Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Firefox 68 krijgt fix voor problemen met antivirus door https-websites

De komende versie van Firefox lost een probleem op waarbij antivirusprogramma's crashen bij het bezoeken van websites met een tls-verbinding. Het probleem speelt al ruim een half jaar, maar wordt nu gerepareerd via een configuratie-aanpassing.

De fix zit in Firefox 68, de nieuwe versie van de browser die op 9 juli uitkomt. In de nieuwe versie zet Firefox automatisch een about:config-instelling genaamd security.enterprise_roots.enabled automatisch aan, waardoor antivirusprogramma's gewoon blijven werken als de gebruiker een https-website bezoekt. Die bug kwam al meer dan zes maanden voor bij verschillende antivirusprogramma's, sinds Firefox 65.

De error zat in het feit dat Firefox bepaalde websites met https-verbinding aanmerkte als mogelijke man-in-the-middle-aanval. Dat komt doordat Firefox in tegenstelling tot de meeste andere browsers een eigen lijst heeft met toegestane certificaten. Daardoor moeten antivirusbedrijven hun software zo updaten dat hun eigen root-certificaten in die lijst komen, anders kan Firefox niet controleren of versleuteld https-verkeer legitiem is of niet. Als dat niet zo is wordt dat verkeer automatisch aangemerkt als gevaarlijk. In sommige gevallen leidde dat er ook toe dat virusscanners helemaal crashten of constant foutmeldingen bleven geven. Dat gebeurde onder andere bij AVG en Avast.

De problemen ontstonden voor het eerst in Firefox 65, dat al in december werd uitgebracht. Mozilla zette de uitrol van de update toen tijdelijk stop. Wayne Thayer, programmamanager van de certificaatautoriteit bij Mozilla, zegt in een blogpost dat het bedrijf aanvankelijk werkte aan een 'Fix it'-knop in de browser waarmee met één klik een root-certificaat kon worden toegevoegd aan Mozilla's eigen lijst zodat de foutmeldingen niet meer zouden voorkomen. Uiteindelijk werd daarvan afgezien en werd er een permanentere oplossing bedacht.

Door Tijs Hofmans

Redacteur privacy & security

02-07-2019 • 09:01

37 Linkedin Google+

Reacties (37)

Wijzig sortering
Eigenlijk dekt de titel, als ik het zo lees, niet helemaal de lading.

Preciezer gezegd: Firefox implementeert workaround om bugs in virusscanners te vermijden.

Zie ook: Disable Your Antivirus Software (Except Microsoft's) (dit is van een ex-Firefox developer), en idem van een Chrome dev: Antivirus is my single biggest impediment to shipping a secure browser.

[Reactie gewijzigd door Wilke op 2 juli 2019 09:15]

Exact. Firefox zijn huidige implementatie wat betreft certificate management met een eigen store is uitstekend vanuit een security standpoint.

Virus scanners willen als het ware een Man-in-the-Middle attack uitvoeren op verbinding naar websites, zodat de content gescant kan worden. Dat is precies wat je normaal gesproken zou willen blokkeren (als het niet om een virus scanner gaat). Wat mij betreft is dit een kwestie van 'bad practice' ten behoeve van mogelijk betere beveiliging.

[Reactie gewijzigd door timvisee op 2 juli 2019 09:34]

Sterker nog: Linux pakket beheerders doen dit al jaren zo op een soortgelijke manier. Het is krom om te gaan stellen dat Firefox hier fout zit. Immers de AVG kan gewoon zijn eigen programma whitelisten.
Wat het had moeten zijn is: Firefox implementeert workaround om bugs in virusscanners te vermijden.
Nee, dat is niet alleen wat hier aan de hand is. Het is wel degelijk Firefox die een issue heeft en afwijkt van wat de andere browsers doen. Dat komt doordat Firefox in tegenstelling tot de meeste andere browsers een eigen lijst heeft met toegestane certificaten. Voor SSL / TLS inspectie is het nodig dat er een ander trusted certificaat geïnstalleerd wordt zodat men ook in ge-encrypte connecties kan kijken of hier malware in aanwezig is. Door de wijze waarop Firefox zelf een afwijkende lijst met toegestane certificaten hanteert werken sommige beveiligingsoplossingen niet of minder goed.

