Alles Wissenswerte zu Firefox ESR 78 inklusive Unterschiede zu Firefox 78
Mozilla hat heute Firefox 78 veröffentlicht. Firefox 78 ist gleichzeitig die neue Basis für Firefox ESR, die Firefox-Version mit Langzeitunterstützung. Während Firefox 78 und Firefox ESR 78 grundsätzlich identisch sind, gibt es doch ein paar wichtige Unterschiede zwischen beiden Versionen. Auch sonst gibt es einiges Wissenswertes für System-Administratoren.
Mozilla hat Firefox 78 und Firefox ESR 78 veröffentlicht. Nutzer von Firefox ESR 68 haben noch zwölf Wochen Zeit, ehe sie mit Erscheinen von Firefox 81 und Firefox ESR 78.3 am 22. September 2020 automatisch auf Firefox ESR 78 migriert werden. Wie schon Firefox ESR 68 unterscheidet sich auch Firefox ESR 78 in ein paar Aspekten von seinem Mainstream-Pendant.
Download Mozilla Firefox ESR 78
Firefox ESR 78: Kein WebRender
WebRender stammt wie die mit Firefox 57 eingeführte CSS-Engine Stylo ebenfalls aus Mozillas Next-Generation-Engine Servo und ist in der Programmiersprache Rust geschrieben. Es handelt sich bei WebRender um einen Renderer für Webseiten-Inhalte, welcher unter stärkerer Einbeziehung der Grafikkarte als bisher im Grunde wie eine Spiele-Engine arbeitet, aber für das Rendering von Web-Content optimiert ist und dadurch große Performance-Vorteile liefern soll.
Mit Firefox 67 hat es WebRender erstmals in eine finale Version von Firefox geschafft, allerdings erst für einen kleinen Teil der Nutzer. Während Mozilla WebRender weiter verbessert und für immer mehr Nutzer aktiviert, wird WebRender in Firefox ESR 78 für alle Nutzer komplett deaktiviert bleiben.
Firefox ESR 78: System-Zertifikate
Standardmäßig nutzt Firefox seinen eigenen Zertifikatsspeicher und bietet damit eine erhöhte Sicherheit gegenüber anderen Browsern. Im Unternehmensumfeld jedoch ist es häufig gewünscht, dass Zertifikate aus dem Zertifikatsspeicher des Betriebssystems genutzt werden. Darum ist dies in Firefox ESR 78 standardmäßig aktiviert.
Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:
security.enterprise_roots.enabled
Firefox ESR 78: Deaktivierte MITM-Erkennung
Nicht nur Schadsoftware, auch sogenannte „Sicherheits“-Software unterbricht verschlüsselte Verbindungen (das heißt Verbindungen über https://) immer wieder, um die Inhalte zu lesen, bevor diese den Browser erreichen, und verkauft dies dann auch noch als Feature. Man spricht dabei von einem sogenannten Man-in-the-Middle („MITM“). Die Folge für Firefox-Nutzer ist aufgrund der häufig mangelhaften Implementierung in einigen Fällen, dass Firefox keine Verbindungen über https:// mehr herstellen kann. Firefox 78 kann Verbindungsprobleme aufgrund von MITM erkennen. Dazu setzt Firefox im Problemfall die Option security.enterprise_roots.enabled auf true und versucht die Verbindung erneut. Funktioniert dies, lässt Firefox die Option auf true, ansonsten wird die Option auf false zurückgesetzt.
Da Firefox ESR 78 den Import von System-Zertifikaten standardmäßig zulässt, ist die MITM-Erkennung in Firefox ESR 78 standardmäßig deaktiviert.
Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:
security.certerrors.mitm.auto_enable_enterprise_roots
Nur in Firefox ESR 78: Deaktivierbare Signaturpflicht für Add-ons
Zum Schutz seiner Nutzer hat Mozilla eine Signaturpflicht für Add-ons in Firefox eingeführt, welche seit Firefox 43 standardmäßig aktiviert ist. Diese kann nur in Nightly-Builds sowie in der Developer Edition von Firefox deaktiviert werden, nicht in Beta- oder finalen Versionen. Die ESR-Version von Firefox 78 erlaubt auch in der finalen Ausführung die Deaktivierung der Signaturpflicht.
Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:
xpinstall.signatures.required
Achtung: Es ist aus Sicherheitsgründen nicht empfohlen, die Signaturpflicht für Erweiterungen zu deaktivieren. Wer seine Erweiterungen ausschließlich über addons.mozilla.org bezieht, findet außerdem in der Regel sowieso ausschließlich signierte Erweiterungen vor.
