Ab Firefox 68esr: security.enterprise_roots.enabled = true?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Ab Firefox 68esr: security.enterprise_roots.enabled = true?

Beitrag von ingo2 » 03.07.2019 17:40:40

Habe gerade hier gelesen, daß Firefox ab Version 68-esr auch per default fremde Zerztifikate importiert/nutzt
https://blog.mozilla.org/security/2019/ ... us-errors/
[EDIT]: Link nachträglich hinzugefügt
https://www.heise.de/forum/heise-Securi ... um-429255/
[/EDIT]
und damit die eigentlich sichere interne TLS-Verifizierung aufweicht. Das betrifft zwar vorrangig Windows mit intallierter AV-Software, die sichere TLS-Verbindungen aufbricht und als "man in the middle" mitliest,
ob das jetzt auch die Linux-Version per default aktiviert bekommt, weiß ich nicht.

Jedenfalls sollten wir das sorgfältig kontrollieren, ob die Option

Code: Alles auswählen

security.enterprise_roots.enabled
dort gesetzt ist und wieder auf "false" stellen.

Wieder ein Schritt in die Richtung "Benutzerfreundlichkeit über Sicherheit" von Mozilla :hail:

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Ab Firefox 68esr: security.enterprise_roots.enabled = true?

Beitrag von wanne » 04.07.2019 20:38:36

ingo2 hat geschrieben: ↑ zum Beitrag ↑
03.07.2019 17:40:40
Habe gerade hier gelesen, daß Firefox ab Version 68-esr auch per default fremde Zerztifikate importiert/nutzt
Nein. Die Zertifikate des Betriebssystens. Debian hat das über Jahre nachträglich rein gepatched, wenn ich mich richtig erinnere. In der EDU-Version soll das ab buster wieder kommen.
Ich finde das auch korrekt. Wenn ich in explizit einstelle, dass eine CA tun soll, soll sich der Firefox nicht darüber hinweg setzen und einfach trotzdem weiter die Regeln von Mozilla befolgen.
Wenn sie das jetzt auch noch in die andere Richtung hinbekommen dass von mir gelöschten CAs auch wirklich nicht mehr vertraut werden, wäre ich ansatzweise happy.
Finde das ganz und gar kein Sicherheitsfeature, dass Mozilla sich einfach über Einstellungen hinweg setzt weil sei meinen, ihr Diktat sei sicherer.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: Ab Firefox 68esr: security.enterprise_roots.enabled = true?

Beitrag von ingo2 » 05.07.2019 18:47:40

wanne hat geschrieben: ↑ zum Beitrag ↑
04.07.2019 20:38:36
Nein. Die Zertifikate des Betriebssystens. Debian hat das über Jahre nachträglich rein gepatched, wenn ich mich richtig erinnere.
Bitte bedenke, in dem Artikel geht es um Fremdzertifikate (von z.B. Antivirenherstellern) die sie im System (z.B. Windows) ablegen.
wanne hat geschrieben: ↑ zum Beitrag ↑
04.07.2019 20:38:36
Finde das ganz und gar kein Sicherheitsfeature, dass Mozilla sich einfach über Einstellungen hinweg setzt weil sei meinen, ihr Diktat sei sicherer.
Da stimmt natürlich - das liegt aber daran, daß solche Zertifikat-Datenbanken an 2 Stellen nebeneinander existieren und auch unabhängig voneinander gepflegt werden. Das ist grundsätzlich ein Fehldesign.
Ich gehe mal jetzt davon aus, das wir uns hier auf TLS-Zertifikate beschränken, und dabei ist es schwierig, zu sagen wer "besser" pflegt. Debian oder Mozilla.

Beim Browser z.B. ist m.E. Mozilla aktueller, auch was die Prüfung gegen Revocation-Lists angeht.
Mozilla kennt seinen Browser, der ja die Anwendung ist, die die Zertifikate nutzt, um sicher in Internet zu kommunizieren.
Debian dagegen tendiert mehr nach "stable" und schleppt aus Kompatibilitätsgründen auch noch Altlasten mit. Debian nutzt ja noch an mehreren andern Stellen/Anwendungen die Zertifikate und muß die Anforderungen verschiedener Applikationen berücksichtigen.

