Probleme mit Avast und AVG: Mozilla stellt Verteilung von Firefox 65 für Windows ein

Mozilla hat die Verteilung von Firefox 65 für Windows gestoppt. Grund ist ein Kompatibilitätsproblem mit bestimmten Antivirenanwendungen. Betroffene Nutzer erhalten beim Besuch verschlüsselten Websites eine Warnmeldung, wonach ihre Verbindung nicht sicher sein soll.

Der Fehler tritt offenbar in erster Linie auf Systemen auf, die Sicherheitslösungen von AVG oder Avast ausführen. Beim Aufruf einer per HTTPS verschlüsselten Website behauptet Firefox, das verwendete Zertifikat sei nicht vertrauenswürdig. Laut Mozillas Bugzilla-Seite wird das Problem durch eine HTTPS-Filter-Funktion von Avast und AVG ausgelöst. Als Folge können Nutzer keine HTTPS-Websites mit Firefox 65 aufrufen.

Um die Auswirkungen auf Nutzer zu minimieren, entschied Mozilla, vorübergehend die automatische Aktualisierung von Firefox 64 auf die neue Version für Windows-Nutzer auszusetzen. In der Zwischenzeit veröffentlichte Avast, das auch Eigentümer von AVG ist, ein Update für die Viren-Engine der Sicherheitsanwendungen beider Unternehmen. Es schaltet den HTTPS-Filter für Firefox vollständig ab – nicht aber für Browser anderer Anbieter.

HTTPS-Filter sind umstritten. Sicherheitsanbieter nutzen sie, um verschlüsselte Webinhalte auf Schadsoftware zu prüfen. Dadurch wird jedoch die Sicherheit und der Datenschutz von HTTPS-Verbindungen untergraben. Denn der Anbieter der Antivirensoftware ersetzt das Verschlüsselungszertifikat einer Website durch ein selbst generiertes Zertifikat. Dieses wurde durch die Root Authority von Avast signiert und dem Zertifikatsspeicher von Windows und den wichtigsten Browsern hinzugefügt.

Technisch gesehen entspricht dieser Vorgang jedoch einem Man-in-the-Middle-Angriff. Avast konterte die Kritik von Google, Mozilla und anderen Browserherstellern mit dem Argument, dass sich seine Methode von schädlichen Man-in-the-Middle-Angriffen unterscheide.

Mit Firefox 66 könnte sich die Situation weiter verschärfen. Dann wird Mozilla eine Funktion einführen, die Nutzer vor jeglichen Apps warnt, die Man-in-the-Middle-Angriffe starten. Dazu gehört auch der Austausch von Verschlüsselungszertifikaten auf eine „nicht vertrauenswürdige“ Art. Chrome verfügt bereits über eine ähnliche Funktion.