Wenn das SSL-Zertifikat einer Website abgelaufen oder falsch ist, werden Webnutzer möglicherweise vom Laden der Website abgehalten.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Secure Sockets Layer (SSL) ist ein Protokoll zur Verschlüsselung und Authentifizierung von Daten, die zwischen Clients und Servern im Internet übertragen werden. Die aktualisierte Version des Protokolls heißt Transport Layer Security (TLS).
SSL/TLS beruht auf der Verwendung eines SSL-Zertifikats, einer Datendatei, die auf einem Webserver gehostet wird und dabei hilft, den Datenverkehr zu verschlüsseln und die Identität des Servers zu überprüfen. Der Server und der Client (das Gerät, mit dem eine Person versucht, die auf dem Server gehostete Website zu erreichen) verwenden das SSL-Zertifikat, um symmetrische Verschlüsselungsschlüssel zu erstellen und eine sichere, verschlüsselte Übertragung zu beginnen – und das alles in einer Frage von Millisekunden. Die Verschlüsselung der zwischen Nutzern und Servern übertragenen Daten hilft, Datenkompromittierung zu verhindern, sodass Websites das Vertrauen der Nutzer bewahren und Compliance-Anforderungen erfüllen können.
Probleme mit SSL/TLS-Zertifikaten können Nutzer daran hindern, Websites und Anwendungen sicher zu laden und darauf zuzugreifen. Im Folgenden sind einige der häufigsten SSL-Zertifikatsfehler (oder TLS-Fehler) aufgeführt, die bei Benutzern und Website-Administratoren auftreten können.
Die meisten SSL-Zertifikate werden von einer externen Organisation, die als Zertifizierungsstelle bezeichnet wird, ausgestellt und signiert. Selbstsignierte Zertifikate werden von Browsern oft nicht als vertrauenswürdig eingestuft, da keine externe Instanz das Zertifikat überprüft hat. Eine Zertifizierungsstelle kann vom Browser auch aus einem anderen Grund nicht erkannt werden: SSL-Zertifikate, die von Symantec ausgestellt wurden, werden beispielsweise von führenden Browsern nicht mehr als vertrauenswürdig eingestuft. Dieser SSL-Zertifikatsfehler kann zu einer „Ihre Verbindung ist nicht privat “-Nachricht im Browser führen, was Benutzer daran hindern kann, die Website zu besuchen.
Dieser Fehler kann durch das Anfordern eines SSL-Zertifikats von einer stärker unterstützten Zertifizierungsstelle behoben werden. (Cloudflare bietet beispielsweise kostenlose SSL-Zertifikate an, denen alle Browser vertrauen.)
Die Internet-Community hat das SSL/TLS-Protokoll im Laufe der Jahre viele Male aktualisiert, um Sicherheitslücken zu beheben und den Authentifizierungsprozess zu beschleunigen – die Namensänderung von SSL zu TLS spiegelt dies wider.
Viele Webdienste haben damit begonnen, die Verwendung der neuesten Protokolle durchzusetzen. Die aktuellste und am weitesten verbreitete Version von TLS ist TLS 1.3, wobei auch TLS 1.2 weiterhin in Gebrauch ist.
Bei Webhosts und Websites, die so konfiguriert sind, dass sie nur die sichersten Protokolle akzeptieren, müssen die Clients mindestens TLS 1.2 unterstützen, da der TLS-Handshake andernfalls nicht wie geplant stattfinden kann. (In solchen Fällen kann die Fehlermeldung „Beim Erstellen eines TLS-Client-Berechtigungsnachweises ist ein schwerwiegender Fehler aufgetreten“ auftreten.) Nutzer sollten sicherstellen, dass der Browser und das Betriebssystem auf ihrem Gerät die neuesten und sichersten Versionen von TLS unterstützen, um diesen SSL-Zertifikatsfehler zu vermeiden.
