Login mittels WebAuthn funktioniert mit Firefox bei "self-signed"-Zertifikat nicht mehr

[FibreFoX]

Hallo zusammen,

ich bin Firefox Beta Nutzer und habe ein interessantes Problem gefunden.

Mein Server nutzt WebAuthn als zweiten Faktor und hat bis vor kurzem einwandfrei funktioniert. Seit kurzem war es mir jedoch nicht möglich mit dem Browser mich einzuloggen, ohne dass ich Änderungen am System vorgenommen habe.

Folgende Fehlermeldung wird rausgeschrieben:

SecurityError: The operation is insecure.

Lokal habe ich noch einen älteren Chromium installiert, mit dem funktioniert das ganze jedoch mit WebAuthn.
Dadurch, dass der Login ohne Änderung am Server vorher ging und aktuell auch mit einem anderen Browser funktioniert, kann es kein grundsätzliches Problem sein.

Nach etwas Recherche (und Verifizierung, ob im Forum dazu bereits Berichte existieren) habe ich folgenden Security-Bug gefunden: https://securityvulnerability.io/vulnerability/CVE-2025-6433
(Auch gelistet hier: https://www.mozilla.org/en-US/security/advisories/mfsa2025-51/ )

An issue exists in Mozilla Firefox where users visiting a webpage with an invalid TLS certificate may be prompted to complete a WebAuthn challenge. This occurs after users grant an exception for the invalid certificate, effectively allowing bypass of established security protocols as stated in the WebAuthn specification, which mandates a secure transport and unbroken connection during authentication procedures. Consequently, this vulnerability raises significant security concerns regarding improper handling of certificate errors and user authentication.

Heißt also, dass WebAuthn nicht mit den selbst-generierten HTTPS-Zertifikaten funktioniert mit Firefox 140 und später. Vielleicht sollte dies irgendwo im Handbuch dokumentiert werden oder mittels Check in der UI gesperrt werden, dass man entsprechenden WebAuthn-Token anlegen kann mit entsprechender Warnung.

Login ohne WebAuthn bei self-signed HTTPS-Zertifikat funktioniert weiterhin normal.

 

[Falk R.]

Dann installiere doch einfach das Zertifikat und dann geht es wieder.

 

[FibreFoX]

Dann installiere doch einfach das Zertifikat und dann geht es wieder.

Unter Firefox ist das Zertifikat als Ausnahme (bei Einstellungen > Datenschutz & Sicherheit > Zertifikate > Zertifikate anzeigen > Server) eingetragen, daher kann ich dort nichts entsprechendes installieren.

Ich habe mir aber mittlerweile anders helfen können:
Anstatt das Zertifikat selber in den Truststore zu installieren (hatte ich versucht, ging aber nicht), habe ich das Root CA Zertifikat (kann man ja auch über die Website dann runterladen) unter Windows als "Vertrauenswürdige Stammzertifizierungsstelle" importiert. Das hat dann auch den Vorteil, dass bei einer Zertifikatserneuerung der Fehler nicht wieder kommt.

Wichtig ist mir, dass wenn jemand anderes das Problem hat, hier über die Suche gefunden werden kann, da es lange Zeit auch ohne Probleme funktioniert hatte.
Schön wäre natürlich auch ein entsprechender Hinweis in der Dokumentation, sowas wie "it is not enough to add an exception for the insecure certificate according to WebAuthn specification" oder ähnliches, denn aktuell wird eine Browser-eigene Meldung dargestellt, die jedoch wenig hilfreich ist im Fall von Firefox (schließlich habe ich ja die Ausnahme hinzugefügt).

Chromium in einer aktuellsten Version (Version 140.0.7279.0 bzw. Build Revision 1482831) zeigt folgenden Fehler:

NotAllowedError: WebAuthn is not supported on sites with TLS certificate errors.

Ja, mir ist bewusst, dass im Handbuch aktuell ein kleiner Hinweis dort steht:

it is necessary to use a validdomain with a valid SSL certificate, otherwise some browsers may warn or refuseto authenticate altogether.

Für mein Verständnis beinhaltet das den Hinweis nicht, dass auch die Ausnahme nicht reicht.

geht mir ja auch darum, dass andere das hier finden können