Versteckte Einstellung "security.enterprise_roots.enabled"

  • Ein Beitrag in Camp-Firefox.de hat mich heute an etwas erinnert, das die Lösung für die typischen Probleme mit AV-Lösungen sein könnte.


    Mozilla hat im Firefox bereits mit Version 49 die Option "security.enterprise_roots.enabled" eingeführt. Damit ist es möglich, Zertifikate aus Windows automatisch in den Firefox zu übernehmen. Siehe https://wiki.mozilla.org/CA/AddRootToFirefox

    Diesen Schalter gibt es auch im Thunderbird. Ob er dort eine Wirkung hat, weiß ich nicht. Da ich nicht von der Problematik betroffen bin, werde ich nicht im Detail testen.


    Wenn das aber tatsächlich dazu führt, dass dem Windows hinzugefügten CAs automatisch vertraut wird, dann sollte ein einfaches Umlegen dieses Schalters auf true viele der Probleme lösen, die in Zusammenhang beim Thunderbird mit dem Untersuchen von Mails bereits beim Empfangen entstehen,


    Ich benutze den Konjunktiv und schreibe sollte, weil ich davon ausgegangen wäre, dass eine so einfache Lösung sich hier und erst recht im Camp-Firefox herumgesprochen haben sollte.


    Weiß hier jemand mehr zu "security.enterprise_roots.enabled" im Thunderbird?


    Noch ein Nachtrag:


    Was mich auch etwas stutzig macht. Für die Hersteller von AVs wären es damit recht einfach. Sie bräuchten zusätzlich zu der Installation der Zertifikate in den Store von Windows, was sie ja sowieso machen, für Firefox und Thunderbird nur noch für jedes Profil eine user.js anlegen bzw. ergänzen.

    Dazu müsste man aus der profiles.ini für jeden User auslesen, wo sich die Profile befinden. Das wäre kein kompliziertes Unterfangen. Die Benutzer wären dafür das Thema Zertifikate los.

    Einmal editiert, zuletzt von Ruhezone ()

  • Ruhezone

    Ich habe aus dem Beitrag mal ein eigenes Thema gemacht.


    Ein paar (weitere) Infos/Bugs für den Einstieg ins Thema:

    https://wiki.mozilla.org/CA/AddRootToFirefox

    https://discourse.mozilla.org/…enabled-actually-do/28800


    https://bugzilla.mozilla.org/show_bug.cgi?id=1427248

    https://bugzilla.mozilla.org/show_bug.cgi?id=1473573

    https://bugzilla.mozilla.org/show_bug.cgi?id=1462279


    Ich habe es jetzt noch nicht getestet, aber das könnte auch in Thunderbird funktionieren - zumindest gibt es dort ebenfalls die versteckte Pref und der zugrunde liegende Programmcode sollte identisch sein, denke ich.


    Letztlich könnte das mal ein User mit Avast ausprobieren, die das Root-Zertifikat von Avast (noch) nicht in Thunderbirds eigenen Zertifikatspeicher installiert/importiert hat.