13
Trotz Lets Encrypt Zertifikat, Seite als nicht sicher von Chrome eingestuft
Hallo Community,
ich bin gerade dabei eine Webpräsenz aufzubauen. Dabei nutze ich ein VPS mit Debian 10 und Lamp-Stack auf dem Wordpress läuft.
Heute habe ich mit Hilfe des certbot ein Let's Encrypt Zertifikat erstellt. Der Test auf ssllabs.com gibt mir ein Overall Rating von A. Ich sehe auch das Zertifikat. Nur wenn ich dann auf meine Seite mit https://meineseite.com gehe, sagt Chrome die Seite sei nicht sicher.
Weiß jemand, woran es liegt?
Grüße,
Kabuntel
ich bin gerade dabei eine Webpräsenz aufzubauen. Dabei nutze ich ein VPS mit Debian 10 und Lamp-Stack auf dem Wordpress läuft.
Heute habe ich mit Hilfe des certbot ein Let's Encrypt Zertifikat erstellt. Der Test auf ssllabs.com gibt mir ein Overall Rating von A. Ich sehe auch das Zertifikat. Nur wenn ich dann auf meine Seite mit https://meineseite.com gehe, sagt Chrome die Seite sei nicht sicher.
Weiß jemand, woran es liegt?
Grüße,
Kabuntel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 482041
Url: https://administrator.de/contentid/482041
Ausgedruckt am: 20.11.2024 um 15:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
Was sagt dein Chrome denn zum Zertifikat aus?
https://windowsreport.com/https-error-google-chrome/
https://aboutssl.org/ssl-certificate-errors-in-google-chrome/
https://troubleshooter.xyz/wiki/fix-ssl-certificate-error-google-chrome/
Gruß,
Peter
Was sagt dein Chrome denn zum Zertifikat aus?
https://windowsreport.com/https-error-google-chrome/
https://aboutssl.org/ssl-certificate-errors-in-google-chrome/
https://troubleshooter.xyz/wiki/fix-ssl-certificate-error-google-chrome/
Gruß,
Peter
Moin,
hast du nach dem Einbinden des Zertifikats auch deinen Webserver neu gestartet?
Gruß
hast du nach dem Einbinden des Zertifikats auch deinen Webserver neu gestartet?
Gruß
Hi,
leider hat der Neustart nichts gebracht
leider hat der Neustart nichts gebracht
Hallo Peter,
danke für Deine Links. Ich bin sämtliche Optionen durchgegangen auf Windowsreport Seite. Hat leider auch nichts gebracht. Alles probiert SSL Cache geleert, DNS Cache geleert, usw, leider kein Erfolg.
An dieser Stelle will ich noch erwähnen, dass das auch beim Firefox der Fall ist und auf meinem Android Smartphone.
danke für Deine Links. Ich bin sämtliche Optionen durchgegangen auf Windowsreport Seite. Hat leider auch nichts gebracht. Alles probiert SSL Cache geleert, DNS Cache geleert, usw, leider kein Erfolg.
An dieser Stelle will ich noch erwähnen, dass das auch beim Firefox der Fall ist und auf meinem Android Smartphone.
Sehr komisch. Eigentlich sollte bis auf den Neustart der Certbot alles für dich erledigt. Ich setze den eigentlich immer dafür ein, aber wenn ich dieses Problem mit dem Browser hatte, hatte ein Neustart des Dienstes immer geholfen. Notfalls lass den Certbot nochmal durchlaufen; vielleicht hast du dich irgendwo vertippt oder eine falsche Auswahl in den Optionen getroffen.. 
Ja, ich habe den Fehler entdeckt.
Beim Certbot habe ich als Domäne meineseite.com ohne www. getippt. In Wordpress unter Einstellungen ist aber als URL www.meineseite.com hinterlegt. Habe es gerade ausgebessert. Jetzt funktionierts.
Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
Grüße,
Kabuntel
Beim Certbot habe ich als Domäne meineseite.com ohne www. getippt. In Wordpress unter Einstellungen ist aber als URL www.meineseite.com hinterlegt. Habe es gerade ausgebessert. Jetzt funktionierts.
Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
Grüße,
Kabuntel
Hallo,
https://support.google.com/chrome/forum/AAAAP1KN0B07s6tnMabDo4/?hl=en&am ...
https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Comm ...
https://serverfault.com/questions/953297/chrome-show-https-invalid-but-s ...
https://www.techrepublic.com/article/how-to-resolve-ssl-certificate-warn ...
Gruß,
Peter
Zitat von @Kabuntel:
An dieser Stelle will ich noch erwähnen, dass das auch beim Firefox der Fall ist und auf meinem Android Smartphone.
Aber einer wird dir doch sicherlich Sagen was denn angemeckert wird. Du brauchst nur abzulesen und es uns zu sagen.An dieser Stelle will ich noch erwähnen, dass das auch beim Firefox der Fall ist und auf meinem Android Smartphone.
https://support.google.com/chrome/forum/AAAAP1KN0B07s6tnMabDo4/?hl=en&am ...
https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Comm ...
https://serverfault.com/questions/953297/chrome-show-https-invalid-but-s ...
https://www.techrepublic.com/article/how-to-resolve-ssl-certificate-warn ...
