Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Tracking Risiko durch seltsame SSL/TLS Cipherauswahl

Wenn der Browser eine SSL-verschlüsselte Verbindung zu einem Webserver auf­bauen will, dann sendet er Liste der unterstützten TLS-Features, Cipher und der nutzbaren elliptischen Kurven für EC-Crypto. Die Reihenfolge und der Inhalt der Listen ist unterschiedlich für verschiedene Browser und Browser Versionen. Das sieht etwas kryptisch aus, man kann sich auf verschiedenen Webseite aber auch anzeigen lassen, was es bedeutet. SSL-Client Info für Firefox 45:
Firefox 45 Cipher
Wenn man an den SSL-Ciphern rumspielt und schwache Cipher wie 3DES deaktiviert, kreiert man möglicherweise ein individuelles Erkennungsmerkmal anhand dessen man beim Aufruf einer verschlüsselten Webseite wiedererkennbar ist.

Deshalb empfehlen wir keine Manipulationen an den verwendeten Ciphern. Besser ist es, einen aktuellen Firefox bzw. Firefox ESR zu verwenden und es bei den Einstellungen der Entwickler der NSS Crypto Lib zu belassen.

Empfohlene Einstellungen zur SSL/TLS Konfiguration

Zur Verbesserung der Sicherheit kann man unter "about:config" folgende Variablen anpassen. Das Ergebnis kann man im Browser Test von Qualsys SSL Labs überprüfen. 
  1. Strenges Certifikate Pinning erwingen:
    security.cert_pinning.enforcement_level= 2
    Mit dieser Einstellung wird festgelegt, dass die Webseiten, für die im Code von Firefox eine bestimmte CA festgelegt wurde, eine HTTPS-verschlüsselte Verbindung nur mit einem Zertifikat aufbauen können, das von dieser CA signiert wurde. Neben den Webseiten vom Mozilla betrifft es Google, Youtube, Twitter, TorProject, Dropbox u.a.

    Die empfohlene Einstellung schützt gegen Man-in-the-Middel Angriffe mit falschen Zertifikaten. Wenn Webseiten mit dieser Einstellung nicht aufrufbar sind, dann sitzt ein Man-in-the-Middle in der TLS-Verschlüsselung (das kann z.B. ein Virenscanner sein).
  2. Insecure Renegotiation verbieten:
    security.ssl.require_safe_negotiation  = true
    security.ssl.treat_unsafe_negotiation_as_broken  = true
    Insecure Renegotiation wird seit 2009 als schwerwiegender Bug des SSL-Protokoll eingestuft. Tools zum Ausnutzen der Insecure Renegotiation gibt es auch als OpenSource (z.B. dsniff). Ein Angreifer kann Login Credentials stehlen ohne die SSL-Verschlüsselung knacken zu müssen.
  3. Mixed Content verbieten (keine unverschlüsselten Inhalte in HTTPS-Webseiten)
    (Die Bildersuche von einigen Suchmaschinen funktioniert dann nicht mehr.)
    security.mixed_content.block_display_content  = true
    security.mixed_content.block_active_content= true
Lizenz: Public Domain