Firefox und x509-Authentifizierung

Nach dem Update auf Firefox 2.0.0.13 wurde meine Toleranz für Passwort-Bestätigungs-Dialoge eindeutig überschritten. Verantwortlich dafür ist die geänderte default-Einstellung, dass vor einer Authentifizierung per x509-Zertifikat stets ein Bestätigungs-Dialog erscheint.

Öffnete ich nun meine “Tagesbeginn-Tab-Liste” mit dailystrips, tt-rss, Server-Monitoring usw. dann durfte ich erst 6 mal OK klicken, nur um Firefox mitzuteilen die eingespeicherten Passworte und Zertifikate auch wirklich zu benutzen. :-/

Grund war, dass bei automatischer Zertifikat-Herausgabe jeder https-Server vom Benutzer unbemerkt das persönliche Zertifikat anfordern und die Metadaten (Name, E-Mailadresse) sammeln kann (Security Advisory 2008-17). Soweit so gut und verständlich dem Problem erstmal vorzubeugen.

Aber jetzt ist es höchste Zeit um konfigurierbar einzelne Zertifikate zu Servern oder URLs zuzuordnen. Wer sein Zertifikat wirklich benutzt wird durch die ständigen Bestätigungsdialoge nämlich auch nur gezwungen die Option wieder auf automatische Herausgabe umzustellen. — Das war jedenfalls meine Reaktion. Bei der Gelegenheit hab ich dann auch die Passwort-Abfrage mit AutoAuth Add-on beseitigt.

Comments are closed.