Wenn schon mehrere Zertifikat-Datenbanken existieren, dann sollte das explizit auch für den User kenntlich sein, damit er sie selbst pflegen/modifizieren kann. Im Zweifel sollten dann Anwendungen sich auf ihre eigene Datenbank beschränken und nicht ungefragt auf andere zugreifen. Oder - falls sie Diskrepanzen vorfinden, zwingend den User fragen, wie zu verfahren ist.

Ideal wäre natürlich, es gäbe nur eine Zertifikat-Datenbank, in der dann z.B. auch erfaßt ist, zu welcher Anwendung ein bestimmter Eintrag gehört. Dann könnte man sogar Profile selbst erstellen.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Ab Firefox 68esr: security.enterprise_roots.enabled = true?

Beitrag von wanne » 06.07.2019 04:12:58

ingo2 hat geschrieben: ↑ zum Beitrag ↑
05.07.2019 18:47:40
Ich gehe mal jetzt davon aus, das wir uns hier auf TLS-Zertifikate beschränken, und dabei ist es schwierig, zu sagen wer "besser" pflegt. Debian oder Mozilla.
Das kann man relativ einfach sagen, da Debian schlicht und einfach die von Mozilla übernimmt werden die das ziemlich exakt gleich gut machen. Um so bescheuerter wird es, dass der Firefox die selben Zertifikate nochmal (Defakto sogar mehrmals) mitbringt.
Will ich dass die Rechner in meinem Unternehmen der PKI in meinem Unternehmen vertrauen aber nicht mehr Türktrust, darf ich das nicht nur das einmal für das Betriebssystem machen sondern muss das dann nochmal für den Firefox und nochmal für den Thunderbird machen. Und weil das nicht genug ist, muss ich das dann auch nochmal für jeden Benutzer einzeln nochmal umstellen, dass er die verwenden soll. Und weil der Firefox bei jedem neu angelegten Nutzer wieder die fest einkompilierte eigene Liste statt der vom Administrator eingestellte nimmt muss ich das auch nochmal beim anlegen des Benutzers triggern. Das ist absolut bescheuert! Und nur auf die Einstellung bei Mozilla zurückzuführen, dass die meinen, dass sie besser als alle anderen wissen, was für ihre Nutzer gut ist, und meinen, dass mit Gewalt durchsetzen zu müssen.
Selbes spiel btw. bei der libnss. Wenn die mal wieder eine Sicherheitslücke hat, kommt die zuerst per debianupdate, weil der Firefox nochmal seine eigene mitbringt, darf ich den zwei tage später nochmal updaten.
Noch bescheuerter wird es bei Multimedia. Da braucht es typischerweise ~10 Jahre, bis der Firefox in der Lage ist, die Videos abzuspielen, die mein Dragonplayer kann weil Mozilla meint, dass sie aus Prinzip keine externen Schnittstellen nutzen und jeden Videocodec selber einbauen wollen.
Und dann halt nicht die richtigen Lizenzen haben, die ich eh schon gekauft habe.
Beim Browser z.B. ist m.E. Mozilla aktueller, auch was die Prüfung gegen Revocation-Lists angeht.
Das ist Quatsch. Die wird mit jeder Nutzung aktualisiert:
Hier kannst du nachlesen, wie das im Moment funktioniert: https://en.wikipedia.org/wiki/OCSP_stapling
Mozilla kennt seinen Browser, der ja die Anwendung ist, die die Zertifikate nutzt, um sicher in Internet zu kommunizieren.
Debian dagegen tendiert mehr nach "stable" und schleppt aus Kompatibilitätsgründen auch noch Altlasten mit. Debian nutzt ja noch an mehreren andern Stellen/Anwendungen die Zertifikate und muß die Anforderungen verschiedener Applikationen berücksichtigen.
Jetzt nenn mir doch mal ein konkretes Beispiel, wo du einer Webseite nicht mehr vertrauen würdest für einen anderen Zweck aber schon noch?!
Ganz im Gegenteil: Gerade Browser tendieren dazu als unsicher geltende Zertifikate über Ewigkeiten mitzuschleifen, weil ja sonst irgend welche Legacy Seiten nicht tun. Siehe Symantec, dass Ewigkeiten in den Browsern blieb, obwohl klar war, dass da gefälschte Zertifikaten rumlaufen, weil das ja soooo viele Websites noch nutzen.