Dat virusscanners als Avast en AVG crashen wanneer een connectie niet tot stand komt is overigens wel kwalijk. Je kan vraagtekens stellen bij de kwaliteit van dergelijke beveiligingsproducten als je deze zo eenvoudig kunt laten crashen. Idealiter wil je juist dat een virusscanner helemaal niet door software uitgezet kan worden of dat deze door 3rd party software crashed.

De blogpost van Robert O'Callahan is bekend en al meerdere keren onderwerp van discussie geweest waarbij zijn standpunten door andere partijen worden weerlegd. Het is een veel aangehaalde rant. Ik lees vooral een hoop frustratie en onderbuikgevoelens in plaats van objectieve feiten waarbij O'Callahan ook nog eens een slecht en soms gevaarlijk advies geeft. De blogpost van O'Callahan is op zijn minst omstreden.

Lees bijvoorbeeld: https://www.kaspersky.com...ivirus-really-dead/13959/

[Reactie gewijzigd door Bor op 2 juli 2019 10:02]

Nee, Firefox heeft een goeie feature, maar blijkbaar kunnen sommige antivirusprogramma's daar niet mee om. Het gaat hier niet om een issue.
Het gaat hier niet om een issue.
Je hebt deels gelijk. Dat een 3rd party product crashed wanneer Firefox een bepaald certificaat niet vertrouwd is inderdaad een issue. Wat echter ook een issue is, is dat breed gebruikte beveiligingsmaatregelen door de afwijkende manier hoe Firefox met vertrouwde certificaten omgaat niet werken waardoor gebruikers worden opgezadeld met niet werkende websites (op zijn best).
Dat MITM certificaten breed gebruikt worden maakt het niet een correcte methode.

Vanuit een veiligheidsoogpunt is het de meest waardeloze methode van security toepassen. Security breken om security toe te passen.

Verder zijn protocollen als HSTS en HPKP totaal zinloos met een MITM. Maar omdat het certificaat geinstalleerd is, worden deze protocollen effectief genegeerd. "omdat het zo nou eenmaal is"
Optimaal is het zeker niet,maar wat is het alternatief? Hoe ga je in gecodeerde connecties kijken zonder iets van certificate replacement te doen? Ik ben benieuwd naar jouw oplossing.
Niet, maar mee (laten) kijken moet een bewuste keuze zijn
En dat is het ook bij de meeste scanners cq alle die ik ken die deze techniek aanbieden. Men geeft in het geval van Bitdefender bijvoorbeeld duidelijk aan dat er een vervangend certificaat geïnstalleerd moet worden en de functie is eenvoudig in- en uit te schakelen.
Bitdefender wel, maar als ik de blogpost van mozilla mag geloven de meesten niet
On Windows, about 60% of Firefox users run antivirus software and most of them have HTTPS scanning features enabled by default.
Het alternatief is heel simpel. Windows Defender kan namelijk prima mijn firefox scannen zonder HTTPS injectie. Uiteraard heeft defender een zeer fijne (waarschijnlijk ongedocumenteerde) SSL hook in de library.

Want daar hoor je te zitten als virusscanner. Nadat de TLS software zijn werk heeft gedaan, de data heeft gedecrypt, kan je het prima scannen. Nee nu krijg je de situatie dat de developers moeilijk doen omdat ze geen documentatie krijgen van MS. Oplossing: kop in het zand en MITM. in plaats van de geijkte kanelen te gebruiken en MS op de knieen te dwingen.

Het huidige resultaat is dat MS maar iets doet en dat norton en co ook maar iets doet, naar elkaar wijst, maar geen echte oplossing komt. En dat is de grootste schande.
Er is momenteel geen alternatief. Windows Defender kan simpelweg geen SSL scannen. Wanneer je malware wilt vinden in SSL / TLS versleutelde datastromen dan zal je deze moeten ontsleutelen.

Als je HTTP verkeer wilt scannen zal je HTTPS dan ook moeten doen? Zeker nu meer en meer malware via deze manier communiceert.

