Entfernen Sie alle Zertifizierungsstellen aus einem Firefox-Profil

Question 1

Gibt es eine Möglichkeit, alle CA-Zertifikate in Firefox zu entfernen?

Firefox verwendet MozillasNSSBibliotheken für sicherheitsrelevante Funktionen wie TLS. NSS verfügt über einen eigenen integrierten CA-Speicher, der von Firefox zum Abrufen der Standard-CA-Zertifikate verwendet wird.

AusHäufig gestellte Fragen (FAQ) von Mozilla:

Die vorinstallierten CA-Zertifikate sind in den folgenden Dateien enthalten:

Windows: libnssckbi.dll

Unix, Linux und andere *nix-Varianten: libnssckbi.so

Mac OS X: Contents/MacOS/libnssckbi.dynlib

Daher ist es nicht möglich, alle CA-Zertifikate zu entfernen, da sie Teil von Firefox selbst sind.

Ist es möglich, allen CA-Zertifikaten jegliche Vertrauenswürdigkeit zu entziehen?

AusHäufig gestellte Fragen (FAQ) von Mozilla:

Wenn Sie einer bestimmten Zertifizierungsstelle (CA) nicht vertrauen, deren Stammzertifikat standardmäßig in Mozilla-Produkten enthalten ist, gibt es zwei Möglichkeiten, das Zertifikat zu deaktivieren.

Deaktivieren Sie die Vertrauensbits für dieses Stammzertifikat.

Löschen Sie das Stammzertifikat.

Das Löschen eines Stammzertifikats, das sich im Standardstammspeicher befindet, entspricht dem Deaktivieren aller Vertrauensbits für dieses Stammzertifikat. Obwohl das Stammzertifikat also wieder im Zertifikatsmanager angezeigt wird, wird es so behandelt, als ob Sie die Vertrauensbits dieses Stammzertifikats geändert und alle deaktiviert hätten.

Wichtig:Diese Änderung hat dauerhafte Auswirkungen, sodass die Vertrauensbits für das Stammzertifikat nur noch von Ihnen geändert werden können. Ein Upgrade auf neuere Versionen der Mozilla-Software hat keine Auswirkungen auf diese Änderung. Es wird dringend empfohlen, dass Sie sich notieren, welches Stammzertifikat Sie ändern, damit Sie die Vertrauensbits wieder aktivieren können, wenn sich die Änderung negativ auf Ihr Browsererlebnis auswirkt.

So misstrauen Sie allen CA-Zertifikaten:

Gehe zuabout:preferences#privacy
Klicken Sie View Certificates...unten auf der Seite auf
Wechseln Sie zur RegisterkarteAuthorities
Wählen Sie ein Zertifikat aus
Klicke aufDelete or Distrust...
Bestätigen Sie mit einem Klick aufOK
Wiederholen Sie die Schritte 4 bis 6 für jedes Zertifikat.
Starten Sie Firefox neu

Nach dem Neustart von Firefox werden Sie sehen, dass alle Standardzertifikate wieder angezeigt werden.

Warum werden CA-Zertifikate nach einem Neustart von Firefox immer wieder angezeigt?

Standardzertifikate können nicht entfernt werden, daher misstraut Firefox ihnen lediglich, was zur Folge hat, dass sie nicht zur Überprüfung anderer Zertifikate verwendet werden können. Sie können ein CA-Zertifikat auswählen und darauf klicken, Edit Trust...um zu sehen, dass nichts geprüft wird, wenn Sie es misstrauisch gemacht haben.
Ein Misstrauen hat dieselbe Auswirkung wie das Löschen des Zertifikats selbst, außer dass das Zertifikat weiterhin im Zertifikatsmanager angezeigt wird.

Für mehr Informationen:Ändern der Vertrauenseinstellungen

Answer

Gibt es eine Möglichkeit, alle CA-Zertifikate in Firefox zu entfernen?

Firefox verwendet MozillasNSSBibliotheken für sicherheitsrelevante Funktionen wie TLS. NSS verfügt über einen eigenen integrierten CA-Speicher, der von Firefox zum Abrufen der Standard-CA-Zertifikate verwendet wird.

AusHäufig gestellte Fragen (FAQ) von Mozilla:

Die vorinstallierten CA-Zertifikate sind in den folgenden Dateien enthalten:

Windows: libnssckbi.dll

Unix, Linux und andere *nix-Varianten: libnssckbi.so

Mac OS X: Contents/MacOS/libnssckbi.dynlib

Daher ist es nicht möglich, alle CA-Zertifikate zu entfernen, da sie Teil von Firefox selbst sind.

Ist es möglich, allen CA-Zertifikaten jegliche Vertrauenswürdigkeit zu entziehen?

