Wenn das SSL-Zertifikat einer Website ungültig oder nicht verfügbar ist, wird Benutzern beim Versuch, sie aufzurufen, möglicherweise eine Fehlermeldung angezeigt.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Manchmal werden Benutzer durch die Mitteilung „Ihre Verbindung ist nicht privat“ am Aufruf einer Website gehindert. Dieser Fehler bedeutet, dass die Verbindung zwischen dem Client (dem Gerät des Benutzers, z. B. einem Laptop oder Tablet) und dem Server (dem Website-Host) nicht verschlüsselt ist, obwohl das Client-Gerät eine verschlüsselte Verbindung erwartet.
Das würde dazu führen, dass Angreifer beobachten könnten, was der Benutzer auf der Website tut, denn die Nachrichten zwischen Client und Server werden im Klartext gesendet und nicht durch Verschlüsselung unkenntlich gemacht. Darüber hinaus kann der Client so nicht überprüfen, ob er mit dem richtigen Server verbunden ist.
Darum meldet der Browser „Ihre Verbindung ist nicht privat“ bzw. „Diese Verbindung ist nicht sicher“: Der Webserver kann nicht überprüft und Nachrichten können zum Schutz vor Angreifern nicht verschlüsselt werden.
Ursache dieses Fehlers ist ein Problem mit dem SSL-Zertifikat der Website. Entweder fehlt es ganz, oder es ist abgelaufen oder wurde nicht von einer berechtigten Zertifizierungsstelle ausgestellt, oder der Client kann aus einem anderen Grund nicht darauf zugreifen. SSL-Zertifikate sind für die sicheren HTTPS-Verbindungen zu Websites erforderlich.
Ein ungültiges oder fehlendes SSL-Zertifikat ist auf kryptografischer Ebene mit der Situation zu vergleichen, dass jemand einen Ausweis vorlegen soll (um etwa zu beweisen, dass er alt genug ist, Alkohol zu kaufen) und statt eines amtlichen Personalausweises einen Zettel vorlegt, auf dem steht „Dieser Mann heißt Jens und ist 22 Jahre alt.“ So eine Art Identitätsnachweis ist natürlich unzulässig. Der Mann ist möglicherweise nicht 22 Jahre alt und heißt auch nicht Jens. Die Kassiererin reagiert zu Recht argwöhnisch und verkauft dem Kunden nichts.
Genau wie Jens kann eine Website ohne SSL-Zertifikat ihre Identität nicht nachweisen. Darüber hinaus kann eine Website ohne SSL-Zertifikat die Kommunikation auch nicht verschlüsseln. Das könnte man damit vergleichen, dass jeder auf der ganzen Welt plötzlich das Gespräch zwischen Jens und der Kassiererin belauschen kann, weil er keinen Personalausweis dabei hat.
Oft kann man die Seite trotz dieser Meldung immer noch aufrufen, aber das ist nicht zu empfehlen. Ohne HTTPS kann man verschiedenen Cyberangriffen ausgesetzt sein.
Ein SSL-Zertifikat bestätigt den Besitz einer Website und ermöglicht den Aufbau einer sicheren, verschlüsselten Verbindung. Es handelt sich um eine Textdatei auf einem Webserver, die folgende Informationen enthält:
Ein SSL-Zertifikat ist erforderlich, um die Kommunikation zu und von einer Website mit SSL oder TLS zu verschlüsseln. Dies wird auch als HTTPS bezeichnet.
Wenn Daten mit TLS/SSL verschlüsselt sind und zwischen Client und Server abgefangen werden, sehen sie für den Außenstehenden nur nach zufälligen, unsinnigen Zeichen aus. Sind die Daten unverschlüsselt, so können sie mühelos gelesen werden, wenn man sie abfängt. Die Verschlüsselung ist wie ein Umschlag, der den Inhalt eines persönlichen Briefes beim Postversand schützt.
Es gibt eine Reihe von Problemen mit dem SSL-Zertifikat, die zur Fehlermeldung „Ihre Verbindung ist nicht privat“ führen können:
Das SSL-Zertifikat der Website ist ungültig oder fehlt. Hierfür könnte es mehrere Gründe geben. Es kann bedeuten, dass im vorgelegten SSL-Zertifikat die falsche Website angegeben ist, dass es abgelaufen ist oder dass überhaupt keins vorhanden ist, obwohl eines erwartet wurde – zum Beispiel, weil ein Benutzer „https://www.example.com“ in den Browser eingibt, aber example.com kein HTTPS hat.
Im SSL-Zertifikat werden keine Variationen des Domainnamens angegeben. Das SSL-Zertifikat enthält möglicherweise „www.example.com“, aber nicht „example.com“ (ohne „www“). Dies geschieht, wenn der Abschnitt SAN (Subject Alternative Name) eines SSL-Zertifikats nicht richtig ausgefüllt wird. Es führt dazu, dass die Website über ein funktionierendes SSL-Zertifikat verfügt, aber die vom Benutzer eingegebene URL und die Angaben auf dem Zertifikat nicht übereinstimmen. Der Browser hält das Zertifikat daher für ungültig.
Der Webserver hat ein SSL-Zertifikat für die falsche Website vorgelegt. Dies kann passieren, wenn mehrere Websites unter der gleichen IP-Adresse gehostet werden. Wenn jede dieser Websites über ein eigenes SSL-Zertifikat verfügt, weiß der Server möglicherweise nicht, welches SSL-Zertifikat angezeigt werden soll, wenn ein Clientgerät eine sichere Verbindung zu einer der Websites herstellen möchte. Das ist ungefähr so, wie wenn ein Paket an eine große Wohnanlage adressiert ist, aber die Wohnungsnummer nicht in der Adresse angegeben ist. Eine Erweiterung des TLS-Protokolls namens SNI trägt zur Vermeidung dieses Fehlers bei.
Weitere mögliche Ursachen sind unter anderem:
In Chrome wird diese Meldung angezeigt, wenn Sie auf einer HTTP-Website in der Browserleiste auf „Nicht sicher“ klicken. Dies bedeutet, dass die Website kein SSL-Zertifikat besitzt und der Traffic zu und von der Website nicht mit SSL/TLS verschlüsselt wird. Browser blockieren Websites ohne HTTPS normalerweise nicht. Auf Websites ohne HTTPS sollte man jedoch keine personenbezogenen Daten wie Anmeldedaten, Kreditkartendaten oder amtliche Ausweisnummern eingeben.
Cloudflare bietet kostenlose SSL/TLS-Verschlüsselung für jede Website. Bei Websites mit TLS-Verschlüsselung von Cloudflare sollten die meisten dieser Fehler nicht auftreten, allerdings können sie durch falsch konfigurierte Clientgeräte von Zeit zu Zeit vorkommen. Weitere Informationen über kostenlose SSL-Zertifikate von Cloudflare finden Sie hier.