Firefox zeigt regelmäßig Warnseiten an, wenn eine Website kein gültiges SSL-Zertifikat hat oder weiterhin das HTTP-Protokoll verwendet. Diese Blockierung schützt die Daten, die zwischen dem Browser und dem Server übertragen werden, kann jedoch auch den Zugriff auf lokale Schnittstellen, Netzwerkgeräte oder Websites verhindern, deren Zertifikat einfach abgelaufen ist. Die Mechanismen hinter diesen Warnungen zu verstehen, ermöglicht eine informierte Entscheidung, bevor man den Zugriff erzwingt.
Blockierung veralteter Verschlüsselungsalgorithmen in Firefox
Die Fehlermeldungen von Firefox beschränken sich nicht nur auf Websites ohne Zertifikat. Neuere Versionen des Browsers beinhalten eine verstärkte Blockierung bestimmter veralteter Verschlüsselungsalgorithmen, wie SHA-1. Eine Website kann also über ein SSL-Zertifikat verfügen und dennoch unzugänglich bleiben, wenn dieses Zertifikat auf einer Technologie basiert, die Mozilla als anfällig erachtet.
Weiterlesen : Zugriff auf die Zimbra-Mail von Cherbourg: umfassender Leitfaden
Diese Verschärfung stützt sich auf die Empfehlungen der Mozilla Root Certificate Authority und hat sich in den letzten Jahren verstärkt. In diesem speziellen Fall sieht der Benutzer nicht immer die Schaltfläche “Risiko akzeptieren und fortfahren”: Firefox verweigert manchmal kategorisch die Verbindung. Die einzige nachhaltige Lösung besteht dann darin, das Zertifikat auf der Serverseite zu erneuern.
Bevor Sie Änderungen in den Browsereinstellungen vornehmen, lohnt es sich zu überprüfen, ob das Problem von der Website selbst ausgeht. Die wichtigsten Webhosting-Anbieter (OVHcloud, IONOS, o2switch) haben die automatische Aktivierung von Let’s Encrypt-Zertifikaten allgemein eingeführt. Wenn Sie der Administrator der Website sind, ermöglicht dieses Verfahren, Firefox dauerhaft auf eine unsichere Website zuzugreifen, ohne dass eine Intervention auf der Browserseite erforderlich ist.
Auch interessant : Zugriff auf Ihre Online-Banking-Dienste: Ein vereinfachter Ansatz für eine optimale Verwaltung Ihrer Konten
Nur HTTPS-Modus von Firefox: Funktionsweise und Grenzen
Seit Firefox 91 bietet der Browser einen nur HTTPS-Modus, der separat pro Profil und im privaten Fenster aktiviert werden kann. Wenn er aktiv ist, versucht Firefox, alle HTTP-Verbindungen in HTTPS umzuwandeln. Wenn die Website HTTPS nicht unterstützt, wird anstelle des Inhalts eine Warnseite angezeigt.
Dieser Modus kann in den Sicherheitseinstellungen des Browsers konfiguriert werden. Es werden drei Optionen angeboten:
- Aktivieren Sie den nur HTTPS-Modus in allen Fenstern, was die verschlüsselte Verbindung überall erzwingt
- Aktivieren Sie ihn nur in privaten Browsing-Fenstern, was die klassischen Fenster permissiver lässt
- Deaktivieren Sie ihn vollständig, was dem Standardverhalten von Firefox ohne automatische Übersteuerung entspricht
Die überwiegende Mehrheit der Websites unterstützt mittlerweile HTTPS. Einige lokale Schnittstellen (Router, NAS, IP-Kameras) funktionieren jedoch ausschließlich über HTTP. Für diese Geräte wird der nur HTTPS-Modus zu einem konkreten Hindernis für die tägliche Nutzung.
Deaktivieren des Modus für eine bestimmte Website
Firefox ermöglicht das Hinzufügen von Ausnahmen, ohne die globalen Einstellungen zu ändern. Auf der Warnseite wird eine Schaltfläche angeboten, um für diese spezifische Website in HTTP fortzufahren. Die Ausnahme wird dann gespeichert und die betroffene Website löst bei den folgenden Besuchen keine Warnung mehr aus.
Um diese Ausnahmen nachträglich zu verwalten, muss man in die Browsereinstellungen gehen, Abschnitt “Datenschutz und Sicherheit”, und dann bis zum Block für den nur HTTPS-Modus scrollen. Die dort hinzugefügten Ausnahmen werden aufgelistet und können jederzeit entfernt werden.
