Nach dem Herunterladen eines Installationspakets von der Website thunderbird.net oder direkt aus Thunderbirds Softwarearchiv können Sie prüfen, ob der Download vollständig und korrekt erfolgte. Optional können Sie zusätzlich prüfen, ob es sich um ein authentisches Paket von Mozilla handelt.

Für jede Version existiert ein Wurzelverzeichnis mit Unterverzeichnissen für die verschiedenen Betriebssysteme, in denen die Installationspakete enthalten sind. Im Wurzelverzeichnis jeder Version finden Sie eine Textdatei mit dem Namen SHA256SUMS.

Prüfen, ob der Download des Installationspakets korrekt und authentisch erfolgte

1. Wählen Sie das Ihrem Betriebssystem und Ihrer Sprache entsprechende Installationspaket und laden Sie es herunter.
2. Berechnen Sie mit einem Tool die SHA256-hashsum (das ist eine Art Prüfsumme) der heruntergeladenen Datei und behalten Sie diese zum späteren Vergleich auf Ihrem Bildschirm.
3. Gehen Sie zu Ihrem Browser zurück und sehen Sie sich die SHA256-Datei für die heruntergeladene Version an.
4. Suchen Sie die Zeile, die die Sprache und den Namen der von Ihnen heruntergeladenen Datei enthält. In derselben Zeile wird die erwartete hashsum (die Prüfsumme) für die Datei angezeigt. Vergewissern Sie sich, dass diese hashsum dem Ergebnis entspricht, die das Tool zur Berechnung der SHA256-hashsum erzielte.

Wenn Sie die SHA256SUMS-Datei mit einer aktuellen Firefox-Version ansehen, dabei die Datei auf der Website https://archive.mozilla.org verwenden und die hashsums übereinstimmen, ist die Wahrscheinlichkeit sehr hoch, dass Ihr Download korrekt und authentisch ist.

Prüfen, ob es sich um ein authentisches Paket von Mozilla handelt (optional)

Wenn Sie sich auch vergewissern möchten, dass Sie die richtige SHA256SUMS-Datei ansehen, weil Sie z. B. die Dateien von einem Spiegelserver (mirror) heruntergeladen haben, können Sie prüfen, ob die Datei die digitale Signatur des Software-Release-Teams von Mozilla trägt.

1. Laden Sie dazu die beiden Dateien SHA256SUMS und SHA256SUMS.asc herunter.
2. Um die Signatur zu überprüfen, können Sie die GnuPG-Software verwenden. Außerdem müssen Sie im Besitz des aktuellen und offiziellen öffentlichen Schlüssels von Mozilla sein, der zum Signieren dieser Datei verwendet wird.
   • Die GnuPG-Software ist normalerweise in den Linux-Distributionen bereits enthalten. Bei anderen Betriebssystemen finden Sie in deren HOWTO-Dokumenten Anleitungen zur Installation und Verwendung von GPG4WIN für Windows oder GPGTools für macOS.
   • Verwenden Sie GnuPG oder eine ähnliche Software, um Mozillas öffentlichen Schlüssel zu importieren, der üblicherweise in Mozillas englischsprachigem Security Blog angekündigt bzw. veröffentlicht wird. Zum Zeitpunkt der Erstellung dieses Dokuments ist das die aktuelle Version: GPG key for signing Firefox Releases.
3. Geben Sie nun folgenden Befehl in GnuPG ein, um die Signatur in der Datei SHA256SUMS.asc mit den Daten der SHA256SUMS-Datei zu vergleichen: $ gpg --verify SHA256SUMS.asc
   
4. Danach erhalten Sie die Ergebnisse des Vergleichs. In diesem Beispiel sehen Sie als Ergebnis folgende 8 Zeilen:

gpg: assuming signed data in 'SHA256SUMS'

gpg: Signature made Di 26 Sep 2023 20:49:02 CEST

gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274

gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353

Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274

Die Zeilen 7 und 8 geben dabei an, welcher Schlüssel zur Erstellung der digitalen Signatur verwendet wurde. Sie können die Fingerabdrücke in diesen Zeilen mit dem Fingerabdruck im Beitrag des Mozilla Security Blogs vergleichen. Wenn sie übereinstimmen, haben Sie die SHA256SUMS-Datei erfolgreich überprüft.