Der Fehler „NET::ERR_CERT_AUTHORITY_INVALID“ erscheint häufig, wenn etwas mit der Zertifikatskette nicht stimmt. Oft sind eine falsche Systemzeit, manipulierte Zertifikate oder Sicherheitssoftware die Ursache. In diesem Beitrag zeigen wir Ihnen, wie Sie Zertifikatsketten mit Entwicklertools analysieren, Root-Stores aktualisieren und die Interception durch Antivirenprogramme verhindern.
Inhalt
Zertifikatsfehler: Ursachen und Erkennung
Was bedeutet der Zertifikatsfehler „NET::ERR_CERT_AUTHORITY_INVALID“?
Der Fehler „NET::ERR_CERT_AUTHORITY_INVALID“ tritt auf, wenn ein Webbrowser einem Website-Zertifikat nicht vertraut. Dies ist meist der Fall, wenn das Zertifikat von einer nicht anerkannten Zertifizierungsstelle ausgestellt wurde oder die Zertifikatskette unterbrochen ist. Der Browser blockiert dann den Zugriff, um die Sicherheit der Verbindung zu gewährleisten.
Häufige Ursachen für den Zertifikatsfehler
Es gibt mehrere Gründe, die zu diesem spezifischen Zertifikatsfehler führen können. Im Folgendendie häufigsten Ursachen:
- Falsche Systemzeit: Eine inkorrekte Datums- oder Zeiteinstellung auf Ihrem Gerät kann dazu führen, dass Zertifikate als ungültig angesehen werden, da deren Gültigkeitsdaten nicht mit der aktuellen Systemzeit übereinstimmen.
- Manipulierte Zertifikatsketten: Häufig ist eine unterbrochene oder fehlerhafte Zertifikatskette Ursache für das Misstrauen des Browsers. Insbesondere selbstsignierte Zertifikate oder falsch ausgestellte Zwischenzertifikate können dieses Problem hervorrufen.
- Antivirenprogramme: Einige Sicherheitslösungen greifen in den HTTPS-Datenverkehr ein und nutzen eigene Zertifikate, um den verschlüsselten Datenverkehr zu analysieren. Sollte das Antivirenprogramm nicht korrekt konfiguriert sein, könnte der Browser auf einen Zertifikatsfehler stoßen.
Zertifikatsketten mit Developer Tools analysieren
Um die Ursache eines Zertifikatsfehlers festzustellen, bieten moderne Browser eingebaute Developer Tools. Diese erlauben es, Zertifikatsketten detailliert zu inspizieren.
- Öffnen Sie die Entwicklerwerkzeuge in Ihrem Browser (meist via F12 oder Rechtsklick -> Untersuchen).
- Wechseln Sie zum Tab „Sicherheit“ oder „Security“.
- Hier können Sie die Details der Zertifikatskette, die Gültigkeit des Zertifikats sowie die ausstellende Behörde einsehen.
Root-Stores aktualisieren und pflegen
Stellen Sie sicher, dass Ihr Betriebssystem stets auf dem neuesten Stand ist, da regelmäßig Aktualisierungen für Root-Zertifikate bereitgestellt werden. Sowohl Windows als auch macOS haben Mechanismen, diese automatisch zu aktualisieren. Prüfen Sie in den Einstellungen, ob automatische Updates aktiviert sind.
Für Unternehmen mit individuellen Anforderungen kann es sinnvoll sein, eigene Richtlinien für die Pflege von Root-Zertifikaten zu setzen. Hierzu sollten regelmäßig die Listen vertrauenswürdiger Zertifizierungsstellen überprüft und aktualisiert werden.
Unterschiede zwischen Unternehmensgeräten und Privatgeräten
Unternehmensgeräte sind oft durch spezielle Richtlinien geschützt, die Zertifikate betreffen. IT-Abteilungen nutzen häufig eigene interne Zertifizierungsstellen, was andere Zertifikatsanforderungen mit sich bringt als private Geräte. Dies kann bei Mitarbeitern zu Problemen führen, wenn sie Unternehmensressourcen außerhalb der Netzwerk-Umgebung erreichen wollen.
Für Privatanwender ist es entscheidend, Sicherheitssoftware richtig zu konfigurieren und stets auf dem neuesten Stand zu halten, um ungewollte Zertifikatsfehler zu verhindern.
Analyse von Zertifikatsketten mit Developer Tools und OpenSSL
Grundlagen der Zertifikatskette
Um die Gültigkeit eines SSL/TLS-Zertifikats zu überprüfen, ist die Analyse der Zertifikatskette entscheidend. Eine Zertifikatskette besteht aus dem Endbenutzerzertifikat, Zwischenzertifikaten und dem Root-Zertifikat. Das Verständnis dieser Struktur hilft dabei, potenzielle Probleme mit der Zertifizierung zu identifizieren.
