Firefox 3 dank A-Trust nicht für e-Government geeignet
Romans Blogeintrag hat mich dazu bewogen, auch endlich einmal einen Blick auf den neuen Firefox 3 (RC3) zu werfen.
Besonders interessant war/ist für mich im Zusammenhang mit dem FF3 natürlich die SSL-Verwaltung. Dazu mal ein wenig Info vorab:
Laut dem Dokument „Sicherheitsstufen für die Kommunikation Bürger – Behörde im Bereich e-Government” (PDF) der Stabsstelle IKT-Strategie des Bundes muss/sollte bereits in der „Sicherheitsstufe I, kein besonderer Sicherheitsbedarf” eine serverseitig authentizierte TLS-Verbindung mit mindestens 100 Bit effektiver Schlüssellänge und einem Zertikat mit Verwaltungseigenschaft angewendet
werden. In der Praxis bedeutet das, dass alle .gv.at Domains eigentlich nur per SSL/TLS (also mit https://) erreichbar sein sollten. Die Praxis zeigt, dass die Behörden das dafür notwendige Serverzertifikat nicht bei einem internationalen Anbieter beziehen, sondern bei der Fa. A-Trust.
Mit besagter Firma verbindet mich ja – auch aus beruflichen Gründen – schon länger eine „spezielle Freundschaft”.
Bereits seit 2004 sind beim Mozilla-Projekt „Bugs” offen, um endlich die die A-Trust Stammzertifikate in den Firefox zu bekommen. Beim Internet-Explorer/Windows sind sie seit Jahren dabei. Aber sowohl Bug 252610 – Add a.trust CA Certificate to builtin certificates vom 2004-07-22, als auch Bug 373746 - Add a.trust CA Certificate to builtin certificates vom 2007-03-13 sind bislang ohne Erfolg geblieben. Die A-Trust Stammzertifikate sind auch im neuen Firefox 3 nicht drinnen.
Was das schon bis jetzt sehr mühsam, wird es nun mit dem Firefox 3 noch schlimmer. Kennt der Browser die Stammzertifikate nicht, wie etwa bei den Seiten der A-Trust oder bei allen gv.at Seiten, wird nun anstelle der Website folgendes Fenster angezeigt:
Ja, das kommt bei jeder e-government Site, die ein A-Trust Zertifikat verwendet. Super nicht? Traut sich der User dann, eine Ausnahme hinzuzufügen, oder wird ihm das gesagt, kommt folgender Dialogfenster zum Einsatz:
„Seriöse Banken, Geschäfte und andere öffentliche Einrichtungen werden Sie nicht bitten, derartiges zu tun.” – ROTFL. Ich versteh ja, warum die FF-Entwickler das eingeführt haben und ich bin auch sehr dafür, aber ich fürchte mich schon vor dem Tag, wenn mich der erste Kunde anruft und mit dem Text konfrontiert.
Ach ja, und was meint die A-Trust eigentlich dazu? Die meint in Ihrem Forum lapidar:
Opera 8 sowie Mozilla haben ihren eigenen Zertifikat Store, in diesen die A-Trust Zertifikate bei der Auslieferung nicht integriert sind. Daher erhalten Sie eine Fehlermeldung beim Aufruf der www.a-trust.at. Um dies zu verhinden können Sie unsere Root-Zertifikate von unsere Homepage downloaden und händisch in den Browser importieren.
JEDER, der schon einmal mit echten ONUs zu tun gehabt hat kann sich ungefähr vorstellen, was das für einen Aufwand bedeutet, wenn man das einem User erklären und ihn durch die „tolle” Anleitung der A-Trust – wenn man sie überhaupt findet (sicht sie mal auf der Homepage – durchsprechen muss.
Nun gibt es auch noch Firefox-Erweiterung „a.trust Tools”, durch die a.trust Stammzertifikate und Zwischeninstanzzertifikate einfach installiert werden können. Mit dem Firefox 2 funktionieren die recht gut und ermöglichen es auch DAUs, realtiv schnell und einfach die fehlenden Zertifikate in den Firefox zu importieren.
Nutzt man diese Erweiterung nun aber im Firefox 3, so kommt bereits bei der Installation folgende Fehlermeldung:
„a.trust Certificate Manager” wird nicht installiert, da es keine sicheren Updates anbietet
– super, oder? Nicht mal mit dem Werkzeug der A-Trust kann man dem Firefox 3 die A-Trust Zertifikate „beibringen”.
Fazit: Mit einem Marktanteil von etwa 15 Prozent ist der Firefox kein Nischenprodukt mehr, das man so einfach ignorieren kann/sollte – vor allem wenn man das e-Government pushen will, wie es die Bundesregierung ja gerne will, sollte man auch die Gruppe der Techniker/Geeks nicht ignorieren, die a) noch am Ehesten einen nicht-IE Webbbrowser installiert haben und b) ev. auch noch am wenigesten Scheu hätten, e-Government Lösungen zu nutzen. Meiner bescheidenen Meinung nach müssten RTR, A-SIT, die Plattform Digtales Österreich und/oder das Bundeskanzleramt der A-Trust massiv auf die Zechen steigen, damit da endlich was weiter geht.
Tagged as: a-trust, a.trust, firefox, rant, ssl, zertifikate | Author: Martin Leyrer
[Sonntag, 20081005, 21:03 | permanent link | 5 Kommentar(e)
*kopfschüttel*
Wie hoch ist der Firefox-Anteil eigentlich hier bei Dir? Bei vistablog ist er derzeit (laufendes Monat) bei beachtlichen 38%.
42.3 % für den Firefox. Aber das ist für mich nicht repräsentativ. Ich hab mit 15 Prozent die kleinste "publizierte" Zahl genommen, um auf der sicheren Seite zu sein.
ad browser:
bei mir:
FF 55% , IE 36%
aber auch nicht wirklich repräsentativ.
zum eigentlichen problem:
let's kick someone's ass... es geht mir hier weniger um den FF per se, sondern um die einstellung allgemein.
Tja, wenigstens bmf.gv.at funktioniert ohne Fehlermeldung, wäre ja noch schöner gewesen, wenn Finanonline gestreikt hätte.
Ja, weil die ein Zertifikat von Thawte verwenden und nicht von der A-Trust.
Wenn Du aber auf "Loge mit Bürgerkarte" (sollte wohl "Login" heißen) gehst, hast Du schon das Problem, weil da ein A-Trust Zertifikat hinein spielt.
Comments are closed for this story.