Nur in Firefox ESR 78: Zusätzliche Enterprise Policy
Seit Firefox 60 liefert Mozilla seine Enterprise Policy Engine aus. Damit ist es für Systemadministratoren möglich, Firefox für die Verteilung im Unternehmen vorzukonfigurieren, wofür bis einschließlich Firefox ESR 52 gerne der sogenannte CCK2 Wizard benutzt worden ist, der allerdings mit Firefox 57 und höher nicht kompatibel ist.
Die SearchEngines-Policy zum Konfigurieren der Suchmaschinen funktioniert ausschließlich in Firefox ESR.
Folgende Unterschiede aus Firefox ESR 68 existieren nicht mehr
Folgende Unterschiede existierten noch zwischen Firefox 68 und Firefox ESR 68, aber nicht mehr zwischen Firefox 78 und Firefox ESR 78:
Service Workers in Firefox ESR verfügbar
Service Workers bezeichnen einen Webstandard, der praktische Anwendungsfälle für moderne Webapplikationen ermöglicht. Firefox unterstützt Service Workers bereits seit Version 44. In Firefox ESR 45, Firefox ESR 52, Firefox ESR 60 und auch noch in Firefox ESR 68 standen Service Workers allerdings nicht zur Verfügung. Mit Firefox ESR 78 sind Service Workers erstmals auch in Firefox ESR verfügbar.
Push-Benachrichtigungen stehen zur Verfügung
Ebenfalls waren Push-Benachrichtigungen bis Firefox ESR 68 noch standardmäßig deaktiviert, da diese Service Workers als technische Voraussetzung haben. Mit der Aktivierung von Service Workers stehen auch Push-Benachrichtigungen ab Firefox ESR 78 zur Verfügung.
Alle Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78
Für einen Überblick über alle wichtigen Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78 empfiehlt sich die Lektüre der Artikel über die Neuerungen der entsprechenden Major-Releases:
- Neuerungen Firefox 69
- Neuerungen Firefox 70
- Neuerungen Firefox 71
- Neuerungen Firefox 72
- Neuerungen Firefox 73
- Neuerungen Firefox 74
- Neuerungen Firefox 75
- Neuerungen Firefox 76
- Neuerungen Firefox 77
- Neuerungen Firefox 78
Sonstiges Wissenswertes für Unternehmens-Administratoren
Unternehmensrichtlinien und Enterprise Policy Generator
Firefox lässt sich mittels zahlreicher Unternehmensrichtlinien konfigurieren. Dabei gibt es verschiedene Wege: Plattformübergreifend auf Windows, Apple macOS sowie Linux über eine Datei policies.json, via GPO auf Windows oder via .plist-Datei auf Apple macOS.
Die von mir entwickelte Erweiterung Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Die Erweiterung bietet eine einfach verständliche Oberfläche, über welche alle verfügbaren Policies ganz einfach zusammengeklickt werden können, ohne dass Kenntnisse irgendeiner Art notwendig wären – inklusive Möglichkeit, Konfigurationen zu speichern oder für andere Systeme zu exportieren und zu importieren.
Download Enterprise Policy Generator für Firefox
In der aktuellen Version unterstützt der Enterprise Policy Generator noch nicht alle von Firefox 78 unterstützten Unternehmensrichtlinien. Im Juli soll ein großes Update für den Enterprise Policy Generator erscheinen, welches die Unterstützung für zahlreiche neue Unternehmensrichtlinien bringen wird.
MSI-Installer für Windows
Um System-Administratoren im Unternehmen das Anpassen und Verteilen von Firefox einfacher zu machen, bietet Mozilla anpassbare MSI-Installer für Firefox ESR auf Windows 7 und höher an.
MSI-Installer erlauben die Anpassung über eine MST-Datei und können über die auf Windows üblichen Deployment-Tools wie Active Directory oder Microsoft System Center Configuration Manager verteilt werden. Mozilla hat eine Dokumentation zu den MSI-Installern veröffentlicht.
Download MSI-Installer von Firefox ESR 78
pkg-Installer für Apple macOS
Ähnlich zu den MSI-Installern für Windows gibt es pkg-Installer für Apple macOS.
Download pkg-Installer von Firefox ESR 78
Nutzer von Apple macOS 10.9 bis 10.11 werden auf Firefox ESR 78 migriert
Nutzer der Mainstream-Version von Firefox auf Apple macOS 10.9 bis 10.11 werden automatisch auf Firefox ESR 78 migriert und erhalten damit mit Firefox ESR 78 ihr letztes Feature-Update. Nach einem weiteren Jahr Sicherheits-Updates durch Firefox ESR 78 ist für Nutzer von Apple macOS 10.9 bis 10.11 danach Schluss. Bereits Firefox 79 lässt sich auf diesen macOS-Versionen nicht einmal mehr starten.
Veraltete Sicherheits-Protokolle werden nicht länger unterstützt
Unternehmen sollten sicherstellen, dass ihre Seiten üblichen Sicherheits-Standards folgen. Denn mit Firefox 78 unterstützt Firefox nicht länger die veralteten Sicherheitsprotokolle TLS 1.0 sowie 1.1. Das Sicherheitsprotokoll TLS 1.0 ist bereits über 21 Jahre alt. TLS 1.1 bot nur geringfügige Verbesserungen gegenüber TLS 1.0. Aus Sicherheitsgründen ist daher das 2008 finalisierte TLS 1.2 oder noch besser das 2018 finalisierte TLS 1.3 zu nutzen. Ansonsten sieht der Benutzer nur eine Fehlerseite. Außerdem unterstützt Firefox 78 nicht länger die veralteten DHE-Chiffresuiten TLS_DHE_RSA_WITH_AES_128_CBC_SHA sowie TLS_DHE_RSA_WITH_AES_256_CBC_SHA.
Dedizierte Profile pro Installation abschalten
Lesezeichen, Chronik, Erweiterungen, Passwörter, Einstellungen – diese und noch weitere Dinge werden in einem sogenannten Profil gespeichert. Verschiedene Firefox-Installationen nutzen bisher standardmäßig immer das gleiche Profil.
Seit Firefox 67 nutzt der Mozilla-Browser dedizierte Profile pro Installation. Das heißt, dass wenn ein Nutzer mehrere Firefox-Installationen hat, jede dieser Installationen ein eigenes Profil verwendet und damit standardmäßig nicht länger in allen Installationen automatisch die gleichen Lesezeichen, die gleiche Chronik etc. zur Verfügung stehen.
Gerade im Unternehmensumfeld kann dies unerwartet sein. Über eine Umgebungsvariable mit beliebigem Wert kann dieses Feature abgeschaltet werden:
MOZ_LEGACY_PROFILES
Wie Umgebungsvariablen angelegt werden, ist der Dokumentation des jeweiligen Betriebssystems zu entnehmen.
Downgrade-Schutz abschalten
Ein anderes Feature seit Firefox 67 ist ein Downgrade-Schutz. Firefox verhindert, dass der Browser mit einem Profil gestartet wird, welches bereits mit einer neueren Firefox-Version genutzt worden ist. Auch dieses Feature kann über eine Umgebungsvariable mit beliebigem Wert abgeschaltet werden:
MOZ_ALLOW_DOWNGRADE
Alternativ dazu kann Firefox mit dem folgenden Kommandozeilen-Argument gestartet werden:
--allow-downgrade
Dokumentation für System-Administratoren
Hier gibt es spezielle Hilfe-Seiten für die Administration von Firefox im Unternehmen.
Den Abschnitt zu security.certerrors.mitm.auto_enable_enterprise_roots finde ich verwirrend geschrieben bzw. schwierig zu verstehen.
Ich nutzte keine AV oder andere Schlangenöl-Software die MITM macht und möchte gerne die neue Firefox MITM Erkennung aktivieren. Also muss ich das flag in about:config für die Option security.certerrors.mitm.auto_enable_enterprise_roots auf "false" setzen, richtig?
Was mich einmal interessieren würde: Aus welcher Sicht macht es zB für einen Privatanwender Sinn, sich Firefox ESR auf dem heimischen Rechner zu installieren? Was spricht dafür oder dagegen oder ist das irrelevant?
Brint der Artikel Klarheit?
https://support.mozilla.org/de/kb/enterprise-roots-einstellung-deaktivieren
Die Antwort darauf ist einfach: Für Privatanwender ergibt die Verwendung von Firefox ESR – in meinen Augen – überhaupt keinen Sinn.