Im Zweifel sollten dann Anwendungen sich auf ihre eigene Datenbank beschränken und nicht ungefragt auf andere zugreifen.
Nein. Das ist absolut bescheuert. Ich habe 115 Pakete auf meinem System, die irgend wie auf die irgend wie die CA von Debian nutzen. Das fängt bei youtube-dl an, geht über curl und wget weiteru und macht bei cargo und npm noch lange nicht Schluss. Da gibt es noch snapd, flatpack und pip und natürlich noch kmail, pidgin, gajim, jitsi, git, w3m... Ich habe garantiert keinen Bock 100 mal einzustellen welches jetzt vertrauenswürdige Stellen sind.
Und schon gar nicht für jedes Profil einzeln.
Es geht hier um fälle, wo der Admin ausdrücklich konfiguriert hat, dass einem Zertifikat vertraut werden, dann ist es absolut beschert, dass da nochmal nachgefragt werden soll. Von selbst passiert da erst mal gar nichts.
Ideal wäre natürlich, es gäbe nur eine Zertifikat-Datenbank, in der dann z.B. auch erfasst ist, zu welcher Anwendung ein bestimmter Eintrag gehört.
Nein. Es ist absolut bescheuert, dass ich für jede Anwendung einzeln Eintrage, dass sie sich jetzt auch drum kümmern soll und ich dann am Ende 500 Firefox-Forks drin habe aber aber dummerweise meinen nicht, weil der sich immer noch als Iceweasel ausgibt. In der Datenbank steht ja schon für welchen Zweck der CA vertraut werden soll. Das ist ausreichend. Wenn ich die CA im FF vertrauenswürdig finde dann doch auch im Chrome. Gerne kann man da im Profil nochmal Änderungen vornehmen aber per default bitte die globalen Einstellungen im Betriebssystem. Nicht die Vorstellungen von irgend welchen Herren aus den USA.
Ist doch absolut bescheuert tu behaupten, dass Mozilla besser wüsste, wer vertrauenswürdig ist, als der Administrator des PCs.
So ist das doch absolut vorhersehbar, dass Admins die ganze Konfiguriererei zu dämlich ist (In nem kleinere Unternehmen sind das dann 100 Anwendungen mal 50 Nutzer mit je zwei Profilen hast du 10000 mal umzustellen. Absolut bescheuert.) und sich irgend wann irgend welche AV-Software holen die das dann für sie erledigt. Und wenn die wild im Firefox rumpatched, der keine offizielle API zum verändern der Einstellungen hat ist auch nicht weiter verwunderlich, dass das vorne und hinten schief geht.
Bitte bedenke, in dem Artikel geht es um Fremdzertifikate (von z.B. Antivirenherstellern) die sie im System (z.B. Windows) ablegen.
Um was es im Artikel geht ist mir Wurst. In Wahrheit geht es darum, dass der Firefox jetzt die vom Administrator konfigurierten Zertifikate nutzt.
Sorry, unter "Fremdzertifikate" verstehe ich die Mozilla, nicht die, die der Administrator da eigenhändig abgelegt hat.
Ja. Eine beliebte Sache ist es, da die Zertifikate des Antiviereinherstellers abzulegen, damit der den Verkehr überwachen kann. Aber wenn ich als Administrator das so mache, dann doch weil ich das so will.
Man kann von der Idee halten was man will: Aber wenn ich als Admin Konfiguriere, dass der Virenscanner meinen Internetverkehr durchsuchen soll, dann ist das mein gutes recht. Dass der Firefox dann meint: Ne. Dann zeige ich keine Webseiten mehr an, ist eine Unverschämtheit.
Und es ist ja nicht so, dass er das zuverlässig so macht. Man muss es im Moment ja nur für den Firefox nochmal extra konfigurieren. Und da sich die Konfiguration wie das geht gefühlt alle paar Monate ändert, geht das halt hin und wieder schief.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten