Was bedeutet „Ihre Verbindung ist nicht privat“? | So behebt man SSL-Fehler

Wenn das SSL-Zertifikat einer Website ungültig oder nicht verfügbar ist, wird Benutzern beim Versuch, sie aufzurufen, möglicherweise eine Fehlermeldung angezeigt.

Share facebook icon linkedin icon twitter icon email icon

Verbindung nicht privat

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erfahren, was die Browser-Fehlermeldungen „Ihre Verbindung ist nicht privat/sicher“ bedeuten
  • Nachvollziehen, wie Probleme mit einem SSL-Zertifikat zu diesen Fehlern führen können
  • Erfahren, wie man diese Fehler behebt

Was bedeutet der Fehler „Ihre Verbindung ist nicht privat“?

Manchmal werden Benutzer durch die Mitteilung „Ihre Verbindung ist nicht privat“ am Aufruf einer Website gehindert. Dieser Fehler bedeutet, dass die Verbindung zwischen dem Client (dem Gerät des Benutzers, z. B. einem Laptop oder Tablet) und dem Server (dem Website-Host) nicht verschlüsselt ist, obwohl das Client-Gerät eine verschlüsselte Verbindung erwartet.

Connection Not Private

Das würde dazu führen, dass Angreifer beobachten könnten, was der Benutzer auf der Website tut, denn die Nachrichten zwischen Client und Server werden im Klartext gesendet und nicht durch Verschlüsselung unkenntlich gemacht. Darüber hinaus kann der Client so nicht überprüfen, ob er mit dem richtigen Server verbunden ist.

Darum meldet der Browser „Ihre Verbindung ist nicht privat“ bzw. „Diese Verbindung ist nicht sicher“: Der Webserver kann nicht überprüft und Nachrichten können zum Schutz vor Angreifern nicht verschlüsselt werden.

Ursache dieses Fehlers ist ein Problem mit dem SSL-Zertifikat der Website. Entweder fehlt es ganz, oder es ist abgelaufen oder wurde nicht von einer berechtigten Zertifizierungsstelle ausgestellt, oder der Client kann aus einem anderen Grund nicht darauf zugreifen. SSL-Zertifikate sind für die sicheren HTTPS-Verbindungen zu Websites erforderlich.

Ein ungültiges oder fehlendes SSL-Zertifikat ist auf kryptografischer Ebene mit der Situation zu vergleichen, dass jemand einen Ausweis vorlegen soll (um etwa zu beweisen, dass er alt genug ist, Alkohol zu kaufen) und statt eines amtlichen Personalausweises einen Zettel vorlegt, auf dem steht „Dieser Mann heißt Jens und ist 22 Jahre alt.“ So eine Art Identitätsnachweis ist natürlich unzulässig. Der Mann ist möglicherweise nicht 22 Jahre alt und heißt auch nicht Jens. Die Kassiererin reagiert zu Recht argwöhnisch und verkauft dem Kunden nichts.

Genau wie Jens kann eine Website ohne SSL-Zertifikat ihre Identität nicht nachweisen. Darüber hinaus kann eine Website ohne SSL-Zertifikat die Kommunikation auch nicht verschlüsseln. Das könnte man damit vergleichen, dass jeder auf der ganzen Welt plötzlich das Gespräch zwischen Jens und der Kassiererin belauschen kann, weil er keinen Personalausweis dabei hat.

  • In Google Chrome lautet die Fehlermeldung „Ihre Verbindung ist nicht privat“ mit der Unterzeile „Angreifer könnten versuchen, Ihre Informationen von [Website] zu stehlen“.
  • Bei Mozilla Firefox lautet sie: „Ihre Verbindung ist nicht sicher“.
  • In Microsoft Edge lautet sie auch „Diese Verbindung ist nicht sicher“.

Oft kann man die Seite trotz dieser Meldung immer noch aufrufen, aber das ist nicht zu empfehlen. Ohne HTTPS kann man verschiedenen Cyberangriffen ausgesetzt sein.

Was ist ein SSL-Zertifikat? Was ist HTTPS?

