Vor knapp drei Monaten wurde hier über Zertifikatsprobleme mit dem neuen Firefox berichtet: Die von deutschen Hochschulen verwendeteten Webseiten-Zertifikate werden mit bedrohlichen Fehlermeldungen bestraft, weiter kommt nur, wer gefährlich klingende Warnung ignoriert oder umständlich das richtige Zertifikat importiert. Das liegt daran, dass die Unizertifikate vom DFN e.v. (Deutsches Forschungsnetz) ausgestellt werden und der DFN wiederum von der Deutschen Telekom zertifiziert wird, die ein so genanntes Wurzelzertifikat hat, das der Browser eigentlich kennen sollte. Internet Explorer und Opera tun das auch, der Firefox aber (noch) nicht. Der vor im April 2007 angestoßene Anerkennungsprozess zieht sich ohne erkennbaren Fortschritt weiter hin.
Inzwischen gibt es Konsequenzen: Das Rechenzentrum der Uni Köln rät ganz offen vom Firefox 3 ab und empfiehlt Internet Explorer oder Opera.
In der aktuellen c’t (20/08) greift Jürgen Schmidt die neuen Firefox-Verhaltensweisen relativ scharf an und kritisiert die überbewertende Bevorzugung von EV-SSL-Zertifikaten (die im Firefox jetzt mit großem grünen Balken erscheinen, aber fast nur von Banken verwendet werden) sowie „sehr unglücklich gewählten Formulierungen“ bei weiterführenden Informationen.
Schmidts Aussagen zu deutschen Hochschulen sind aber etwas danebengegriffen:
Insbesondere im universitären Umfeld wird viel mit selbst signierten Zertifikaten gearbeitet
Nein! Alle deutschen Hochschule, deren Webangebote ich kenne, bemühen sich intensiv und durch den DFN gut organisiert darum, tadellose Services anzubieten. Gerade deshalb ist die Firefox-3-Telekom-Zertifikats-Problematik (ganz unabhängig von der Schuldfrage) ein ernstes Problem. Immerhin haben Hochschulen in den vergangenen Jahren immer wieder zu Alternativbrowsern wie Firefox geraten – nicht zuletzt aus Sicherheitsbedenken und häufig auch in der Überzeugung, mit quelloffenen Produkten verlässlichere Alternativen für den Lehr- und Wissenschaftsbetrieb zu empfehlen. Schmidts Argument rührt vermutlich von Test- und Projektservern her, die zu Forschungszwecken eingerichtet werden: Die für den Produktivbetrieb vorgehaltenen Angebote deutscher Hochschulen sind aber seit Jahren deutlich professioneller organisiert.
Eine kleine Anmerkung am Rande: In einem Infokasten zeigt der c’t-Artikel das „Zertifikats-Sharing der Fachhochschulen Braunschweig und Wolfenbüttel“ als mögliches Problem. Tatsächlich handelt es sich um eine Hochschule, nämlich die „Fachhochschule Braunschweig-Wolfenbüttel“, die aus Bequemlichkeitsgründen über URLs erreichbar ist, die nur einen der beiden Standorte benennen. Gerade bei Fachhochschulen, die häufig mehrere Standorte haben, kein unübliches Vorgehen. Löst das Problem nicht, wirkt aber mangelhaft recherchiert.
Daher nochmal der Hinweis: Webangebote deutscher Hochschulen, gerade in sicherheitsrelevanten Bereichen, laufen schon seit langem nicht mehr auf Servern, die bei irgendeiner Hilfskraft unter dem Schreibtisch stehen und mit irgendwelchen schludrig ausgestellten Zertifikaten daherkommen. Das Bemühen um Professionalität wird aber durch die aktuelle Firefox-Problematik erschwert und kostet eine Menge Geld (Support, Anleitungen) und vielleicht auch Vertrauen der Nutzer. Das wäre für Firefox und die Hochschulen mehr als schade.
Und bei wem muss man sich beschwerden, dass es bie Firefox noch nicht funktioniert?
Klick auf den Link dort oben 🙂 Ich hab mir nur die letzten paar Beiträge durchgelesen… es ist wohl so, dass Mozilla schon bereit ist, T-Systems zu vertrauen – nicht jedoch deren SubCAs wie zum Beispiel das DFN. Der Grund scheint darin begründet zu sein, dass T-Systems nicht ausreichend dokumentiert hat, was die Auswahlkriterien der SubCAs sind und wie deren Integrität sichergestellt wird.
T-Systems argumentiert in zwei Strängen dagegen. Auf der einen Seite führen sie an, dass auch andere – bereits akzeptierte CAs – diese Einschränkung haben, woraufhin die Entwickler sinngemäßg erwidern, dass es in diesem Thread nur um T-Systems ginge und man doch dafür einen neuen Bugreport aufmachen solle.
Zum anderen bietet T-Systems jedoch an, ihren Prozess genau zu dokumentieren, wenn Mozilla ihnen verbindliche Richtlinien präsentieren würde. Was aber aktuell nicht zu passieren scheint. Ich kann die Telekom da schon verstehen, wer schreibt schon gerne seine Abschlussarbeit, ohne überhaupt zu wissen, worauf der Prüfer wert legt 🙂
Hmm. Wenn ich einige Aussagen hier sehr stark komprimiere kann ich doch sagen: Als Audruck professionellen Services benutzen deutsche Universitäten für produktiv eingesetzte Webangebote vertrauenswürdige Zertifikate, die vom DFN ausgestellt wurden.
Nun habe ich mich gerade auf dem Stud.IP-Server der Universität Göttingen angemeldet und war irritiert. Das Zertifikat stammt von einer universitätseigenen Zertifizierungstelle — also genau das, was Jürgen Schmidt aussagt. Ist jetzt Stud.IP in Göttingen nicht im professionellen oder produktiven Einsatz?
🙂
Stud.IP Göttingen ist zertifiziert von „Universitaet-Goettingen CA“, genauso wie Stud.IP Osnabrück von „Uni-Osnabrueck RZ-CA“ zertifiziert ist. Diese CAs sind wiederum SubCAs von „DFN-Verein PCA“.
Soweit also alles bongo, aber der Stud.IP Server in Göttingen liefert nur sein eigenes Zertifikat aus, daher meckert der FF bei dir. Laut RFC ist die komplette Zertifikatskette erwünscht, aber der OpenSolaris Admin konnte den Apachen noch nicht überreden das so zu handhaben. 🙁
Mit Comondo wär‘ das nicht passiert:
http://blog.startcom.org/?p=145
via fefe.
@ Cybso: Der Antrag von T-Systems wird neu bewerted wann die mit den Korrekturen dann soweit ist..
@ Roland: Comodo Fiasko ist noch nicht vorbei.