Firefox ESR kann für Privatanwender*innen, die eher "veränderungsresistent" sind, praktisch sein. Einmal im ordentlich eingerichteten Betriebssystem installieren – höchstens einmal im Jahr zu Weihnachten wieder "Support" leisten müssen, weil sich eine Schaltfläche verändert hat. 😉
Das klingt für mich aber nur auf den ersten Blick nach einer sinnvollen Idee. Tatsächlich ist es meiner Erfahrung nach nämlich so, dass es um ein Vielfaches einfacher ist, sich auf wenige und kleine Änderungen einzustellen, ggfs. irgendwann nochmal und dann vielleicht nochmal, als dann mit einem Mal alle Änderungen eines gesamten Jahres zu bekommen. Die Änderungen kommen so oder so und Verzögerungstaktiken sind nicht zielführend, ganz im Gegenteil. Vor allem, wenn der Nutzer nicht alleine klar kommt, sondern Hilfe in Anspruch nehmen muss (und Nutzer mit Veränderungsresistenz sind erfahrungsgemäß halt tendenziell auch vermehrt Nutzer, die auf Hilfe angewiesen sind, um ihren Firefox wieder anzupassen), erschwert es die Hilfe ungemein, wenn man Firefox ESR nutzt. Das aus zwei ganz naheliegenden Gründen: a) alleine die Menge an gewünschten Veränderungen, die mit einem Mal anfallen und b) die Helfer erinnern sich gut an aktuelle Änderungen, aber was sie teilweise vor bis zu einem Jahr mal herausgefunden haben, ist kein aktuelles Wisses mehr. Darum bleibe ich bei meiner vorherigen Aussage: Für Privatanwender ergibt die Verwendung von Firefox ESR – in meinen Augen – überhaupt keinen Sinn. Man tut sich damit keinen Gefallen. 😉
Danke für den (die) gute (n) Artikel.
Betreffend WebRender in Firefox ESR 78 würde mich interessieren: ist das dann gar nicht integriert oder einfach nur deaktiviert und könnte man im Bedarfsfall manuell via about:config aktivieren?
Es sollte möglich sein, WebRender manuell zu aktivieren. Es wird aber halt das gesamte Jahr über keine Bugfixes für WebRender geben, die für Firefox ESR zurück portiert werden.
Danke für die Rückmeldung. Mich hätte es interessiert bzgl. besserer Leistung – womöglich nur testweise.
Aber stimmt, Bugfixes werden dafür wohl keine kommen – vermutlich nicht einmal Sicherheitsupdates, sofern diese nur damit zusammenhängen würden. Immerhin ist das standardmäßig deaktiviert.
Hallo Soeren,
habe eine Frage zu bzgl. Firefox ESR 68/78
In deinem wie immer sehr guten Artikel führst du aus, dass Anwender mit Erscheinen von Firefox 80 und Firefox ESR 78.2 am 25. August 2020 automatisch auf Firefox ESR 78 migriert werden. Wenn ich nun deinen Link aufrufe, wird dort aufgelistet, dass am 25 August 2020 jedoch noch die Version Firefox ESR 68.12 erscheinen soll. Dann wäre es doch so, dass erst am 22. September mit der Firefox ESR 78.3 entgültig Abschied der ESR 68.xx genommen wird und nicht schon am 25. August, oder habe ich etwas falsch verstanden ?
Hallo,
danke für den Hinweis. Bislang gab es immer zwei Versionen Überlappuung. In der Tat listet der Release-Kalender dieses Mal aber drei Versionen Überlappung, so dass das automatische Update tatsächlich erst im September stattfinden sollte. Ich habe den Artikel entsprechend angepasst.
Hallo Herr Hentzschel,
seit dem ich die Version 78.3.1 esr benutze, funktioniert das deaktivieren der Update Funktion nicht mehr. Die "policies.json" Datei in dem Ordner "distribution" wird irgendwie ignoriert.
Folgende Einträge wurden bisher (Version 68.12.0) gesetzt:
{
"policies": {
"DisableAppUpdate": true,
"DisableFirefoxAccounts": true,
"DisableFirefoxStudies": true,
"DisablePocket": true,
"DisableSystemAddonUpdate": true,
"DisableTelemetry": true,
"ExtensionUpdate": false
}
}
Muss die Datei evtl. angepasst werden?
Für einen kurzen Hinweis wäre ich dankbar.
Gruß
R.Ditte
Funktionieren die anderen Richtlinien? Zeigt about:policies irgendwelche Fehler an? Falls es nur um das Deaktivieren der Updates geht, kann ich keine weiteren Ansätze als diese zwei Fragen liefern, da ich es strikt ablehne, Support mit der Zielsetzung zu geben, die Sicherheit von Menschen massiv zu gefährden. Updates müssen installiert werden, ohne Wenn und Aber, und das gilt im Unternehmen ganz sicher nicht weniger.
Wenn es ein Problem gibt, welches darüber hinaus geht, bitte ein Thema im Firefox-Forum eröffnen:
https://www.camp-firefox.de/forum/
Dort lese ich auch mit, aber nicht nur ich und es ist die bessere Plattform für Support.