Tags: Zertifikate, Web-Browser, Gruppenrichtlinien
Mozilla stattet Firefox mit einer Datenbank für Zertifikate aus, die ab Werk eine Reihe von Stammzertifikaten enthält. Verteilt man etwa selbstsignierte Zertifikate mittels GPO an Clients, dann bleiben sie deshalb für Firefox unbekannt. Über eine Einstellung kann Firefox aber Zertifikate aus dem Windows-Speicher importieren.
Als Gründe für einen eigenen Zertifikatspeicher in Firefox nennt Mozilla, dass damit ein durchgängig gleiches Benutzererlebnis auf allen unterstützten Betriebssystemen gewährleistet sei.
Außerdem gibt ein eigener Store der Foundation die Kontrolle darüber, welche Zertifizierungsstellen sie als vertrauenswürdig einstuft. Daher waren Anwender nicht betroffen, als PC-Hersteller in der Vergangenheit zweifelhafte CAs in die Root-Zertifizierungsstellen aufnahmen.
Zentrales Management als Manko
Der Nachteil dieser Konstruktion liegt aber auf der Hand: Firefox erfordert ein separates Management der Stammzertifikate, wobei die Tools dafür limitiert sind. Ein Verteilen über GPO, wie es für den Zertifikatspeicher von Windows möglich ist, klappt hier nicht.
Als Lösung bietet Mozilla an, die Stammzertifikate aus dem Windows Certificate Store einzulesen.
Interaktive Konfiguration
Interaktiv lässt sich das bewerkstelligen, indem man in die Adressleiste
about:config
eingibt und nach dem Wegklicken der Warnung einen neuen Schlüssel vom Typ boolean mit dem Namen security.enterprise_roots.enabled anlegt.
Dieser erhält den Wert true. Über den Befehl Umschalten im Kontextmenü dieser Einstellungen kann man den Schlüssel bei Bedaf wieder auf false setzen.
Windows-Zertifikatspeicher über GPO integrieren
In verwalteten Umgebungen kann man Firefox mit Gruppenrichtlinien konfigurieren. Dort gibt es sowohl für die Computer- als auch Benutzerkonfiguration die Einstellung Windows Zertifikatspeicher nutzen. Sie findet sich unter Administrative Vorlagen => Mozilla => Firefox => Zertifikate.
Sobald diese Einstellung über GPO aktiviert ist, wird sie für die interaktive Konfiguration über about:config gesperrt.
Beide Varianten schalten den Firefox-eigenen Speicher nicht ab, sondern lesen nur zusätzlich die Stammzertifikate aus dem Store von Windows ein. Diese werden in der Zertifikatverwaltung von Firefox aber nicht eingeblendet.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren
- Willkommen-Seite in Chrome, Edge und Firefox mit Gruppenrichtlinien blockieren
- Web-Browser als Standardprogramm für E-Mails (mailto-Handler) konfigurieren
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Datenschutz: Cloud-Rechtschreibprüfung in Google Chrome und Microsoft Edge deaktivieren
Weitere Links
1 Kommentar
Danke für den Tipp :-) Auch wenn er schon etwas länger online ist, so ist es prima, einen so gut geschriebenen Tipp nutzen zu können. Alles Gute!