Wereldwijde Firefox-storing toont misser en macht Mozilla

Het wereldwijde wegvallen van add-ons in Firefox vorig weekend blijkt veroorzaakt door een verlopen certificaat. De nu gedeelde postmortem van deze storing belicht Mozilla's misser en Firefox' afhankelijkheid, maar brengt ook de updatemacht van de browsermaker aan het licht.

Jasper BakkerredacteurMeer van deze auteur

Mozilla mascotte — © Mozilla Foundation

Mozilla Foundation

Opensourcestichting Mozilla biedt opnieuw zijn excuses aan voor de grote uitval van add-ons in zijn browser Firefox. De functionele toevoegingen, gemaakt door derden, waren vorig weekend plots uitgeschakeld bij gebruikers. Naast deze 'sabotage' van reeds geïnstalleerde add-ons konden extensies ook niet worden toegevoegd aan Firefox. De oorzaak blijkt een verlopen certificaat te zijn, wat de ontwikkelaars en beheerders van Mozilla dus niet hadden vernieuwd.

We’re investigating an issue with a certificate which may cause your @firefox extensions to stop work working or fail to install.

Our team is actively working to fix the issue and we’ll post more information shortly.
— Mozilla Add-ons (@mozamo) May 4, 2019

Experimenteersysteem ingezet

Terwijl gebruikers plots hun nuttige (en/of leuke) add-ons moesten missen, heeft Mozilla opvallende noodmaatregelen genomen. In een eerste reactie heeft de browsermaker een systeem ingezet dat normaliter alleen voor testdoeleinden dient. Via zijn Studies-infrastructuur heeft Mozilla een update gepusht naar gewone gebruikers, om te compenseren voor het verlopen certificaat. Gebruikers moesten hiervoor dat ingebouwde Studies ingeschakeld hebben staan in de instellingen van hun browser. Dit lijkt standaard het geval te zijn; in zijn uitleg over dit systeem spreekt Mozilla van een afmeldmogelijkheid.

CTO Eric Rescorla geeft uitleg in een uitgebreide blogpost over de storing en de genomen stappen om het op te lossen. "Ironisch genoeg was de oplossing voor dit probleem een speciaal soort add-on, genaamd een system add-on (SAO)", schrijft Rescorla in zijn technische postmortem. Mozilla heeft eerder al een eigen systeem ontwikkeld om onderzoek uit te kunnen voeren. Dit zogeheten Normandy-systeem laat de browsermaker SAO's uitserveren aan Firefox-gebruikers, om hun gebruik van de browser te kunnen meten. "Deze SAO's worden automatisch uitgevoerd op de browser van de gebruiker."

Diepgaande toegang

Normaliter worden deze speciale add-ons alleen gebruikt om experimenten uit te voeren, legt de Mozilla-CTO uit. Maar vanwege de aard en opzet hebben de SAO's uitgebreide toegang tot de interne API's (application programming interfaces) van Firefox. "Belangrijk in dit geval is dat ze nieuwe certificaten kunnen toevoegen aan de certificatendatabase die Firefox gebruikt om add-ons te verifiëren."

Na de inzet van dit paardenmiddel bleek dat Mozilla daarmee niet alle getroffen gebruikers heeft weten te bereiken. Vervolgens heeft de Firefox-maker dus nog de meer gebruikelijke stappen gezet van het uitbrengen van een reguliere update voor zijn browser. Daarin is een nieuw certificaat voor digitale controle van add-ons meegekomen. Mozilla belooft nu ook interne maatregelen te nemen voor betere bewaking van zijn processen, zoals voor het verlengen van certificaten.