Fehlerseite SEC_ERROR: Risiko manuell akzeptieren
Wenn Firefox eine Website aufgrund eines Zertifikatsproblems (abgelaufen, selbstsigniert, nicht übereinstimmender Domainname) blockiert, zeigt der Browser einen Fehlercode vom Typ SEC_ERROR_EXPIRED_CERTIFICATE oder SEC_ERROR_UNKNOWN_ISSUER an. Diese Codes geben die genaue Art des Problems an.
Auf dieser Fehlerseite bietet Firefox manchmal eine Schaltfläche “Erweitert” gefolgt von “Risiko akzeptieren und fortfahren” an. Durch Klicken darauf fügen Sie eine dauerhafte Sicherheitsexception für dieses Zertifikat hinzu. Der Browser wird diese Website nicht mehr blockieren, solange das Zertifikat identisch bleibt.
Zwei Vorsichtsmaßnahmen sind zu beachten:
- Ein selbstsigniertes Zertifikat auf einem lokalen Gerät (Heimserver, Netzwerkdrucker) stellt ein begrenztes Risiko dar, wenn Sie sich in Ihrem eigenen Netzwerk befinden
- Ein abgelaufenes Zertifikat auf einer öffentlichen Website kann auf ein tieferliegendes Problem hinweisen, insbesondere auf eine Kompromittierung oder Vernachlässigung der Wartung
- Wenn der Fehlercode HSTS (HTTP Strict Transport Security) erwähnt, erscheint die Ausnahme-Schaltfläche überhaupt nicht, da die HSTS-Richtlinie jede Umgehung auf der Browserseite verbietet
Der HSTS-Fall: eine Umgehung unmöglich
Einige Websites setzen eine HSTS-Richtlinie über den HTTP-Header durch. Diese Anweisung befiehlt dem Browser, niemals eine unverschlüsselte Verbindung zu akzeptieren, selbst wenn der Benutzer dies ausdrücklich anfordert. Firefox befolgt diese Anweisung strikt.
Im Falle einer HSTS-Blockierung besteht die einzige Option darin, das Problem auf der Serverseite zu lösen. Wenn das Zertifikat abgelaufen ist, muss es erneuert werden. Wenn die HSTS-Konfiguration versehentlich auf einem Testserver aktiviert wurde, kann sie in der Apache- oder Nginx-Konfiguration entfernt werden.
About:config-Einstellung für unsichere Verbindungen
Firefox verfügt über eine erweiterte Konfigurationsoberfläche, die durch Eingabe von about:config in die Adresszeile zugänglich ist. Unter den verfügbaren Einstellungen ermöglicht security.enterprise_roots.enabled dem Browser die Verwendung von Zertifikaten, die im Systemzertifikatspeicher des Computers installiert sind, was einige Blockierungen in einer professionellen Umgebung lösen kann.
Eine weitere Einstellung, dom.security.https_only_mode, steuert die Aktivierung des nur HTTPS-Modus. Das Setzen auf “false” deaktiviert diesen Modus, ohne die grafische Benutzeroberfläche zu verwenden. Diese Manipulation ist nur für Benutzer gedacht, die die datenschutzrechtlichen Implikationen beim Surfen im Web verstehen.
Zurücksetzen der Zertifikatsausnahmen
Wenn Sie ein Risiko versehentlich akzeptiert haben und die Sicherheitswarnung wiederherstellen möchten, ermöglicht Firefox das Löschen der gespeicherten Ausnahmen. In den Einstellungen, unter “Datenschutz und Sicherheit”, öffnet die Schaltfläche “Zertifikate anzeigen” den Manager. Der Tab “Server” listet alle aktiven Ausnahmen auf, mit der Möglichkeit, sie einzeln zu entfernen.
Das Problem der unsicheren Websites in Firefox verringert sich jedes Jahr, da die Hosting-Anbieter kostenlose Zertifikate allgemein einführen. Für die verbleibenden Fälle (lokale Geräte, Testseiten, interne Anwendungen) bieten die Ausnahme-Mechanismen des Browsers abgestufte Lösungen. Die Herkunft der Blockierung zu überprüfen, bevor man sie umgeht, bleibt der beste Ansatz, um die Sicherheit der persönlichen Daten zu wahren.