[Reactie gewijzigd door Bor op 3 juli 2019 17:11]

Firefox heeft mij op die manier echter wel al meermaals beschermt tegen een dergelijk MitM. Antivirus begon dit plotseling te doen, zonder enige waarschuwing, vermoedelijk na een update. Doordat firefox dit certificaat blokkeerde kon ik deze functie uitschakelen, en heb ik iets later ook de antivirus eraf gegooid. Plotseling was alles namelijk HTTPS, ook verbindingen naar sites die geen HTTPS hebben.

Ik heb meer vertrouwen in firefox dan in een antivirus pakket, als het erop aankomt van correcte veilige verbindingen op te zetten (rekening houdend met HTTPS, HSTS, ...). Als je antivirus achterliggend HTTP toelaat, of ongeldige HTTPS certificaten, dan ben je er niet veel meer mee. En je browser stopt je dan niet meer, want je hebt het veilige AV certificaat ertussen.
In mijn ESET virusscanner kan ik die HTTPS scanning gewoon uitzetten (wat ik ook gedaan heb). Ik vermoed/hoop dat andere virusscanners ook deze optie hebben.

En dat Firefox waarschuwt voor een Man-in-the-Middle attack is niet zo gek, want dat is exact wat die virusscanners doen. Het is ook de enige manier waarop een virusscanner webcontent kan checken op virussen als je via HTTPS werkt.

Ik heb ook gezien dat dit soort MitM HTTP/2 breekt, en de browser terugvalt op HTTP/1.1, waardoor webpagina's langzamer laden.
Firefox gaat niet met een afwijkende manier om met certificaten. Chrome gebruikt op Windows de certficate store van Windows, net als MSIE/Edge. Firefox heeft een 'eigen' certificate store. Dat heeft voor -en nadelen. Het voordeel is dat Firefox hierdoor eigenlijk veiliger is. Er zijn diverse producten welke een eigen 'root' certificate in de Windows certificate store zetten en daardoor alle SSL/TLS verbindingen kunnen onderscheppen.

Een paar jaar geleden deed Lenevo dit certificaat zelfs standaard installeren op nieuwe computers. Maar ook Fiddler en andere proxies installeren vaak een eigen certificaat, juist met het doel om de communicatie te onderscheppen tussen browser en servers.

Onder Linux werkt Chrome met de certificate list uit /usr/local/share/ca-certificates. Op Android staat de certificate store op weer een andere locatie. Google heeft wat dat betreft dat wat 'overhead' om de code voor de verschillende certificate stores te onderhouden.

Firefox (maar ook Thunderbird) werkt met een eigen trusted root certificate list net als veel andere applicaties. Daarom hebben certificate aanbieders ook een compatibiliteitlijst met daarin de browsers en operating systems welke hun certificaten ondersteunen..

Ik ben een tijdje geleden geswitched van Chrome naar Firefox en op zich bevalt dat wel..
Je spreekt jezelf flink tegen door eerst te zeggen dat dat niet is wat er aan de hand is en daarna te zeggen
Dat virusscanners als Avast en AVG crashen wanneer een connectie niet tot stand komt is overigens wel kwalijk.
Dit is juist het probleem hierin. Niet het hele "ik injecteer certificaten", maar "ik crash wanneer een browser niet mijn certificaat accepteert zoals ik wil". En eerlijk gezegd zie ik liever dat dit vanuit de antivirus wordt gefixt in plaats van dat de schuld wordt doorgeschoven naar Firefox.
Sowieso is er sinds windows 8 al niet echt een reden meer om iets anders dan de meegeleverde virusscan te gebruiken.
Is dat zo? Ik zie betere management mogelijkheden, betere detectie (zeker ten tijde van Windows 8 was de Microsoft oplosing veelal niet in de top 5 van de bekende tests te vinden) en aanvullende zaken als vulnerability scanning als meer dan een goede reden om iets anders dan "de meegeleverde virusscanner" te gebruiken.
De melding die firefox geeft over een 'man in the middle' is volkomen terecht. Dat is het namelijk gewoon.

