Firefox Add-Ons und Plugins deaktiviert

Alter Add-On-Typ: Diese Erweiterungen erfüllen nicht die aktuellen Standards von Firefox und wurden deshalb deaktiviert. Weitere Informationen über Änderungen bei der Unterstützung von Add-Ons für Firefox.

Da schaltet man am Samstag den PC ein und stellt fest, dass alle Firefox Add-Ons bzw. Plugins deaktiviert wurden. Da hat der Herr Mozilla anscheinend vergessen ein Zertifikat zu verlängern, welches die Add-Ons prüft:

https://twitter.com/mozamo/status/1124484255159971840

Das eigentliche Sicherheitsfeature zur Überprüfung der Plugins sollte sich im „about-config“ des Mozilla Firefox‘ deaktivieren lassen. Dazu in der Adresszeile about:config öffnen und nach „xpinstall.signatures.required“ Suchen sowie den Wert von „true“ auf „false“ stellen. Ich würde es allerdings nicht machen, da der Fehler wohl schnell behoben werden sollte. BTW. hilft das Ändern von „xpinstall.signatures.required“ nur bei den Nightly und/oder Developer Versionen des Firefox‘.

Weitere „Infos“ neben Twitter auch im Mozilla Forum: (https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047/1), sofern es erreichbar ist ;):

Mozilla Too Many Requests
Mozilla Too Many Requests

Ein kleines Update aus dem Mozilla Forum von kurz vor 13 Uhr:

12:50 p.m. UTC / 03:50 a.m. PDT: We rolled-out a fix for release, beta and nightly users on Desktop. The fix will be automatically applied in the background within the next few hours, you don’t need to take active steps.
In order to be able to provide this fix on short notice, we are using the Studies system. You can check if you have studies enabled by going to Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies.
You can disable studies again after your add-ons have been re-enabled.
We are working on a general fix that doesn’t need to rely on this and will keep you updated.

https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047/14

Wer also in den „Einstellungen“ -> „Datenschutz & Sicherheit“ -> „Datenerhebung durch Firefox und deren Verwendung“ den Haken bei „Firefox das Installieren und Durchführen von Studien erlauben“ gesetzt hat, kann jetzt bereits wieder mit seinen Add-Ons loslegen. Alle anderen müssen noch ein wenig Geduld haben. Ggfs. den Haken kurz setzen, „patchen“ und Haken wieder entfernen. 🙂

Firefox das Installieren und Durchführen von Studien erlauben
Firefox das Installieren und Durchführen von Studien erlauben

Noch ein Update zum Extended Support Release (ESR) Kanal:

Gestern, am 05.05., hat Mozilla dann noch die 60.6.2 mit dem passenden Fix für den Firefox ESR Kanal veröffentlicht: https://www.mozilla.org/en-US/firefox/60.6.2/releasenotes/

Windows Zertifikatsspeicher unter Firefox nutzen Part II

Hier ein kleines Update zum Beitrag wie der Windows Zertifikatsspeicher im Firefox Browser genutzt werden kann.

Um es ganz kurz zu halten: Mozilla hat dem Firefox ab der Version 60 beigebracht mit Gruppenrichtlinien umzugehen. Yay! 🙂 Dazu einfach die ADMX Templates von github (https://github.com/mozilla/policy-templates/releases) laden und in den zentralen Richtlinienspeicher (PolicyDefinitions Ordner (\\<Domain DNS Name\SYSVOL\<Domain DNS Name>\Policies\PolicyDefinitions)) kopieren. Im Anschluss die Gruppenrichtlinienverwaltung (gpmc.msc) starten, in der Computer- und / oder Benutzerkonfiguration in die administrativen Vorlagen wechseln und Mozilla -> Firefox -> Zertifikate -> Windows Zertifikatsspeicher benutzern -> Aktivieren.

Wie man sehen kann lässt sich die Einstellung „security.enterprise_roots.enabled“ im about:config-Tab nicht mehr ändern und diese erhält durch die Richtlinie den Status „gesperrt“.

Neben der Aktivierung des Windows Zertifikatsspeichers im Firefox können die Richtlinien noch ein wenig mehr wie zum Beispiel die Ausführung von Flash nur auf bestimmten Seiten zulassen oder den Zugriff auf Kamera, Mikrofon und Standort steuern. Eine vollständige Liste gibt es ebenfalls auf github bzw. im ZIP File mit den GPO Templates: https://github.com/mozilla/policy-templates/blob/master/README.md

Windows Zertifikatsspeicher unter Firefox nutzen

Mit dem Firefox Browser der eigenen Enterprise CA bzw. den Zertifikaten im Windows Zertifikatsspeicher vertrauen.

In einem Kundenprojekt gab es den Bedarf an einer zweistufigen Public Key Infrastruktur sowie der Nutzung des Firefox Browsers. Zum Einen gab es hier die Herausforderung dem Firefox beizubringen den Windows Zertifikatsspeicher zu nutzen sowie zum Anderen diese Einstellung nach Möglichkeit automatisiert auszurollen.

Update: Ab Version 60 versteht der Mozilla Firefox Gruppenrichtlinien – Juchuu!

Damit der Firefox Browser den per GPO verteilten Zertifikaten (Computer Konfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen bzw. Zwischenzertifizierungsstellen) vertraut muss im Firefox im about:config Tab die Nutzung der Enterprise Roots aktiviert werden.

Um die guten Schuhe zu schonen wird jetzt ein Weg benötitig, diese Einstellung zu verteilen. Dazu wird ein GPO oder ein Start-Up-Script benötigt welches eine js-Datei ins Firefox Programmverzeichniss (C:\Program Files (x86)\Mozilla Firefox\defaults\pref) kopiert. Als Beispiel die Verteilung per GPO:

Dazu eine Freigabe erstellen in der die Computerkonten bzw. die „Authentifizierten User“ Lesen dürfen sowie ebenfalls das NTFS Recht „Lesen“ besitzen.

Im Ordner eine „EnableRoot.js“-Datei anlegen

/* Windows Zertifikatsspeicher nutzen */
pref("security.enterprise_roots.enabled", true);

GPO erstellen welche mit der entsprechenden Computer-OU verlinkt ist und unter Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Dateien eine „neue Datei“ erstellen sowie eine Zielgruppenadressierung für x64 bzw. 64 Bit Systeme hinzufügen:

Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Zieldatei: C:\Program Files (x86)\Mozilla Firefox\defaults\pref\EnableRoot.js
Select * from Win32_Processor where AddressWidth = ’64‘

Gruppenrichtlinien Einstellung (Group Policy Preference) für 64-Bit

Für die älteren x86 bzw. 32 Bit Clients folgende „neue Datei“ samt Zielgruppenadressierung erstellen:

Quelldatei(en): \\<Server>\<Freigabe>\EnableRoot.js
Zieldatei: C:\Program Files\Mozilla Firefox\defaults\pref\EnableRoot.js
Select * from Win32_Processor where AddressWidth = ’32‘

Gruppenrichtlinien Einstellung (Group Policy Preference) für 32-Bit
Gruppenrichtlinien-Einstellungen und Zielgruppenadressierung
Gruppenrichtlinien-Einstellungen und Zielgruppenadressierung

Im Worst-Case den Client einmal durchbooten, sofern es ein neues GPO ist oder per „gpupdate“ die Gruppenrichtlinien erneut anwenden.