In der Nacht zu Samstag, 4. Mai, pünktlich um 00:00 UTC (Universal Time Coordinated, „Greenwich-Zeit“), wurden in Firefox plötzlich zahlreiche Browser-Erweiterungen (Add-ons) deaktiviert. In einem Browser-Tab erschienen Fehlermeldungen wie „[name] konnte nicht für die Verwendung in Firefox verifiziert werden und wurde deaktiviert“. Ursache des Problems war ein abgelaufenes Zwischenzertifikat, das Mozilla versäumt hatte rechtzeitig zu erneuern.
Auch ein Neuinstallation der Erweiterungen war nicht möglich, da ihre Signaturen durch das abgelaufene Zertifikat ungültig waren. Die Fehlermeldung auf addons.mozilla.org war allerdings wenig erhellend. Im Netz kursierten bald Workarounds, die mehr oder weniger brauchbar waren. Mozilla warnte jedoch schnell, dass diese manuellen Änderungen an der Browser-Konfiguration den Nutzern auf die Füße fallen könnten. Es bestünde das Risiko, dass sie mit den durch Mozilla ausgerollten Lösungen kollidieren könnten. Bereits im Laufe des Samstags hatte Mozilla eine Interimslösung bereitgestellt, die auf dem wenig bekannten Weg der Firefox-Studien verteilt wurde. Dies ist eine Schnittstelle in Firefox, die Mozilla normalerweise nur mit begrenzten Nutzergruppen einsetzt, um neue Funktionen oder Ideen zu testen. Damit das funktioniert, muss in den Firefox-Einstellungen unter Datenschutz die Datenerhebung erlaubt sein sowie der Unterpunkt zur Durchführung von Studien. Das ist standardmäßig der Fall. Bei den meisten der betroffenen Firefox-Nutzer dürften die deaktivierten Erweiterungen binnen weniger Stunden wieder funktioniert haben, spätestens nach einem Firefox-Neustart.
Am Sonntag, 5. Mai, hat Mozilla als richtige Lösung Updates auf Firefox 66.0.4 (auch für Android) sowie Firefox ESR 60.6.2 bereitgestellt. Damit soll die defekte Zertifikatskette wieder instandgesetzt werden, die das Problem letztlich verursacht hat. Für Linux-Nutzer, deren Firefox-Installation durch die Distributoren mit Updates versorgt wird, kann die Lösung noch etwas auf sich warten lassen. Wie Mozilla einräumt , kann es in einigen Fällen zu Kollateralschäden gekommen sein. So können einzelne Add-ons weiterhin deaktiviert oder verschwunden bleiben. Das sollte sich jedoch durch erneutes Installieren der Erweiterung beheben lassen. Zu diesen Add-ons gehörende Daten und Einstellungen sollten demnach nicht verloren sein. Anders sieht es bei Container-Erweiterungen aus, etwa „Multi-Account Containers“ oder „Facebook Container“. Hier können gespeicherte Daten durch das Firefox-Update nicht wieder hergestellt werden. Auch Themes müssen eventuell von Hand reaktiviert werden. Auch Einstellungen für Startseite und Suchmaschinen, sofern sie durch ein Add-on verwaltet werden, könnten auf Werkseinstellungen zurückgesetzt werden. Insgesamt hinterlässt Mozilla bei diesem Vorfall ein durchwachsenen Eindruck. Dass ein recht wichtiges Zertifikat einfach ablaufen kann, ohne dass rechtzeitig Warnlampen beim Software-Hersteller angehen, ist blamabel. Die schnelle Fehlerbehebung im Laufe des Wochenendes und teils sicher in Nachtarbeit ist hingegen löblich. Bleibt zu hoffen, dass Mozilla daraus lernt, damit dergleichen nicht wieder passiert.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.