Der Zugriff auf sichere Websites (HTTPS) funktioniert mit Firefox 43 nicht

Dieser Artikel wird nicht länger gewartet, darum ist dessen Inhalt möglicherweise veraltet.

Firefox 43 beinhaltet eine Änderung, die neue Sicherheits-Zertifikate ablehnt, welche den alten Algorithmus „SHA-1“ verwenden. Microsoft und Google werden in nächster Zeit diese sicherheitsrelevante Änderung auf ihre Produkte ausweiten. Im Zuge dieser Änderung werden einige Firefox-Nutzer mit Drittanbieter-Anwendungen Probleme haben, sichere Webseiten (HTTPS) zu besuchen; eine Zusammenfassung finden Sie in diesem englischsprachigen Beitrag im Mozilla Sicherheits-Blog. Dieser Artikel erläutert, ob Sie von diesem Problem betroffen sind und wie Sie es gegebenenfalls lösen können.

Was verursacht dieses Problem?

Einige Anwendungen fangen Ihren sicheren Internetverkehr ab, um Ihre sicheren Sitzungen zu entschlüsseln und Ihnen gewisse Zusatzfunktionen zur Verfügung zu stellen. Solche Anwendungen können z. B. Virenscanner und Sicherheitsprogramme sein. In Ausnahmefällen stellen diese Ihrem Browser ein SHA-1-Zertifikat zur Verfügung. Wenn Firefox ein solches Zertifikat erkennt, weist es die Verbindung zurück und zeigt Ihnen die Fehlermeldung SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Indem diese Anwendungen alle HTTPS-Sitzungen abfangen und das echte Webseiten-Zertifikat mit einem SHA-1-Zertifikat ersetzen, sehen Sie diese Fehlermeldung bei allen HTTPS-Sitzungen, auch dann, wenn das echte Zertifikat kein SHA-1 nutzt.

Wie erkenne ich ob ich betroffen bin?

Falls Sie auf diesen Artikel in Firefox zugreifen können, sind Sie nicht betroffen. Versuchen Sie andernfalls auf HTTPS-Seiten wie https://blog.mozilla.org zuzugreifen. Klicken Sie dann auf „Erweitert“, und wenn Sie nun die Fehlermeldung SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED sehen, sind Sie von diesem Problem betroffen.

Wie kann ich das Problem beheben?

Die einfachste Lösung des Problems ist die Installation der aktuellen Firefox-Version von dieser Seite: Firefox herunterladen. Sie müssen das Firefox-Installationsprogramm manuell herunterladen und ausführen, denn wenn Sie betroffen sind, kann Firefox sich nicht automatisch aktualisieren.

Warnung: Benutzer mit Windows XP und Windows Vista erhalten derzeit möglicherweise nicht die aktuelle Version von Firefox auf der Seite „Firefox herunterladen“. Falls Sie hiervon betroffen sind, fahren Sie folgendermaßen fort:
  1. Geben Sie in die Adressleiste about:config ein und drücken Sie die EingabetasteReturn.

    • Beim Aufrufen von about:config wird folgender Warnhinweis angezeigt: „Hier endet möglicherweise die Gewährleistung!”. Klicken Sie auf Ich werde vorsichtig sein, versprochen!Ich bin mir der Gefahren bewusst!, um fortzufahren.
    about:config - Fx29 - Win8
    about:config - Fx29 - Linux
    about:config - Fx35 - Mac
    about:config - Fx50 - Win
    about:config - Fx50 - Linux
    about:config - Fx49 - Mac
    Hinweis: Für Nutzer von Linux und Mac ändert sich die grafische Darstellung geringfügig.
    aboutconfig 1 fx55 win7
  2. Suchen Sie auf der about:config-Seite die Einstellung security.pki.sha1_enforcement_level.
  3. Doppelklicken Sie auf die Einstellung security.pki.sha1_enforcement_level und setzen Sie diese auf 0.
  4. Schließen Sie die Seite about:config und starten Sie Firefox neu, damit die Änderung wirksam wird.

Wie kann ich das Problem langfristig lösen?

Dieses Problem tritt auf, wenn Anwendungen von Drittanbietern Ihre sicheren, von Firefox hergestellten Verbindungen zu Webseiten (HTTPS) abfangen. Dabei ersetzen diese Anwendungen das Webseiten-Zertifikat mit einem eigenen Zertifikat, welches die SHA-1-Signatur besitzt. Um Probleme mit SHA-1-Zertifikaten in Zukunft zu vermeiden, sollten Sie die Anwendungen identifizieren, die SHA-1-Zertifikate bereitstellen (meistens Virenscanner und Sicherheitsprogramme) und diese so konfigurieren, dass sie in Zukunft Zertifikate mit einer stärkeren Signatur verwenden. Außerdem sollten Sie sicherstellen, dass alle Programme, die anfällig für einen „Man-in-the-Middle“-Angriff sind, auf dem neuesten Stand sind.

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben: Boersenfeger, pollti, Artist, Tobias. Auch Sie können helfen – erfahren Sie, wie.