Eigenes CA-Zertifikat

  • Version
    92.1.1

    Hallo zusammen,

    ich habe eine eigene CA, die meinen Webservern Zertifikate ausstellt. Bisher hat das auch wunderbar funktioniert. Auf meinem alten Telefon mit Android 7 tut es das auch immer noch.

    Seitdem ich ein neues Telefon habe (LineageOS auf Basis von Android 11), gibt es damit aber ein Problem. Ich bekomme für alles Zertifikatsfehler ausgestellt, was nicht von einer öffentlich bekannten CA ausgestellt wurde.

    Mein Root-Zertifikat ist im Betriebssystem natürlich "für Apps" installiert. Zwei ganz andere Anwendungen, die sonst noch auf dem Telefon laufen und zu meinen Servern verbinden, kommen damit auch wunderbar klar. Firefox weigert sich jedoch.

    Kennt das Problem noch jemand?

  • Hallo,

    hast du die Verwendung von Drittanbieter-CA-Zertifikaten in Firefox aktiviert? Es ist ein Feature und kein Fehler von Firefox, diese standardmäßig nicht zu verwenden. Bei Bedarf kann das aber aktiviert werden.

    Gehe dazu in die Einstellungen > Über Firefox. Tippe fünf Mal auf das Firefox-Logo. Gehe zurück in die Einstellungen und du siehst einen neuen Menü-Eintrag: Secret Settings. Dort gibt es die Option "Use third party CA certificates".

  • Hallo Sören,

    das muß man erst mal wissen, daß es dieses Menü überhaupt gibt.

    Da verstecken sich ja auch so Optionen mit benutzerdefinierter Sync-Server, wo ich mich schon die ganze Zeit gefragt habe, wo man das einstellen können soll.

    Vielen vielen Dank!!!!

    Interessant ist aber, daß ich das Menü jetzt mal auf dem Android 7 Telefon mit gleicher FF-Version freigeschaltet habe, da ist die 3rd-Anbieter Option deaktiviert, und es funktioniert trotzdem die ganzen Jahre.

  • das muß man erst mal wissen, daß es dieses Menü überhaupt gibt.

    Das ist genau die Idee dahinter - dass es zwar konfigurierbar ist, man es aber nicht einfach so findet. Daher heißt das Menü auch "Secret Settings". ;) Es ist nämlich schon aus Sicherheitsgründen nicht unbedingt empfehlenswert, das zu tun. Es gibt dafür sicher legitime Anwendungsfälle, weswegen Mozilla diese Option auch eingebaut hat, aber der durschnittliche Anwender, der nicht weiß, was er tut, und alles anklickt, was interessant klingt, soll diese Option aus guten Gründen nicht sehen.

    Interessant ist aber, daß ich das Menü jetzt mal auf dem Android 7 Telefon mit gleicher FF-Version freigeschaltet habe, da ist die 3rd-Anbieter Option deaktiviert, und es funktioniert trotzdem die ganzen Jahre.

    Zum Thema "die ganzen Jahre": Firefox für Android wurde ja vor nicht so langer Zeit komplett neu entwickelt, das ist noch nicht viel länger als ein Jahr her. Vorher gab es auch Firefox für Android, aber das war praktisch ein komplett anderes Produkt und da ging es auch ohne solche Option.

    Komisch kommt mir nur vor, dass du sagst, dass es auf einem anderen Gerät mit wirklich gleicher Firefox-Version auch ohne diese Option gehen soll. Wenn das wirklich stimmt, habe ich keine Erklärung dafür, zumal es ja bei dem Gerät jetzt wirklich an dieser Option gelegen hat.

  • Es gibt dafür sicher legitime Anwendungsfälle, weswegen Mozilla diese Option auch eingebaut hat, aber der durschnittliche Anwender, der nicht weiß, was er tut, und alles anklickt, was interessant klingt, soll diese Option aus guten Gründen nicht sehen.

    Schon. Ich finde nur (halt aus meiner Perspektive), daß es so langsam genügt mit der Sicherheits-Stellschraube. In den neueren Android Versionen ist ja schon das Installieren von CAs generell viel schwerer gemacht worden, so daß das nicht mehr einfach so passieren kann. Dieser Schritt erscheint mir dann etwas redundant.

    Aber gleichzeitig kriegt immer noch jede Android-Anwendung automatisch Netzwerkzugriff, den ich mit Bordmitteln nicht unterbinden kann.

    Komisch kommt mir nur vor, dass du sagst, dass es auf einem anderen Gerät mit wirklich gleicher Firefox-Version auch ohne diese Option gehen soll. Wenn das wirklich stimmt, habe ich keine Erklärung dafür, zumal es ja bei dem Gerät jetzt wirklich an dieser Option gelegen hat.

    Werden wir nie erfahren :)

    Vielleicht wollten die Entwickler so ne Art Abwärtskompatibilität aufrechterhalten.

  • Ich finde nur (halt aus meiner Perspektive), daß es so langsam genügt mit der Sicherheits-Stellschraube. In den neueren Android Versionen ist ja schon das Installieren von CAs generell viel schwerer gemacht worden, so daß das nicht mehr einfach so passieren kann. Dieser Schritt erscheint mir dann etwas redundant.

    Ich denke, dass das viel eher zeigt, wie sicherheitskritisch dieser Bereich ist, denn grundlos wird ja nicht die Einstellung in Firefox versteckt und die Installation in Anroid erschwert. Tatsächlich sind die Zertifikate ein ganz elementarer Bestandteil des Internet-Sicherheitskonzeptes. Und dazu ein Bestandteil, der selbst von populärer Sicherheits-Software gerne manipuliert wird, Stichwort HTTPS-Scanning. Und du kannst davon ausgehen, dass die allermeisten Konsumenten solcher Software diese im guten Glauben nutzen und sich dann wundern, wieso es plötzlich Probleme mit der verschlüsselten Verbindung zu Websites gibt.

    Und zum Punkt der neueren Android-Versionen und vermeintlichen Redudanz: Firefox muss ab Android in Version 5 laufen. Was Google für Änderungen in Android 11 oder 12 umgesetzt hat, ist alles schön und gut, aber hilft konkret in Bezug auf Firefox nicht in der Gegenwart. Zumal bekannt sein dürfte, wie die Update-Politik für die meisten Android-Smartphones aussieht.

    Werden wir nie erfahren :)
    Vielleicht wollten die Entwickler so ne Art Abwärtskompatibilität aufrechterhalten.

    Möglich. Wenn hier ein Update vom "alten" auf den "neuen" Firefox durchgeführt worden ist, wurde im Hintergrund vielleicht irgendeine Einstellung übernommen, die dafür relevant ist. Aber das werden wir wohl tatsächlich nicht mehr erfahren. ;)