ons zu schützen. Die Art und Weise, wie die Add-On-Signatur funktioniert, ist, dass Firefox mit einem vorinstallierten Root-Zertifikat konfiguriert ist. Das Original-Zertifikat wird von Mozilla offline in einem Hardware-Sicherheitsmodul (HSM) gespeichert.

Verschachtelte Zertifikate

Alle paar Jahre wird damit ein neues Zwischenzertifikat (intermediate certificate) unterzeichnet, das online gehalten und im Rahmen des Signaturprozesses verwendet wird. Wenn ein Add-on zur Signatur vorgelegt wird, generiert Mozilla ein neues temporäres Entitätszertifikat und signiert dieses mit dem Zwischenzertifikat. Das Entity-Zertifikat wird dann verwendet, um das Add-on selbst zu signieren.

Zu spät bemerkt

Das Problem entstand durch das am 4. Mai unbemerkt abgelaufene Zwischenzertifikat. Mozilla überprüft seine Add-ons alle 24 Stunden, wobei der Zeitpunkt der Überprüfung durch verschiedene Zeitzonen für jeden Benutzer unterschiedlich ist. Das Ergebnis war, dass einige Nutzer sofort Probleme hatten, andere erst viel später. Mozilla wurde also erst durch die Meldungen verunsicherter Anwender auf das Problem aufmerksam.

Für fast alle Anwender behoben

Daraufhin wurde ein Lösungskonzept erarbeitet, das vorsah, ein neues gültiges Zertifikat zu erstellen und schnellstmöglich an alle Nutzer auszuliefern. Dies wurde als Workaround innerhalb von 12 Stunden umgesetzt und ausgeliefert und behob das Problem für die meisten Anwender, aber nicht für alle. Mit Firefox 66.0.4 und 66.0.5 sind aber nun fast alle Anwender wieder in der Lage, ihre Erweiterungen zu nutzen.

In einer Nachlese will Mozilla in der nächsten Woche klären, wie solche groben Fehler künftig vermieden werden können und wie sie, falls sie doch auftreten, schneller zu beheben sind.

Mozilla entschuldigt sich

Verwandte Themen

Firefox 68 verteilt WebRender für AMD
views 486
Screenshot: ftAm heutigen 9. Juli hat Mozilla Firefox 68 und gleichzeitig Firefox ESR 68 veröffentlicht. Die mit Firefox 67 begonnene Auslieferun...
Firefox 67.0.3 behebt bereits ausgenutzte Zero-Day...
views 407
Bild: MozillaMozilla reagiert mit der Veröffentlichung von Firefox 67.0.3 und Firefox ESR 60.7.1 auf eine bereits aktiv ausgenutzte Zero-Day-Sich...
Mozilla plant Firefox-Premiumversion
views 905
Bild: MozillaMozilla plant noch für dieses Jahr eine Firefox-Premiumversion. Das geht aus einem Interview der deutschen Medienplattform T3N mit M...
Firefox 67 liefert erstmals WebRender aus
views 1.3k
Bild: MozillaFirefox 67 erscheint wegen dem von Mozilla selbstverschuldeten Debakel mit gesperrten Erweiterungen mit einer Woche Verspätung, brin...
Project Fission: Volle Seitenisolierung bei Firefo...
views 373
Bild: MozillaMit Project Fission will Mozilla die Prozessarchitektur von Firefox besser gegen bestehende und künftige Verwundbarkeiten wie die vo...

Beitrag kommentieren