Mit Firefox 37 hat Mozilla ein Sicherheitsfeature namens Opportunistic Encryption eingeführt. Eine nun entdeckte Sicherheitslücke führte dazu, dass in Firefox 37.0.1 diese Verschlüsselungsoption wieder entfernt wurde.
Das Prinzip der Opportunitic Encrypton besteht darin, dass Firefox versucht, mit einem Server, der der HTTP/2 AltSvc unterstützt, verschlüsselt zu kommunizieren. Wie Mozilla in einem Security Advisory bekannt gibt, steckt in der Abarbeitung von AltSvc-Headers ein potenzielles Sicherheitsrisiko, mit dem sich die SSL-Zertifikatverifizierung umgehen lässt. Im daraufhin veröffentlichten Firefox 37.0.1 fehlt die Opportunistic Encryption.
Mozilla arbeitet unterdessen an Firefox 38, einer Version die als Extended Support Release eine längere Support-Phase von rund einem Jahr erhalten soll. Es steht deshalb nicht fest, ob Version 37 von Firefox das Feature noch einmal aktiviert bekommt. Firefox 38 soll nach derzeitigem Planungsstand Mitte Mai erscheinen.
