Firefox blockiert eine Verbindung, sobald ein Problem mit dem SSL-Zertifikat der besuchten Website erkannt wird. Der Browser zeigt dann eine Fehlermeldung wie “Ihre Verbindung ist nicht sicher” oder “Sichere Verbindung fehlgeschlagen” an, die den Zugriff auf die Seite verhindert. Dieses Verhalten schützt die Daten des Benutzers, stellt jedoch ein konkretes Problem dar, wenn die betroffene Website ein internes Tool, ein Netzwerkgerät oder ein selbstgehosteter Server ist, dessen Zertifikat legitim, aber nicht anerkannt ist.
SSL-Filterung durch Antivirus: die ignorierte Ursache für Firefox-Blockierungen
Die meisten Anleitungen zu diesem Thema verweisen sofort auf die Einstellungen des Browsers. Bevor Sie in Firefox etwas ändern, sollten Sie überprüfen, ob eine Drittanbietersoftware den HTTPS-Verkehr abfängt.
Ergänzende Lektüre : Eine leistungsstarke Website erstellen: Die Anbieter, die man kennen sollte
Sicherheitssoftware wie ESET, Kaspersky oder Bitdefender integriert ein SSL/TLS-Filtermodul, das den verschlüsselten Inhalt analysiert, indem es sich zwischen den Browser und den entfernten Server schaltet. Dieser Mechanismus ersetzt das ursprüngliche Zertifikat der Website durch ein vom Antivirus generiertes Zertifikat. Firefox, der sein eigenes Zertifikatsspeicher verwaltet (im Gegensatz zu Chrome oder Edge, die den von Windows verwenden), erkennt dieses Zwischenzertifikat nicht und löst den Fehler aus.
ESET dokumentiert dieses Verhalten und empfiehlt als vorübergehende Lösung, die SSL-Protokollanalyse zu deaktivieren in den Einstellungen der Sicherheitssoftware, um den Zugriff auf HTTPS-Websites wiederherzustellen. Das Verfahren variiert je nach Anbieter, aber das Prinzip bleibt gleich: Suchen Sie die Option zur Webfilterung oder SSL-Inspektion, deaktivieren Sie sie und starten Sie Firefox neu.
Ebenfalls empfehlenswert : Sportwagen: Wie wählt man das richtige Modell aus?
Wenn der Fehler nach dieser Maßnahme verschwindet, liegt das Problem weder an der Website noch am Browser. Es ist dann möglich, die SSL-Filterung wieder zu aktivieren und Firefox zu den Ausnahmen des Antivirus hinzuzufügen oder das Root-Zertifikat der Sicherheitssoftware in den Firefox-Speicher zu importieren. Das detaillierte Verfahren zum Erlauben einer unsicheren Verbindung in Firefox behandelt auch diese Art der Konfiguration auf der Browserseite.
about:config-Seite von Firefox: Minimale TLS-Version ändern
Seit Firefox 91 verlangt der Browser TLS 1.2 als minimale Version des Verschlüsselungsprotokolls. Websites, die noch mit TLS 1.0 oder TLS 1.1 arbeiten, werden blockiert, ohne den Button “Risiko akzeptieren und fortfahren” anzuzeigen, den die Benutzer in früheren Versionen kannten.
Um auf eine Website zuzugreifen, deren Server TLS 1.2 nicht unterstützt, führt kein Weg an dem erweiterten Konfigurationseditor von Firefox vorbei.
- Geben Sie about:config in die Adresszeile ein und bestätigen Sie. Akzeptieren Sie die Warnung, indem Sie auf “Risiko akzeptieren und fortfahren” klicken.
- Durchsuchen Sie die Einstellungen nach dem Parameter security.tls.version.min. Der Standardwert ist 3, was TLS 1.2 entspricht.
- Ändern Sie diesen Wert auf 1 (TLS 1.0) oder 2 (TLS 1.1), je nach Protokoll, das vom Zielserver verwendet wird, und laden Sie die Seite der betreffenden Website neu.
- Nachdem die Sitzung beendet ist, setzen Sie den Wert wieder auf 3, um das normale Sicherheitsniveau des Browsers wiederherzustellen.
Diese Maßnahme setzt den Browser vorübergehend Protokollen aus, deren Schwachstellen dokumentiert sind. Halten Sie sie nur so lange aktiv, wie es unbedingt notwendig ist, und nur in einem vertrauenswürdigen Netzwerk.
