kabuntel
Goto Top

Trotz Lets Encrypt Zertifikat, Seite als nicht sicher von Chrome eingestuft

Hallo Community,

ich bin gerade dabei eine Webpräsenz aufzubauen. Dabei nutze ich ein VPS mit Debian 10 und Lamp-Stack auf dem Wordpress läuft.

Heute habe ich mit Hilfe des certbot ein Let's Encrypt Zertifikat erstellt. Der Test auf ssllabs.com gibt mir ein Overall Rating von A. Ich sehe auch das Zertifikat. Nur wenn ich dann auf meine Seite mit https://meineseite.com gehe, sagt Chrome die Seite sei nicht sicher.

Weiß jemand, woran es liegt?

Grüße,
Kabuntel

Content-ID: 482041

Url: https://administrator.de/forum/trotz-lets-encrypt-zertifikat-seite-als-nicht-sicher-von-chrome-eingestuft-482041.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Pjordorf
Pjordorf 06.08.2019 aktualisiert um 13:41:24 Uhr
Goto Top
Raku1994
Raku1994 06.08.2019 um 13:44:16 Uhr
Goto Top
Moin,

hast du nach dem Einbinden des Zertifikats auch deinen Webserver neu gestartet?

Gruß
Kabuntel
Kabuntel 06.08.2019 um 13:53:20 Uhr
Goto Top
Hi,

leider hat der Neustart nichts gebracht face-sad
Kabuntel
Kabuntel 06.08.2019 um 13:55:55 Uhr
Goto Top
Hallo Peter,

danke für Deine Links. Ich bin sämtliche Optionen durchgegangen auf Windowsreport Seite. Hat leider auch nichts gebracht. Alles probiert SSL Cache geleert, DNS Cache geleert, usw, leider kein Erfolg.

An dieser Stelle will ich noch erwähnen, dass das auch beim Firefox der Fall ist und auf meinem Android Smartphone.
Raku1994
Raku1994 06.08.2019 um 14:00:22 Uhr
Goto Top
Sehr komisch. Eigentlich sollte bis auf den Neustart der Certbot alles für dich erledigt. Ich setze den eigentlich immer dafür ein, aber wenn ich dieses Problem mit dem Browser hatte, hatte ein Neustart des Dienstes immer geholfen. Notfalls lass den Certbot nochmal durchlaufen; vielleicht hast du dich irgendwo vertippt oder eine falsche Auswahl in den Optionen getroffen.. face-smile
Kabuntel
Kabuntel 06.08.2019 um 14:07:58 Uhr
Goto Top
Ja, ich habe den Fehler entdeckt.

Beim Certbot habe ich als Domäne meineseite.com ohne www. getippt. In Wordpress unter Einstellungen ist aber als URL www.meineseite.com hinterlegt. Habe es gerade ausgebessert. Jetzt funktionierts.

Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???

Grüße,
Kabuntel
Pjordorf
Pjordorf 06.08.2019 um 14:09:53 Uhr
Goto Top
Hallo,

Zitat von @Kabuntel:
An dieser Stelle will ich noch erwähnen, dass das auch beim Firefox der Fall ist und auf meinem Android Smartphone.
Aber einer wird dir doch sicherlich Sagen was denn angemeckert wird. Du brauchst nur abzulesen und es uns zu sagen.
https://support.google.com/chrome/forum/AAAAP1KN0B07s6tnMabDo4/?hl=en&am ...
https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Comm ...
https://serverfault.com/questions/953297/chrome-show-https-invalid-but-s ...
https://www.techrepublic.com/article/how-to-resolve-ssl-certificate-warn ...

Gruß,
Peter
SlainteMhath
SlainteMhath 06.08.2019 um 14:12:20 Uhr
Goto Top
Moin,

Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
in der Conig der Apache-Site
ServerName domain.de
ServerAlias www.domain.de
....

Und dann Certbot nochmal laufen lassen.

lg,
Slainte
140447
140447 06.08.2019 aktualisiert um 14:15:44 Uhr
Goto Top
Zitat von @Kabuntel:
Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
Beide Domains beim Request mit angeben (oder in Apache Config Alias eintragen) dann wirds ein MultiDomain Certificate mit der www Subdomain als SAN.
Kabuntel
Kabuntel 06.08.2019 um 14:36:17 Uhr
Goto Top
Danke an dieser Stelle für Eure Posts.

Was ich aber nicht gerade verstehe, ist, dass über die URL www.meineseite.com in https://meineseite.com aufgelöst wird. Und zwar ohne, dass ich einen Server Alias in 000-default.conf eingetragen habe.

Soweit habe ich das Zertifikatproblem lösen können. Mit Firefox habe ich keine Probleme, nur bei Chrome ist folgender Hinweis zu sehen:


chrome_meldung_wegen_bild
Raku1994
Lösung Raku1994 06.08.2019 aktualisiert um 14:47:42 Uhr
Goto Top
Ah, jetzt verstehe ich. Ich vermute, auf deiner Seite befindet sich mixed content. Sprich, da sind Grafiken oder Quellen anderer Websites eingebaut. Deshalb gibt da der Browser verständlicherweise eine Warnung aus.

Edit: Da gab's irgendein Tool, mit dem du deine Website nach Stellen scannen konntest, an denen mixed content verwendet wird. Weiß atm leider nicht mehr, wie sie heißt, aber wenn du alle von anderen Websites eingebetteten Elemente entfernst, sollte die Warnung verschwinden.
Kabuntel
Kabuntel 06.08.2019 um 14:55:09 Uhr
Goto Top
Ah ja, verstehe, das macht Sinn.
Werde mich darum mal kümmern. Danke für Deinen Post face-smile
GNULinux
GNULinux 06.08.2019 um 21:07:51 Uhr
Goto Top
Chrome taugt in der Hinsicht nicht mehr viel, da sie - entgegen der Community - erneut die URLs vermeintlich vereinfachen, in dem bestimmte Subdomains entfernt werden: https://www.heise.de/newsticker/meldung/Chrome-versteckt-www-und-https-i ...
Probiere das daher bitte mal mit einem Browser, der die URLs vernünftig anzeigt wie Firefox. Erst wenn der dir auch kein www anzeigt, hast du irgendwo eine Weiterleitung drin. Auch das ist nicht unüblich sondern eher sinnvoll.

Zu dem Mixed Content: Dafür brauchst du keine externen Tools. Es reicht die Browser-Konsole, die müsste in so einem Fall mindestens eine Warnung anzeigen, dass der unsichere Inhalt von XYZ blockiert wurde. Alternativ sieht man das auch in den Requests (unter Firefox der Reiter "Netzwerkanalyse").

Meist kommt es daher, weil im CMS noch die alte http URL als Basis angegeben wurde. Teils gibt es auch schlecht entwickelte Themes die CSS/JS von fremden Servern nachladen und dabei nicht mal aufs Protokoll achten. Genaueres lässt sich ohne Infos nicht sagen, ich würde wie beschrieben in der Konsole/den Requests schauen was genau da nachgeladen wird. Eventuell gibt dir das auch einen Anhaltspunkt, woher das kommt.