Firefox 51: Keine Unterstützung von SHA-1-Zertifikaten mehr
Mozilla wird wie geplant ab Januar 2017 die Unterstützung von SHA-1-Zertifikaten in Firefox einstellen. Damit tritt die Änderung effektiv ab Firefox 51 in Kraft.
Vor ziemlich genau einem Jahr hatte Mozilla bereits seinen Plan zur Nicht-Unterstützung von SHA-1-Zertifikaten bekannt gegeben. Dem Plan entsprechend zeigt Firefox seit Version 38 in der Webkonsole eine Warnung an, wenn das auf der Webseite verwendete Zertifikat eine SHA-1-Signatur besitzt. Seit Firefox 43 akzeptiert Firefox keine entsprechenden Zertifikate mehr, sofern diese nach dem 01.01.2016 ausgestellt worden sind.
Nun hat Mozilla die dritte und letzte Phase seines Plans bestätigt. Demnach wird Mozilla mit dem Start der Beta-Phase von Firefox 51 am 7. November 2016 die Unterstützung für SHA-1-Zertifikate für einen Teil der Nutzer und, sofern keine zu großen Probleme auftreten, nach und nach für mehr Nutzer deaktivieren. Mit der finalen Version von Firefox 51 wird Mozilla genauso verfahren und die Unterstützung zunächst für einen Teil und dann schrittweise für weitere Nutzer deaktivieren.
Die Veröffentlichung von Firefox 51 ist derzeit für den 24. Januar 2017 geplant.
Nach Angaben von Mozilla ist die Nutzung von SHA-1-Zertifikaten im Web seit Mai 2016 gemäß Telemetrie-Funktion von Firefox von 3,5 Prozent auf 0,8 Prozent gefallen.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
Kann man die Wegfallende Unterstützung per Flag auch erzwingen?
Ich habe nämlich das Thema, dass von einer alten Webseite der „Pfad“ zu meinem Zertifikat über ein Intermediate Certificate mit SHA1 läuft. Dieses Zertifikat wird nur für Firefox benötigt, alle anderen Webbrowser und „Online-Webseiten-Tester“ brauchen das Intermediate Certificate nicht um mein Zertifikat anzuerkennen (und erkennen deshalb auch keine Probleme).
Deshalb würde ich gerne testen ob das Probleme macht.
Du kannst in about:config nach sha suchen und alle Schlüssel die mit security.ssl3 beginnen deaktivieren.
Wahrscheinlich könntest du auch den Wert von security.pki.sha1_enforcement_level anpassen, die Experten im Heise Forum sind sich aber nicht sicher welcher Wert den jetzt der beste ist 🙂 (Und Mozilla kommuniziert das nirgends offen (bzw. Google findet nichts)).
Experten und Heise-Forum in einem Atemzug, der Witz war gut. Der zweitgenannte Schalter ist der korrekte Schalter.
0 = Erlaubt
1 = Verboten
2 = Erlaubt, wenn vor dem 01.01. 2016 ausgestellt
Der Wert von security.pki.sha1_enforcement_level steht nach Neuinstallation auf 3 mit der Bemerkung "vom Benutzer festgelegt". – habe ich nicht gemacht. Wenn ich ihn auf 4 stelle, stht "Standard" da und die Website wird ohne Fehler aufgerufen.
Was also bedeuten Level 3 und Level 4?
"Vom Benutzer festgelegt" bedeutet nicht, dass du irgendetwas bewusst und von Hand umgestellt hast, sondern dass die Einstellung zur Laufzeit auf dem System des Benutzers geändert worden ist und nicht dem Auslieferungszustand von Firefox entspricht.
Die Angabe "Neuinstallation" ist zudem so eine Sache: SHA-1 ist nach Neuinstallation von Firefox 51 für die meisten Nutzer aktiviert, aber sobald das Update des System-Add-ons den Nutzer erreicht, deaktiviert. Je nachdem, ob man vor oder nach dem Update des System-Add-ons schaut, was im Hintergrund geschieht und man nicht aktiv mitbekommt, ist der Zustand ein anderer. In sechs Tagen erscheint dann Firefox 52, wo der Zustand nach der Neuinstallation wirklich eindeutig ist: SHA-1 ist dann deaktiviert.
0 = Erlaubt
1 = Verboten
2 = Gibt es nicht mehr, wird intern als 1 behandelt
3 = Nur für importierte Roots erlaubt, nicht für die mit Firefox ausgelieferten Roots
4 = Erlaubt für importierte Roots oder wenn vor dem 01.01. 2016 ausgestellt