Firefox: Kritik an häufigen SSL-Zertifikats-Warnungen

Eine neue Sicherheitsfunktion des Open Source-Browsers Firefox steht massiv in der Kritik. Es handelt sich um eine Warnung, die immer dann auftaucht, wenn der Browser auf ein abgelaufenes oder ungeprüftes SSL-Zertifikat stößt.

Zahlreiche Web-Seiten, die eine verschlüsselte Verbindung ermöglichen, lassen seit der Einführung der Version 3 von Firefox die Warnmeldung aufgehen. Diese mahnt den Nutzer zur Vorsicht, weil die Sicherheit der Verbindung nicht in ausreichender Form gegeben ist.

Vor allem die große Zahl unerfahrener Nutzer könnte so dazu gebracht werden, entsprechende Angebote zu meiden. In Wirklichkeit bestehe im konkreten Fall aber meist überhaupt keine Gefahr, so die Kritiker. Das Risiko sei in den meisten Fällen ohnehin überschaubar.


Von dem Problem sind beispielsweise verschiedene Online-Angebote des US-Militärs betroffen. Die US Army verwendet SSL-Zertifikate, die vom Verteidigungsministerium herausgegeben werden. Da dieses aus Sicht der Firefox-Entwickler aber kein authorisierter Anbieter von SSL-Zertifikaten ist, erscheint beim Besuch der Seiten jeweils eine Warnung an den Nutzer.

Betroffen sind auch verschiedene andere große Angebote. Dazu gehörten zuletzt Googles Payment-Service Checkout und das Social Network LinkedIn. Ebensolche Berichte gibt es von Administratoren in größeren Firmen, die im Intranet SSL-Verbindungen einsetzen, aus Kostengründen aber nicht stets aktuelle SSL-Zertifikate vorhalten, die von externen Sicherheits-Unternehmen wie VeriSign signiert wurden.

Bei Mozilla verteidigt man die eigene Strategie allerdings als Verbesserung der Sicherheit. SSL-Zertifikate, die nicht ausreichend geprüft und signiert sind, würden demnach durchaus ein Sicherheits-Risiko darstellen. Darüber müsse man den Nutzer informieren.