Gruß,
Peter
1
Moin,
Und dann Certbot nochmal laufen lassen.
lg,
Slainte
Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
in der Conig der Apache-SiteServerName domain.de
ServerAlias www.domain.de
....Und dann Certbot nochmal laufen lassen.
lg,
Slainte
1Zitat von @Kabuntel:
Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
Beide Domains beim Request mit angeben (oder in Apache Config Alias eintragen) dann wirds ein MultiDomain Certificate mit der www Subdomain als SAN.Nur, will ich natürlich, dass das Zertifikat auch für www.meineseite.com funkt. Hast Du oder jemand dafür einen Ansatz???
1
Danke an dieser Stelle für Eure Posts.
Was ich aber nicht gerade verstehe, ist, dass über die URL www.meineseite.com in https://meineseite.com aufgelöst wird. Und zwar ohne, dass ich einen Server Alias in 000-default.conf eingetragen habe.
Soweit habe ich das Zertifikatproblem lösen können. Mit Firefox habe ich keine Probleme, nur bei Chrome ist folgender Hinweis zu sehen:
Was ich aber nicht gerade verstehe, ist, dass über die URL www.meineseite.com in https://meineseite.com aufgelöst wird. Und zwar ohne, dass ich einen Server Alias in 000-default.conf eingetragen habe.
Soweit habe ich das Zertifikatproblem lösen können. Mit Firefox habe ich keine Probleme, nur bei Chrome ist folgender Hinweis zu sehen:
Ah, jetzt verstehe ich. Ich vermute, auf deiner Seite befindet sich mixed content. Sprich, da sind Grafiken oder Quellen anderer Websites eingebaut. Deshalb gibt da der Browser verständlicherweise eine Warnung aus.
Edit: Da gab's irgendein Tool, mit dem du deine Website nach Stellen scannen konntest, an denen mixed content verwendet wird. Weiß atm leider nicht mehr, wie sie heißt, aber wenn du alle von anderen Websites eingebetteten Elemente entfernst, sollte die Warnung verschwinden.
Edit: Da gab's irgendein Tool, mit dem du deine Website nach Stellen scannen konntest, an denen mixed content verwendet wird. Weiß atm leider nicht mehr, wie sie heißt, aber wenn du alle von anderen Websites eingebetteten Elemente entfernst, sollte die Warnung verschwinden.
1
Ah ja, verstehe, das macht Sinn.
Werde mich darum mal kümmern. Danke für Deinen Post
Werde mich darum mal kümmern. Danke für Deinen Post
Chrome taugt in der Hinsicht nicht mehr viel, da sie - entgegen der Community - erneut die URLs vermeintlich vereinfachen, in dem bestimmte Subdomains entfernt werden: https://www.heise.de/newsticker/meldung/Chrome-versteckt-www-und-https-i ...
Probiere das daher bitte mal mit einem Browser, der die URLs vernünftig anzeigt wie Firefox. Erst wenn der dir auch kein www anzeigt, hast du irgendwo eine Weiterleitung drin. Auch das ist nicht unüblich sondern eher sinnvoll.
Zu dem Mixed Content: Dafür brauchst du keine externen Tools. Es reicht die Browser-Konsole, die müsste in so einem Fall mindestens eine Warnung anzeigen, dass der unsichere Inhalt von XYZ blockiert wurde. Alternativ sieht man das auch in den Requests (unter Firefox der Reiter "Netzwerkanalyse").
Meist kommt es daher, weil im CMS noch die alte http URL als Basis angegeben wurde. Teils gibt es auch schlecht entwickelte Themes die CSS/JS von fremden Servern nachladen und dabei nicht mal aufs Protokoll achten. Genaueres lässt sich ohne Infos nicht sagen, ich würde wie beschrieben in der Konsole/den Requests schauen was genau da nachgeladen wird. Eventuell gibt dir das auch einen Anhaltspunkt, woher das kommt.
Probiere das daher bitte mal mit einem Browser, der die URLs vernünftig anzeigt wie Firefox. Erst wenn der dir auch kein www anzeigt, hast du irgendwo eine Weiterleitung drin. Auch das ist nicht unüblich sondern eher sinnvoll.
Zu dem Mixed Content: Dafür brauchst du keine externen Tools. Es reicht die Browser-Konsole, die müsste in so einem Fall mindestens eine Warnung anzeigen, dass der unsichere Inhalt von XYZ blockiert wurde. Alternativ sieht man das auch in den Requests (unter Firefox der Reiter "Netzwerkanalyse").
Meist kommt es daher, weil im CMS noch die alte http URL als Basis angegeben wurde. Teils gibt es auch schlecht entwickelte Themes die CSS/JS von fremden Servern nachladen und dabei nicht mal aufs Protokoll achten. Genaueres lässt sich ohne Infos nicht sagen, ich würde wie beschrieben in der Konsole/den Requests schauen was genau da nachgeladen wird. Eventuell gibt dir das auch einen Anhaltspunkt, woher das kommt.