Virusscanners die je HTTPS verkeer kunnen bekijken.... moet je dat wel willen?
Virusscanners die je HTTPS verkeer kunnen bekijken.... moet je dat wel willen?
Een terechte vraag echter hoe veilig is het alternatief nu meer en meer connecties via SSL / TLS encrypted verbindingen verlopen wat ook een trend in malware is? Pas je geen SSL / TLS inspectie toe dan zet je in feite de mogelijkheid open om gebruik te maken van een tunnel waardoor informatie maar ook malware zich vrijelijk en onzichtbaar kan bewegen.
HTTPS is bedoeld om een man in het midden-aanval te voorkomen. De filosofische vraag is hier wat nog met goed fatsoen het midden genoemd mag worden. Moet je de software op je pc kunnen vertrouwen? De virusscanner zit wel redelijk aan het eindpunt, aan de kant van de gebruiker, en dus niet echt in het midden. Zou het besturingssysteem TLS moeten ontsleutelen zodat allerlei programma's er gewoon bij kunnen, of zou (extreem doorgetrokken) de hardware waar de gebruiker direct gebruik van maakt, dit moeten doen? Zou je toetsenbord elke aanslag moeten versleutelen (denk aan keyloggers) en je beeldscherm verantwoordelijk moeten zijn voor het ontsleutelen (en dus renderen) van webdata (zodat ook schermschrapers niets kunnen inzien)?
Een van de redenen om HTTPS te gebruiken is de integriteit van je connectie.
Bijvoorbeeld door het tonen van een groene balk bij extended validation op belangrijke websites.
Dat elimineer je door gebruik te maken van een certificaat dat van je virusscanner komt.

Met grote regelmaat weet malware onder de radar van virusscanners te blijven en/of zijn ze in staat een virusscanner te disablen.
Hoe weet je nog dat je met de juiste partij spreekt, en dat er geen 'echte' man in the middle meekijkt?
Alleen mijn spyware app kan gebruik maken van datzelfde root certificate en daardoor jouw bank transacties onderscheppen. Inloggen met DigiD? Geen probleem, app toont gewoon het 2FA scherm, echter wanneer jij de code wilt terug sturen grijpt de spyware in..

Keyboard loggers zijn inderdaad ook schadelijk, alleen is een malafide trusted root certificate toch een Keylogger++ zeg maar omdat de spyware als een proxy kan fungeren. Het hoeft helemaal geen keyboard input af te vangen, het vangt simpel de requests af. Stuur jij informatie naar een interessant domein, dan kan zal het ook de response analyseren..

Virusscanners hebben op zich helemaal geen toegang nodig tot de SSL/TLS verbindingen. Virusscanners moeten gewoon het systeem geheugen analyseren en data welke naar disk wordt geschreven. Wil de virusscanner ook op browser niveau werken? Dan moeten ze gewoon een plugin schrijven voor de betreffende browser en die laten communiceren met de locale anti-virus software..

De LastPass weet immers ook wanneer in credential achtige informatie heb ingevoerd. Echter heeft LastPass geen trusted root certificate hack nodig om te werken.

Ik vind het vooral luiheid vanuit AVG/Avast waarbij de programmeurs voor een 'quickfix' hebben gekozen in plaats van een nette oplossing..
Virusscanners moeten gewoon het systeem geheugen analyseren en data welke naar disk wordt geschreven.
Je begrijpt dat je bij het alleen analyseren van het systeemgeheugen mogelijk al te laat bent hoop ik? Het woord virusscanner voldoet eigenlijk al jaren niet meer. Waar we het over hebben zijn malware scanners of security suites welke nog meer functionaliteit bieden als bv intrusion prevention waarbij ook inkomend verkeer wordt gescanned.

Bij alle scanners die ik ken is het mogelijk om SSL inspectie uit te schakelen of staat het default uit. Je hoeft het niet te gebruiken dus.
Virusscanners die zelf achterliggend bepalen of een verbinding veilig is, moet je dat wel willen? Wat als je antivirus scanner self-signed HTTPS certificaten accepteert, of een HTTP verbinding gebruikt om die daarna als HTTPS door te sturen. Wat doe je dan met sites die certificate pinning gebruiken om hun certificaten te laten valideren door de browser. Gaat je AV die headers verwijderen? En wordt die certificate pinning dan nog getest? Een afgebroken verbinding is al genoeg om hun software te laten crashen, dat geeft niet veel vertrouwen in de rest...