Warnung zu unverschlüsselten Passwortfeldern deaktivieren
Firefox zeigt auch ein durchgestrichenes Schloss und eine Warnmeldung an, wenn sich ein Anmeldeformular auf einer HTTP-Seite befindet. Dieses Verhalten, das sich von der Zertifikatfehlermeldung unterscheidet, kann über about:config mit dem Parameter security.insecure_field_warning.contextual.enabled gesteuert werden. Das Setzen auf “false” entfernt die visuelle Warnung auf den Eingabefeldern. Der Parameter security.insecure_password.ui.enabled, der auf “false” gesetzt wird, entfernt zusätzlich das Warnsymbol in der Adresszeile.
Selbstsigniertes Zertifikat und Fehler SEC_ERROR_UNKNOWN_ISSUER in Firefox
Fehler wie SEC_ERROR_UNKNOWN_ISSUER oder SSL_ERROR_BAD_CERT_DOMAIN treten auf, wenn Firefox die Zertifizierungsstelle (CA), die das Zertifikat der Website ausgestellt hat, nicht in seinem internen Speicher findet. Dieser Fall tritt häufig bei Verwaltungsoberflächen von Routern, NAS, lokalen Servern oder Unternehmensanwendungen auf, die selbstsignierte Zertifikate verwenden.
Auf der Fehlerseite bietet Firefox manchmal einen Button “Erweitert” und dann “Risiko akzeptieren und fortfahren” an. Diese Option fügt eine permanente Sicherheitsausnahme für die Website hinzu. Im Gegensatz dazu lösen einige sehr veraltete oder fehlerhaft formatierte Zertifikate diese Option nicht aus, und der Button erscheint einfach nicht.
Ausnahmen für Zertifikate manuell verwalten
In diesem Fall ist es möglich, die Ausnahme über die Browsereinstellungen hinzuzufügen. Öffnen Sie das Firefox-Menü, dann Einstellungen, Datenschutz und Sicherheit, scrollen Sie bis zum Abschnitt Zertifikate und klicken Sie auf “Zertifikate verwalten”. Der Tab “Server” ermöglicht es, manuell eine Ausnahme für eine bestimmte URL hinzuzufügen.
Die dauerhafte Lösung liegt jedoch auf der Serverseite. Aktuelle Hosting-Anleitungen empfehlen, selbstsignierte Zertifikate durch ein anerkanntes Zertifikat zu ersetzen, beispielsweise über Let’s Encrypt, das kostenlose und automatisierte Zertifikate bereitstellt. Auch die Behebung von Mixed-Content-Problemen (Ressourcen, die über HTTP auf einer HTTPS-Seite geladen werden) gehört zu den Voraussetzungen, damit Firefox die Verbindung ohne Warnung akzeptiert.
Wenn das Problem von Datumssystem oder Netzwerk kommt
Firefox überprüft die zeitliche Gültigkeit des Zertifikats, indem er sich auf die Systemuhr stützt. Ein falsches Datum oder eine falsche Uhrzeit auf dem Computer reicht aus, um ein perfekt gültiges Zertifikat ungültig zu machen. Die Fehlermeldung erwähnt dann oft ein inkonsistentes Ablaufdatum. Das Überprüfen der Datum- und Uhrzeiteinstellungen von Windows oder macOS und das Aktivieren der automatischen Synchronisierung behebt diese Art von Blockierung in wenigen Sekunden.
Unternehmensnetzwerke, Hotspot-Portale von Hotels oder öffentlichen WLANs verursachen ebenfalls Zertifikatfehler. Die Firewall oder der Proxy fängt die HTTPS-Verbindung ab und präsentiert sein eigenes Zertifikat, das Firefox ablehnt. In dieser Situation kann es manchmal helfen, zuerst auf eine einfache HTTP-Website (ohne S) zuzugreifen, um die Anmeldeseite des Hotspot-Portals auszulösen, nach der die HTTPS-Navigation normalerweise wieder fortgesetzt wird.
Die Änderung der Sicherheitseinstellungen von Firefox bleibt ein letzter Ausweg, nicht reflexartig. Zuerst zu identifizieren, ob die Ursache der Blockierung das Antivirus, das Netzwerk, die Systemuhr oder der Server selbst ist, vermeidet es, den Schutz des Browsers für ein Problem zu verringern, das anderswo gelöst werden kann.