cubic83
Goto Top

SSL Zertifikat Fehler

Guten Abend alle zusammen,

wir haben ein zertifiziertes SSL Zertifikat für unsere Website. Ich bekomme jedoch immer die Fehlermeldung "Es liegt ein Problem mit dem Zertifikat vor". Leider sehe ich das Problem nicht. Kann mir jemand verraten mit welchen Mitteln ich das überprüfen kann? Gibts da irgendwelche Tools mit denen man das Zertifikat überprüfen kann?

Falls jemand vielleicht sogar einen Blick drauf werfen kann: Link entfernt
Danke schön,

mfG

Content-ID: 131353

Url: https://administrator.de/forum/ssl-zertifikat-fehler-131353.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

CarstenKoepp
CarstenKoepp 09.12.2009 um 18:13:51 Uhr
Goto Top
Guten Abend,
ich kann dir nur sagen, nach dem ich das Zertifikat geladen und installiert habe geht alles...brauche nur Benutzername und Passwort face-wink

Besten Gruß
Carsten
Cubic83
Cubic83 09.12.2009 um 18:21:50 Uhr
Goto Top
Also bekommst du diese Meldung nicht angezeigt? Was meinst du mit geladen? Hast du das Zertifikat separat installiert?

801b47c6e215662c0266b68db2f0be88
dog
dog 09.12.2009 um 18:30:32 Uhr
Goto Top
Firefox sagt es eigentlich eindeutig: (Fehlercode: sec_error_unknown_issuer)

Um das zu erklären muss man sich verdeutlichen, dass SSL einen ziemlich unglücklichen Spagat zwischen zwei grundverschiedenen Dingen macht:

A) Verschlüsselung
B) Identifizierung

Diese Kombination ist relativ bescheuert, denn auch wenn du nur an A) interessiert bist musst du immer auf B) achten (das freut die Zertifikatmafia).

Also, technisch ist dein Zertifikat OK und die Verbindung ist abhörsicher.
Allerdigs erkennt Firefox dein Zertifikat nicht als vertrauenswürdig an (da self-signed) und das bedeutet:
Jeder Browser hat eine Liste von Firmen, die er als vertrauenswürdig ansieht Zertifikate auszustellen (Ja, das ist eine direkte Bevormundung und alles andere als gut). Ist die Firma, die dein Zertifikat ausgestellt hat (nämlich deine Firma selbst) nicht in dieser Liste kommt es zu obigen Fehler.

Ausweg:
a) Besorg dir ein kommerzielles Zertifikat für 20-3000€ pro Jahr
b) Sorg dafür, dass für deine Rechner deine Firma als vertrauenswürdiger Zertifikatherausgeber gilt.

Grüße

Max
CarstenKoepp
CarstenKoepp 09.12.2009 um 18:42:06 Uhr
Goto Top
Hallo Cubic83,
der Max hat es schon geschrieben...ich habe Firefox auf meinem Mac und dies manuell als Vertrauenwürdig eingestuft und installiert.
Dies musst du so wie Max ja schon geschrieben hat bei allen Rechnern machen oder dir eins kaufen, welches von einer Vertrauenswürdigen Stelle kommt, zb. hier.

Besten Gruß
Carsten
Cubic83
Cubic83 09.12.2009 um 18:59:00 Uhr
Goto Top
Das ist ja was ist nicht verstehe. Das ist (oder sollte sein) ein kommerzielles Zertifikat.

Ich habe ja im Vorfeld schon ein wenig gesucht, und es wird oft von einer Zertifizierungskette gesprochen (sprich, der anbieter ist bei einem anderen anbieter gelistet und der ist noch bei einem anderen,etc. Der Browser muss jedes Glied in dieser Kette kennen). Kann es denn sein, dass irgendwo ein Anbieter fehlt? Mus da vielleicht ein Zertifikat auf dem Server installiert sein?

Vielleicht verstehe ich auch irgendwas falsch. Was wir wollen ist
A) Verschlüsselung
B) Identifizierung - sprich, es muss ersichtlich sein, dass wir der Eigentümer sind

und zusätzlich noch

c) Wir wollen nicht dass der Benutzer irgendetwas tun muss (Wie halt bei einem Shop, da installier ich auch keine Zertifikate und klicke auch keine Meldungen weg). Das wird aber dann auch unter B) fallen.
dog
dog 09.12.2009 um 19:09:59 Uhr
Goto Top
Kann es denn sein, dass irgendwo ein Anbieter fehlt? Mus da vielleicht ein Zertifikat auf dem Server installiert sein?

Ja, wenn die ausstellende CA keine Root-CA ist muss der Server aus das Zertifikat der übergeordneten CA etc. mitliefern.

Ein korrekter Chain of Trust sieht z.B. so aus:
8e33e5a274e4216467efb7afebe187ce

Die Darstellung erhälst du aber auch nur, wenn der Server alle notwendigen Zertifikate ausliefert.

Wenn du dir die Zertifikathierarchie beim Anbieter selbst anschaust: https://www.luxtrust.lu/faq/faq_ssl siehst du auch, dass er weitere Zertifikate in der Kette benötigt.

Grüße

Max
Cubic83
Cubic83 09.12.2009 um 19:54:57 Uhr
Goto Top
Super! Da hab ich schon mal einen Anhaltspunkt.

Danke!!!