Genauso wie einige von der Regierung ausgestellte Identitätsdokumente wie Pässe nach einer bestimmten Anzahl von Jahren ablaufen, müssen SSL-Zertifikate regelmäßig erneuert werden. So kann sichergestellt werden, dass der betreffende Webdienst immer noch von demselben Unternehmen betrieben wird, genauso wie man durch ein Update des Passbildes die Identität bestätigen kann. Einem abgelaufenen SSL-Zertifikat wird der Webbrowser eines Clients nicht mehr vertrauen, sodass der TLS-Handshake nicht fortgesetzt und keine sichere Verbindung hergestellt werden kann.
Um dieses SS- Problem zu beheben, müssen Webadministratoren sicherstellen, dass alle SSL-Zertifikate für ihre Domains und Subdomains auf dem neuesten Stand sind.
Dieser Fehler kann auch auftreten, wenn die Uhr des Clients falsch ist: In einem solchen Fall kann der Browser des Clients möglicherweise nicht erkennen, ob das SSL-Zertifikat abgelaufen ist. In solchen Fällen wird der Fehler durch Zurücksetzen der Uhr auf dem Client behoben.
Ein Name Mismatch-Fehler tritt auf, wenn der Name auf dem SSL-Zertifikat nicht mit der vom Client eingegebenen URL übereinstimmt. Dies kann passieren, wenn der Benutzer eine andere Top-Level-Domain als erwartet eingegeben hat, „www“ eingegeben hat, obwohl dieser Name nicht im Zertifikat aufgeführt ist, oder die Domain auf andere Weise falsch geschrieben hat. Eine Nichtübereinstimmung des Namens kann auch auftreten, wenn der Website-Betreiber sein Zertifikat falsch beschriftet oder nicht alle öffentlich zugänglichen Namen seiner Domain angegeben hat. Schließlich kann ein häufiger Name-Mismatch-Fehler auftreten, wenn entweder der Client oder der Server die SNI-Erweiterung nicht unterstützt (mehr dazu weiter unten).
Um diesen Fehler zu vermeiden, sollten Websit-Administratoren sicherstellen, dass sie die Domain in ihren SSL-Zertifikaten richtig schreiben. Außerdem sollten im Abschnitt SAN (Subject Alternative Name) des SSL-Zertifikats alle legitimen alternativen Darstellungen des Domainnamens aufgeführt sein.
Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls, die verwendet wird, wenn mehrere Domains auf einem Server gehostet werden. Wenn ein Client eine Verbindung startet, stellt er eine direkte Verbindung zu einem Server her (angezeigt durch eine IP-Adresse). Dieser Server könnte mehrere Websites hosten – wie ein Mehrfamilienhaus, in dem mehrere Bewohner wohnen.
SNI ist eine Erweiterung, die – um die Analogie fortzusetzen – eine Wohnungsnummer an die Adresse anfügt, damit der Server weiß, an welche Website – oder „Wohnung“ die Anfrage für eine SSL-Verbindung weitergeleitet werden soll. Wenn die Anfrage an den Server jedoch keine SNI verwendet, zeigt der Server den Clients, die eine Verbindung herstellen, möglicherweise das falsche SSL-Zertifikat an, was zu einem gängigen Name-Mismatch-Fehler führt.
Um diesen Fehler zu vermeiden, sollten Website-Administratoren Webhosts verwenden, die die neuesten TLS-Protokolle unterstützen, einschließlich SNI (und verschlüsselter SNI).
Cloudflare hilft Website-Betreibern, diese Fehler zu vermeiden, indem es Zertifikate für alle Kunden-Websites automatisch verwaltet und erneuert. Sicherzustellen, dass Zertifikate nicht abgelaufen sind, kann eine Vollzeitaufgabe sein, wenn Unternehmen Dutzende, Hunderte oder Millionen von Subdomains zu verwalten haben. Aber Cloudflare automatisiert diesen Prozess.
Informieren Sie sich auf der „Tarif“-Seite über die Optionen für Cloudflare-SSL-Zertifikate.