Al met al ben ik tevreden dat Firefox gewoon vertrouwde root certificaten heeft, en dat onvertrouwde certificaten geblokkeerd worden. Dat is exact het doel met certificaten, en als AV software ertussen wilt kunnen ze alsnog de gebruiker vragen om het root certificaat te installeren, of specifiek in firefox toe te voegen.
Echter verbindingen opgezet buiten de browser zijn niet relevant, omdat die gebruik kunnen maken van een ander certificaat.

Het is goed dat de optie er komt om "gewoon" gebruik te maken van de windows store, maar dan ben je voor revocation en certificate management weer volledig afhankelijk van Microsoft en ben je ook overgeleverd aan het feit dat Microsoft jan en alleman toevoegt aan hun store zonder al te veel kritiek.

Het is vast afhankelijk van je usecase, maar persoonlijk heb ik liever een beperkt aantal vertrouwde authorities en windows AV dan zeer ingrijpende, vaak nutteloze, speciale AV en honderden vage vertrouwde authorities
Goed dat men heeft ingezet op een meer structurele oplossing dan de voorgestelde "fix-it" knop waarmee de kans groot is dat mensen het doel niet begrijpen of onvoldoende controle uitvoeren voor een certificaat als trusted te markeren. Een fix-it knop waarbij de gebruiker zelf actie moet ondernemen welke niet centraal te regelen is gaat bovendien in een zakelijke omgeving waarschijnlijk niet werken.
@Thijs_ehv Ja. Naast het feit dat je browser zelf al toegang heeft tot die data verloopt praktisch al het verkeer (gelukkig) via https. HTTPS zegt alleen iets over de verbinding zelf, niet de inhoud en daar gaat het juist om bij virusscanners.

edit: verkeerd geplaatst

[Reactie gewijzigd door oef! op 2 juli 2019 09:27]

Ik ben een Firefox en Avast gebruiker en ik heb hier nog nooit van gehoord en de virusscanner is ook nog nooit gecrasht. Kan iemand een voorbeeld geven van een website waarbij dit probleem optreedt?

Ik heb nog een artikel gelezen en blijkbaar betreft het websites waar Firefox met een melding komt: "Software is preventing Firefox from safely connecting to this site". Ook deze melding heb ik nog nooit gehad. Hopelijk kan iemand een voorbeeld geven van een website waarbij deze melding wordt gegeven.

[Reactie gewijzigd door Kamiklase1 op 2 juli 2019 09:53]

Alternatieve formulering: Firefox maakt een mogelijkheid om man-in-the-middle attacks als veilig te kenmerken omdat dat makkelijker is voor antivirusmakers en gebruikers.
Wel vreemd dat FireFox zoveel moeite doet en hun marktaandeel maand na maand blijft wegzakken. Zelfs Edge gaat omhoog deze maand. Het ziet er niet goed uit voor Mozilla.
Dat krijg je als Google extreem agressief hun eigen browser pushed, het is de nieuwe IE
Nu de volgende Edge ook chrome gaat gebruiken blijft er heel weinig over qua concurrentie.
Zou dat het zijn? Ik weet dat onder Tweakers firefox heilig is maar ik zelf heb het nooit een fijne browser gevonden.
Qua user experience zit er feitelijk vrij weinig verschil tussen IE, Chrome en Firefox. Ja firefox is een tijdje wat minder geweest qua geheugen management, maar dat is sinds quantum eigenlijk geen issue meer.

Maar verdwijnende concurrentie is slecht. Als alleen Google overblijft, dan dicteert slechts een bedrijf de toekomst van websites en functionaliteit. In de handen van Google lijkt me dat een zeer slecht plan.
Een kennis van me had laat van Kaspersky Free icm Microsoft Edge. Https sites wilden niet openen. Ben de foutmelding vergeten. Was opgelost door in Kaspersky de scanning van https uit te schakelen. Kaspersky werkt namelijk ook op deze man in the middle manier. Een kwalijke ontwikkeling, het lijkt me een single point of failure.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True