Ein SSL-Zertifikat bestätigt den Besitz einer Website und ermöglicht den Aufbau einer sicheren, verschlüsselten Verbindung. Es handelt sich um eine Textdatei auf einem Webserver, die folgende Informationen enthält:

  • Ablaufdatum des Zertifikats
  • Der Domainname, für den das Zertifikat ausgestellt wurde
  • Welche Person, Organisation oder welches Gerät ist Inhaber der Domain
  • Die Zertifizierungsstelle, die das Zertifikat ausgestellt hat
  • Den öffentlichen Schlüssel

Ein SSL-Zertifikat ist erforderlich, um die Kommunikation zu und von einer Website mit SSL oder TLS zu verschlüsseln. Dies wird auch als HTTPS bezeichnet.

Wenn Daten mit TLS/SSL verschlüsselt sind und zwischen Client und Server abgefangen werden, sehen sie für den Außenstehenden nur nach zufälligen, unsinnigen Zeichen aus. Sind die Daten unverschlüsselt, so können sie mühelos gelesen werden, wenn man sie abfängt. Die Verschlüsselung ist wie ein Umschlag, der den Inhalt eines persönlichen Briefes beim Postversand schützt.

Was löst diesen SSL-Fehler aus?

Es gibt eine Reihe von Problemen mit dem SSL-Zertifikat, die zur Fehlermeldung „Ihre Verbindung ist nicht privat“ führen können:

Das SSL-Zertifikat der Website ist ungültig oder fehlt. Hierfür könnte es mehrere Gründe geben. Es kann bedeuten, dass im vorgelegten SSL-Zertifikat die falsche Website angegeben ist, dass es abgelaufen ist oder dass überhaupt keins vorhanden ist, obwohl eines erwartet wurde – zum Beispiel, weil ein Benutzer „https://www.example.com“ in den Browser eingibt, aber example.com kein HTTPS hat.

Im SSL-Zertifikat werden keine Variationen des Domainnamens angegeben. Das SSL-Zertifikat enthält möglicherweise „www.example.com“, aber nicht „example.com“ (ohne „www“). Dies geschieht, wenn der Abschnitt SAN (Subject Alternative Name) eines SSL-Zertifikats nicht richtig ausgefüllt wird. Es führt dazu, dass die Website über ein funktionierendes SSL-Zertifikat verfügt, aber die vom Benutzer eingegebene URL und die Angaben auf dem Zertifikat nicht übereinstimmen. Der Browser hält das Zertifikat daher für ungültig.

Der Webserver hat ein SSL-Zertifikat für die falsche Website vorgelegt. Dies kann passieren, wenn mehrere Websites unter der gleichen IP-Adresse gehostet werden. Wenn jede dieser Websites über ein eigenes SSL-Zertifikat verfügt, weiß der Server möglicherweise nicht, welches SSL-Zertifikat angezeigt werden soll, wenn ein Clientgerät eine sichere Verbindung zu einer der Websites herstellen möchte. Das ist ungefähr so, wie wenn ein Paket an eine große Wohnanlage adressiert ist, aber die Wohnungsnummer nicht in der Adresse angegeben ist. Eine Erweiterung des TLS-Protokolls namens SNI trägt zur Vermeidung dieses Fehlers bei.

Weitere mögliche Ursachen sind unter anderem:

  • Das Zertifikat ist selbstsigniert, es wurde also vom Websitebetreiber selbst erstellt und nicht von einer Zertifizierungsstelle eines Drittanbieters ausgestellt.
  • Der Browser erkennt die Zertifizierungsstelle nicht, die das Zertifikat ausgestellt hat.
  • Das SSL-Zertifikat wurde von Symantec ausgestellt (alle von Symantec ausgestellten SSL-Zertifikate werden von den führenden Browsern nicht als vertrauenswürdig eingestuft)
  • Das SSL-Zertifikat enthält eventuell nicht unterstützte Funktionen (z. B. SHA-1-Hashing statt SHA-256)
  • Die Uhr des Clientgeräts geht falsch, so dass es nicht überprüfen kann, ob das SSL-Zertifikat abgelaufen ist oder nicht.

So werden diese SSL-Zertifikatfehler behoben

Für Benutzer

Die Seite aktualisieren: Netzwerkverbindungen erfordern viel Kommunikation in beide Richtungen zwischen Client und Server, die vom Benutzer meist unbemerkt bleibt. Ein Teil dieser Kommunikation funktioniert möglicherweise nicht richtig. Deshalb lassen sich verschiedene Fehler dadurch beheben, dass man die Seite einfach neu lädt.