AusHäufig gestellte Fragen (FAQ) von Mozilla:

Wenn Sie einer bestimmten Zertifizierungsstelle (CA) nicht vertrauen, deren Stammzertifikat standardmäßig in Mozilla-Produkten enthalten ist, gibt es zwei Möglichkeiten, das Zertifikat zu deaktivieren.

Deaktivieren Sie die Vertrauensbits für dieses Stammzertifikat.

Löschen Sie das Stammzertifikat.

Das Löschen eines Stammzertifikats, das sich im Standardstammspeicher befindet, entspricht dem Deaktivieren aller Vertrauensbits für dieses Stammzertifikat. Obwohl das Stammzertifikat also wieder im Zertifikatsmanager angezeigt wird, wird es so behandelt, als ob Sie die Vertrauensbits dieses Stammzertifikats geändert und alle deaktiviert hätten.

Wichtig:Diese Änderung hat dauerhafte Auswirkungen, sodass die Vertrauensbits für das Stammzertifikat nur noch von Ihnen geändert werden können. Ein Upgrade auf neuere Versionen der Mozilla-Software hat keine Auswirkungen auf diese Änderung. Es wird dringend empfohlen, dass Sie sich notieren, welches Stammzertifikat Sie ändern, damit Sie die Vertrauensbits wieder aktivieren können, wenn sich die Änderung negativ auf Ihr Browsererlebnis auswirkt.

So misstrauen Sie allen CA-Zertifikaten:

Gehe zuabout:preferences#privacy
Klicken Sie View Certificates...unten auf der Seite auf
Wechseln Sie zur RegisterkarteAuthorities
Wählen Sie ein Zertifikat aus
Klicke aufDelete or Distrust...
Bestätigen Sie mit einem Klick aufOK
Wiederholen Sie die Schritte 4 bis 6 für jedes Zertifikat.
Starten Sie Firefox neu

Nach dem Neustart von Firefox werden Sie sehen, dass alle Standardzertifikate wieder angezeigt werden.

Warum werden CA-Zertifikate nach einem Neustart von Firefox immer wieder angezeigt?

Standardzertifikate können nicht entfernt werden, daher misstraut Firefox ihnen lediglich, was zur Folge hat, dass sie nicht zur Überprüfung anderer Zertifikate verwendet werden können. Sie können ein CA-Zertifikat auswählen und darauf klicken, Edit Trust...um zu sehen, dass nichts geprüft wird, wenn Sie es misstrauisch gemacht haben.
Ein Misstrauen hat dieselbe Auswirkung wie das Löschen des Zertifikats selbst, außer dass das Zertifikat weiterhin im Zertifikatsmanager angezeigt wird.

Für mehr Informationen:Ändern der Vertrauenseinstellungen

Question 2

Es scheint, als ob Firefox einige CAs in den Code integriert hat.

AusCA/FAQ:

Diese vorinstallierten Stamm-CA-Zertifikate werden mit Mozilla und verwandter Software in Form einer gemeinsam genutzten Bibliothek verteilt, die zusammen mit dem restlichen ausführbaren Softwarecode auf den Systemen der Benutzer installiert wird. Sie können daher aktualisiert werden, wenn neue Versionen der Software veröffentlicht werden.

Die vorinstallierten CA-Zertifikate sind in den folgenden Dateien enthalten:

Windows: libnssckbi.dll

Unix, Linux und andere *nix-Varianten: libnssckbi.so

Mac OS X: Contents/MacOS/libnssckbi.dynlib

Wenn Sie versuchen, diese Zertifikate zu löschen, lautet die Antwort negativ, da sie in den Code integriert sind und .db(zunächst) nicht in einer Datei gespeichert sind. Sie können versuchen, diese Dateien zu hacken, aber selbst wenn Sie Erfolg haben, müssen Sie den Hack für jede neue Version von Firefox wiederholen.

Ich habe eine weitere Einstellung gefunden, die dafür verantwortlich sein könnte, dass der Speicher mit Zertifikaten gefüllt wird, die vom Betriebssystem stammen, obwohl sie vielleicht nur für Windows implementiert ist: security.enterprise_roots.enabled.

Es gibt keine Informationen darüber, wie diese about:configEinstellung jetzt implementiert ist, obwohl aus dem Artikel klar hervorgeht, dass sie sich noch in der Entwicklung befindet. Ich schlage vor, zu testen, ob sie in Ihrem Fall eingestellt ist.

