NSS 3.59 bricht mit SHA-1: Firefox Addons betroffen

Kleine Warnung, falls Ihr auf Eurem System nss zur kryptografischen Absicherung einsetzt, und das werden einige von Euch sein: Eure Firefox Addons werden nicht mehr funktionieren.

NSS 3.59 bricht mit SHA-1: Firefox Addons betroffen

Wer auf seinem System nss drauf hat, sollte sich auf einige gefasst machen. Wenigstens für Fedora wurde die Policy von nss mit der Version 3.59 so verschärft, daß keine Checksummen mehr mit SHA-1 erlaubt sind. Das wirkt sich dramatisch auf Plugins von Firefox aus, da dort noch viele Addons unter Verwendung von SHA-1 signiert sind.

Fedora hat die Verteilung von nss 3.59 daher vorläufig eingestellt.

Falls bei Euch bereits nss 3.59 in der verschärften Version installiert ist und Eurer Firefox über die Addons meckert, dann gibt es leider nur einen Weg: alle Addons löschen und frisch installieren.

Ein Rücksichern alter Firefoxprofile und downgraden von nss ist laut Berichten auf der Fedora Mailingliste leider nicht unmittelbar von Erfolg gekrönt. Möglicherweise wird Löschen und neuinstallieren der einzige Weg bleiben.

Firefox Addon Bug geht in Runde 2

Oh ja, Ihr dachtet es wäre vorbei? Der Zertifikatbug bei Mozilla wäre behoben? Weit gefehlt! Muahahar

Gegen 23:10 Uhr MESZ: Rückspiel

kam der Gegenschlag. Mozilla hat seit einigen Stunden signalisiert, daß das Problem behoben wäre. Mozillas Automatismus sollte das Problem genauso leicht beheben, wie es verursacht wurde.

Leider flogen gerade (23:10 Uhr) alle Plugins wieder in den Legacy Modus und liessen sich nur durch das Aktivieren und erneute Deaktivieren des KeySignings wieder zum Laufen bringen!

Also erneuerte Anleitung:

In der about:config einfach die Signaturenprüfung wieder anschalten:
xpinstall.signatures.required = true

und wieder abschalten:
xpinstall.signatures.required = false

Der FireFox braucht nicht neugestartet zu werden, aber die einzelnen Tabs müssen ggf. neu geladen werden.

1.Update: 5.5.2019

FireFox für Android schaltet alle Addons in den Legacy-Modus um, auch hier hilft wieder der Workaround von oben. Spannend daran ist, daß FireFox das erst beim Zweiten Start heute morgen gemacht hat. Aus Entwicklersicht ist das etwas merkwürdig.

2.Update: 6.5.2019

Seit gestern kursiert die FireFox Version 66.0.4 durch die Medien, diese soll das Problem jetzt endgültig lösen.

3.Update: 6.5.2019 15:00 Uhr

Ganz frisch aus dem Build Ofen von Fedora, FireFox 66.0.4-1 FC28 … geht!

Download:

Fedora 28: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672367
Fedora 29: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672363
Fedora 30: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672350

Firefox Bug schaltet Plugins ab

3.UPDATE zum aktuellen Firefox-AddOn-Signing-Problem

\o/ Der Workaround aus Update 1 lässt auch Neuinstallationen wieder zu:

Armagadd-on-2.0 abgewendet 😀

2.UPDATE zum aktuellen Firefox-AddOn-Signing-Problem

Der Discourse Server von Mozilla mit den Infos zum aktuellen Firefoxproblem ist immer noch down bzw. überlastet, aber der Bugtracker ist erreichbar. Da könnt Ihr entnehmen, wenn es wieder „normal“ geht.

Und ich habe gestern, oder wars schon vorgestern, noch über den Umzug von AskFedora zum eigenen Discourseserver erzählt. Soooo belastbar scheinen die nicht zu sein, denn Mozilla kann sich bestimmt einen Cluster davon leisten 😉

1.UPDATE

Man kann doch was machen. In der about:config einfach mal die Signaturenprüfung abschalten:

xpinstall.signatures.required = false

und Firefox neustarten. Im Anschluß sind die Plugins wieder da. Voilà.

Hauptmeldung

Na, heute Morgen auch beim Start von Firefox die Meldung bekommen, daß einige oder alle Plugins nicht mehr zur Verfügung stehen ? Man könnte ihn den Quantum-Bug nennen 🙂

„One or more installed add-ons cannot be verified and have been disabled“

Was ist passiert? Ein Zertifikat für die Plugin und Extentionverwaltung ist abgelaufen und hat damit alle Plugins/Extentions effektiv als Legacy gekennzeichnet. Wer jetzt hofft, daß ein einfach Neuinstallieren der Addons hilft, weit gefehlt. Das führt nur zu weiteren Fehlern.

Wer auf dem Laufenden bleiben will bekommt … „429 Too Many Requests“. genau, die Mozilla Webseiten werden grade mit Anfragen geflutet! \o/ Das Internet im Partymodus!!! Verzweiflung macht sich breit! Die Familienadmins bekommen Anrufe von Leuten, die Sie nicht mal an Weihnachten zu Gesicht bekommen! Wenn Mozilla Mist macht, dann merkt man das richtig!

Mozilla arbeitet an einem Fix, aber bis der verteilt ist, kann es noch eine Weile dauern. Siehe unten.

Impakt

NoScript abgeschaltet! Hacker & Tracker freut Euch! NoScript UMatrix und alle anderen Schutzaddons sind tod!

Was könnt Ihr tun?

Nichts! Laßt es einfach. Das ist von Mozilla verursacht worden, ergo wird es auch dort gelöst.

Infos

Bugtracker: https://bugzilla.mozilla.org/show_bug.cgi?id=1548973
Mozilla Forum: https://discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047