Wer heute oder am Wochenende Firefox startete, konnte eine Überraschung erleben: Zahlreiche zentrale Add-ons, aber auch Suchen und Sprachpakete funktionierten plötzlich nicht mehr und ließen sich auch nicht mehr neu installieren. Schuld war ein abgelaufenes Zwischenzertifikat.
Das passende Motto für die Add-on-Krise war schnell gefunden: Armagadd-on 2.0. So jedenfalls steht es unter anderem im Bug Report des Mozilla-Projekts. Die Krise wurde sichtbar, als Firefox per Infobalken meldete, dass einige Add-ons deaktiviert worden seien. Wer dann auf Add-ons klickte, fand häufig die meisten zentralen Add-ons außer Funktion, darunter Adblocker, Anti-Tracking-Erweiterungen, Rechtschreibprüfungen und so weiter. Versuche, diese neu aus dem Netz zu installieren, führten lediglich zu Verlusten ihrer Konfiguration, die Neu-Installation scheiterte aber.
Schuld war, wie sich schnell herausstellte, ein nicht verlängertes Zwischenzertifikat. Das Mozilla-Projekt hat die Verlängerung offenbar schlicht vergessen. Ist dieses lokale Zertifikat abgelaufen – und das passierte in der Nacht auf den 4.5.2019 (UTC) – lässt sich die Vertrauenswürdigkeit von Mozillas Add-ons nicht mehr überprüfen. Diese gewährleistet ein Zertifikat auf dem Add-on-Server, das sich allerdings dank des abgelaufenen Zwischenzertifikats nicht mehr verifizieren lässt. Die Add-ons stellen dann die Arbeit ein.
Wer das Studien-Feature vorübergehend aktivierte (oder niemals deaktiviert hatte), erhielt ein Hotfix für das Problem.
Das blieb nicht lange unbemerkt, denn viele Firefox-Nutzer verwenden den Browser gerade wegen seiner Adblock- und Anti-Tracking-Erweiterungen. Auf Hackernews, Reddit und auch zahlreichen Tech-Seiten häuften sich schnell die Berichte über das Problem und mögliche Lösungen. Auch andere Projekte waren indirekt betroffen: So ist im Tor-Browser, der auf Firefox basiert, das Noscript-Add-on deaktiviert. Auch hier arbeiten die Entwickler an einem Fix.
Hotfix über Studienfeature
Zunächst gab das Projekt über ein Studien-Feature einen Hotfix heraus, der aber nicht mit allen Browsern funktionierte. Wer die Studienoption aktivierte (Abbildung 1), konnte den Hotfix erhalten und das Zertifikat so verlängern. Mittlerweile ist Firefox 66.0.4 erschienen, die neue Version soll das Problem auf Firefox für den Desktop, die Android-Versionen und die ESR-Version beheben.
Es dürfte allerdings noch etwas dauern, bis die aktualisierten Versionen bei allen Nutzern ankommen. Beim Autor ist weiterhin die Vorgängerversion 66.0.3 aktiv. Insofern ist das vorübergehende Aktivieren des Studien-Features häufig noch eine Option. Wer in die URL-Leiste “about:studies” eingibt, kann sehen, ob der Hotfix integriert ist (Abbildung 2, mit “H” gekennzeichnet).
Neben dem Bugreport gibt ein Mozilla-Blogpost Updates zum Stand der Dinge in Sachen Zwischenzertifikat. Die Firefox-Entwickler geben sich zerknirscht, raten aber davon ab, den teils obskuren Ratschlägen aus dem Internet zu folgen, um das Problem selbstständig zu beheben. Es könnte in der Folge passieren, dass die offiziellen Fixes für Firefox nicht mehr funktionieren.