Aus dem Mozilla-Artikel CA:AddRootToFirefox:

Ab Version 49 kann Firefox experimentell so konfiguriert werden, dass es automatisch nach CAs sucht und diese importiert, die von einem Benutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden. Setzen Sie dazu die Einstellung "Sicherheit.enterprise_roots.aktiviert" ZuWAHR. In diesem Modus überprüft Firefox den HKLM\SOFTWARE\Microsoft\SystemCertificatesRegistrierungsspeicherort (entspricht dem API-Flag CERT_SYSTEM_STORE_LOCAL_MACHINE) auf vertrauenswürdige Zertifizierungsstellen, die Zertifikate für die TLS-Webserverauthentifizierung ausstellen. Diese Zertifizierungsstellen werden von Firefox importiert und als vertrauenswürdig eingestuft. Beachten Sie jedoch, dass sie möglicherweise nicht im Zertifikatsmanager von Firefox angezeigt werden. Es wird erwartet, dass die Verwaltung dieser Zertifizierungsstellen (z. B. Vertrauenskonfiguration) über integrierte Windows-Tools oder andere Dienstprogramme von Drittanbietern erfolgt. Beachten Sie auch, dass diese Änderungen in Firefox entweder deaktiviert und wieder aktiviert oder Firefox neu gestartet werden müssen, damit sie wirksam werden. Im Zuge der Weiterentwicklung dieser Funktion kann dies zur einfacheren Verwendung automatisch erfolgen.

Answer

Es scheint, als ob Firefox einige CAs in den Code integriert hat.

AusCA/FAQ:

Diese vorinstallierten Stamm-CA-Zertifikate werden mit Mozilla und verwandter Software in Form einer gemeinsam genutzten Bibliothek verteilt, die zusammen mit dem restlichen ausführbaren Softwarecode auf den Systemen der Benutzer installiert wird. Sie können daher aktualisiert werden, wenn neue Versionen der Software veröffentlicht werden.

Die vorinstallierten CA-Zertifikate sind in den folgenden Dateien enthalten:

Windows: libnssckbi.dll

Unix, Linux und andere *nix-Varianten: libnssckbi.so

Mac OS X: Contents/MacOS/libnssckbi.dynlib

Wenn Sie versuchen, diese Zertifikate zu löschen, lautet die Antwort negativ, da sie in den Code integriert sind und .db(zunächst) nicht in einer Datei gespeichert sind. Sie können versuchen, diese Dateien zu hacken, aber selbst wenn Sie Erfolg haben, müssen Sie den Hack für jede neue Version von Firefox wiederholen.

Ich habe eine weitere Einstellung gefunden, die dafür verantwortlich sein könnte, dass der Speicher mit Zertifikaten gefüllt wird, die vom Betriebssystem stammen, obwohl sie vielleicht nur für Windows implementiert ist: security.enterprise_roots.enabled.

Es gibt keine Informationen darüber, wie diese about:configEinstellung jetzt implementiert ist, obwohl aus dem Artikel klar hervorgeht, dass sie sich noch in der Entwicklung befindet. Ich schlage vor, zu testen, ob sie in Ihrem Fall eingestellt ist.

Aus dem Mozilla-Artikel CA:AddRootToFirefox:

Ab Version 49 kann Firefox experimentell so konfiguriert werden, dass es automatisch nach CAs sucht und diese importiert, die von einem Benutzer oder Administrator zum Windows-Zertifikatspeicher hinzugefügt wurden. Setzen Sie dazu die Einstellung "Sicherheit.enterprise_roots.aktiviert" ZuWAHR. In diesem Modus überprüft Firefox den HKLM\SOFTWARE\Microsoft\SystemCertificatesRegistrierungsspeicherort (entspricht dem API-Flag CERT_SYSTEM_STORE_LOCAL_MACHINE) auf vertrauenswürdige Zertifizierungsstellen, die Zertifikate für die TLS-Webserverauthentifizierung ausstellen. Diese Zertifizierungsstellen werden von Firefox importiert und als vertrauenswürdig eingestuft. Beachten Sie jedoch, dass sie möglicherweise nicht im Zertifikatsmanager von Firefox angezeigt werden. Es wird erwartet, dass die Verwaltung dieser Zertifizierungsstellen (z. B. Vertrauenskonfiguration) über integrierte Windows-Tools oder andere Dienstprogramme von Drittanbietern erfolgt. Beachten Sie auch, dass diese Änderungen in Firefox entweder deaktiviert und wieder aktiviert oder Firefox neu gestartet werden müssen, damit sie wirksam werden. Im Zuge der Weiterentwicklung dieser Funktion kann dies zur einfacheren Verwendung automatisch erfolgen.

Entfernen Sie alle Zertifizierungsstellen aus einem Firefox-Profil

Antwort1

Gibt es eine Möglichkeit, alle CA-Zertifikate in Firefox zu entfernen?

Ist es möglich, allen CA-Zertifikaten jegliche Vertrauenswürdigkeit zu entziehen?

Warum werden CA-Zertifikate nach einem Neustart von Firefox immer wieder angezeigt?

Antwort2

verwandte Informationen