FF3 und https

Nutzer/innen unserer Moodle könnten nun auch bei Firefox auf die Idee kommen, dass keine Verbindung zum Server besteht, wenn sie nicht lesen können (die meisten Menschen können nicht lesen, wenn sie an einem Rechner sitzen).

Warnmeldung von FF3

Der neue Firefox 3 (FF3) warnt ebenso aufdringlich vor "ungültigen" Zertifikaten wie der Internet Explorer 7. Das trägt sicherlich zur Sicherheit bei, verwirrt aber auch viele Menschen, weil diese mit dem Hintergrund nicht vertraut sind. Zertifikate, die bei IE7 und FF3 nicht zu Meckerattacken führen kosten Geld – und das haben wir nicht.

Also klickt auf den Link im unteren Fensterbereich: [Oder sie können eine Ausnahme hinzufügen …]

 

Eine weitere Warnung wird angezeigt, die mit einem Klick auf den Schalter [Ausnahme hinzufügen …] beantwortet werden muss.

Es folgt ein Klick auf den Schalter [Zertifikat herunterladen] …

 

 … und dann auf [Sicherheits-Ausnahmeregel bestätigen]. Wer ganz sicher gehen will, kann sich das Zertifikat auch zuerst ansehen.

Nervig finde ich vor allem, dass die Entwickler von FF3 nicht an die vielen privaten und schulischen Webseitenbetreiber gedacht haben, die die Zertifikate für HTTPS Verbindungen selbst signieren, weil kein Geld in der Kasse ist. Hier dann mit Horrormeldungen um sich zu werfen wie "Das Zertifikat der Seite ist ungültig" ist IMHO eine Unverschämtheit, die ich nur beim IE nicht anders erwartet hätte: Unser Zertifikat ist nicht "ungültig" und wir versuchen auch nicht, uns mit "ungültigen Informationen" zu identifizieren – wir haben unser Zertifikat nur selbst unterschrieben. Das ist ein Sicherheitsloch – ja. Aber etwas mehr Differenzierung würde FF3 gut stehen.

PS: Der eigentliche Login-Prozess (das Abgleichen von Benutzername und Kennwort zwischen Moodle und ServerG) läuft bei uns nicht ausschließlich über HTTPS, sondern auf einem anderen Protokoll, das ebenfalls verschlüsselt ist. Für eine Schule müsste das reichen …