Den Browser-Cache leeren: Ein Browser speichert bestimmte Informationen und Inhalte von besuchten Websites in einem temporären Speicher, der als „Cache“ bezeichnet wird. Den Browser-Cache zu löschen und die Seite neu zu laden, kann ähnlich wirken wie das Aktualisieren der Seite: Die Website ist aus Sicht des Browsers ein unbeschriebenes Blatt, und der Browser kann wieder versuchen, die richtigen Verbindungen herzustellen. Alternativ dazu kann man die Seite auch im Inkognito-Modus (Chrome), im privaten Modus (Firefox und Safari) oder im InPrivate-Modus (Edge) öffnen. In diesen Modi greift der Browser nicht auf den Cache zu.

Die Uhr zurücksetzen: Man kann auch versuchen, die Uhr des Computers zurückzusetzen. Vielleicht geht sie falsch und führt dazu, dass das Gerät ein SSL-Zertifikat fälschlicherweise als abgelaufen oder ungültig ablehnt.

„www“ hinzufügen: Um SAN-Fehler zu umgehen, kann man versuchen, den Domainnamen so einzugeben, dass er auch „www“ (bzw. das jeweilige Domainprefix) enthält.

Einen anderen Browser verwenden oder den Browser aktualisieren: Alte Browserversionen unterstützen möglicherweise nicht die erforderlichen Funktionen für die TLS-Verschlüsselung (z. B. SNI). Vergewissern Sie sich, dass Sie die neueste Version des Browsers verwenden.

Für Websitebesitzer

Ein neues SSL-Zertifikat beschaffen: Wenn das Zertifikat abgelaufen, veraltet oder selbstsigniert ist, muss man für die Website bei einer Zertifizierungsstelle ein neues Zertifikat beschaffen. (Cloudflare bietet kostenlose SSL-Zertifikate sowie für Unternehmenskunden individuell angepasste Zertifikate an).

Überprüfen, ob der SAN-Abschnitt ausgefüllt ist und Subdomains enthalten sind: Wenn das SSL-Zertifikat ansonsten gültig ist, vergewissern Sie sich, dass alle gültigen Varianten der Domain aufgeführt sind. Auch die Subdomains – etwa blog.example.com zusätzlich zu www.example.com – sollten aufgeführt sein.

Wenn eine Website nicht über HTTPS verfügt, sorgen Sie dafür, dass alle Backlinks nur „HTTP“ enthalten: Wenn ein Benutzer versucht, eine URL über HTTPS zu laden, die Website aber nur HTTP verwendet, wird möglicherweise dieser Fehler angezeigt. Der Browser versucht dann, das SSL-Zertifikat von der Website abzurufen, obwohl es keines gibt. Neben der Korrektur von Backlinks sollten für eine Website Weiterleitungen zu HTTP eingerichtet werden, falls jemand versucht, sie über HTTPS zu laden. Es wird außerdem dringend empfohlen, SSL-Zertifikate für solche Websites zu beschaffen.

Was bedeutet „Ihre Verbindung zu dieser Website ist nicht sicher“?

In Chrome wird diese Meldung angezeigt, wenn Sie auf einer HTTP-Website in der Browserleiste auf „Nicht sicher“ klicken. Dies bedeutet, dass die Website kein SSL-Zertifikat besitzt und der Traffic zu und von der Website nicht mit SSL/TLS verschlüsselt wird. Browser blockieren Websites ohne HTTPS normalerweise nicht. Auf Websites ohne HTTPS sollte man jedoch keine personenbezogenen Daten wie Anmeldedaten, Kreditkartendaten oder amtliche Ausweisnummern eingeben.

Wie trägt Cloudflare zur Vermeidung solcher Fehler bei?

Cloudflare bietet für jede Website mit Universal SSL kostenlose SSL/TLS-Verschlüsselung an. Bei Websites mit TLS-Verschlüsselung von Cloudflare sollten die meisten dieser Fehler nicht auftreten, allerdings können sie durch falsch konfigurierte Clientgeräte von Zeit zu Zeit vorkommen. Weitere Informationen über kostenlose SSL-Zertifikate von Cloudflare finden Sie hier. Im Cloudflare Diagnostic Center können Sie Tests auf mögliche SSL/TLS-Fehler durchführen.