Zertifikatsanalyse mit Developer Tools
Moderne Browser bieten Entwicklertools zur Einsicht in die Zertifikate einer Website. Hier zeigen wir die Schritte für Google Chrome:
- Öffnen Sie die Website und klicken Sie auf das Schlosssymbol in der Adressleiste.
- Wählen Sie „Zertifikat“ aus, um Details anzuzeigen.
- Nutzen Sie die Registerkarten „Allgemein,“ „Details“ und „Zertifizierungspfad,“ um Informationen zu den jeweiligen Zertifikaten in der Kette zu sehen.
Diese Informationen ermöglichen, die Aussteller der Zertifikate und die Integrität der Kette zu überprüfen.
OpenSSL zur detaillierten Analyse verwenden
OpenSSL ist ein unverzichtbares Werkzeug für die Analyse von SSL/TLS-Zertifikaten in einer tiefergehenden Weise. Folgen Sie den Schritten, um mit OpenSSL eine Zertifikatskette zu analysieren:
- Laden Sie das Zertifikat der Website herunter und speichern Sie es als
cert.pem. - Verwenden Sie den Befehl
openssl x509 -in cert.pem -text -noout, um die Zertifikatsdetails anzuzeigen. - Zur Überprüfung der Zertifikatskette führen Sie
openssl verify -CAfile chain.pem cert.pemaus, wobeichain.pemdie Datei mit den Zwischen- und Root-Zertifikaten ist.
Diese Schritte ermöglichen die Identifikation von Problemen wie falschen Zwischenzertifikaten.
Häufige Probleme und ihre Behebung
Ein fehlerhaftes Zertifikat kann unterschiedliche Ursachen haben. Diese Probleme lassen sich häufig durch Aktualisierung der Root-Stores, Wechsel des Zertifikatanbieters oder Anpassung der Systemeinstellungen lösen.
| Problem | Ursache | Lösung |
|---|---|---|
| Abgelaufenes Zertifikat | Das Zertifikat ist nicht aktualisiert worden. | Zertifikat beim Anbieter erneuern. |
| Fehlendes Zwischenzertifikat | Zwischenzertifikat in der Kette fehlt. | Kette komplett bereitstellen oder konfigurieren. |
| Manipulierte Kette | Drittanbieter-Software greift ein. | Antiviren-Einstellungen prüfen und justieren. |
Durch eine detaillierte Analyse und die Beachtung der häufigsten Ursachen lassen sich viele Zertifikatsprobleme effektiv beheben.
Maßnahmen zur Fehlerbehebung: Systemzeitkorrektur und AV-Einstellungen
Systemzeitkorrektur
Ein häufiger Grund für den Fehler „NET::ERR_CERT_AUTHORITY_INVALID“ ist eine falsch eingestellte Systemzeit. Zertifikate basieren auf präzisen Zeitberechnungen, und selbst kleinste Diskrepanzen können zu einem Scheitern der Verifikation führen. Um sicherzustellen, dass die Systemzeit Ihres Geräts korrekt ist, folgen Sie diesen Schritten:
- Öffnen Sie die Systemeinstellungen Ihres Geräts.
- Navigieren Sie zum Abschnitt „Datum und Uhrzeit“.
- Aktivieren Sie die Option „Einstellungen automatisch beziehen“, um die Zeit von einem Internetzeitserver synchronisieren zu lassen.
- Prüfen Sie, ob die Zeitzone korrekt eingestellt ist und passen Sie sie bei Bedarf an.
Falls das Gerät keinen Zugriff auf einen Internetzeitserver hat oder die Synchronisation fehlschlägt, sollten Sie die Zeit manuell anpassen. Vergleichen Sie die Uhrzeit Ihres Geräts mit einer verlässlichen Quelle zur genauen Einrichtung.
Antiviren-Einstellungen (AV-Einstellungen)
Antivirenprogramme bieten einen weiteren möglichen Konfliktpunkt durch ihre HTTPS-Interceptions, die für zusätzliche Sicherheit sorgen sollen, jedoch auch Zertifikatsfehler verursachen können. Um dies zu verhindern, können folgende Schritte unternommen werden:
- Öffnen Sie die Einstellungen Ihres Antivirenprogramms.
- Suchen Sie nach Optionen, die mit „HTTPS-Scannen“ oder „gesicherte Verbindungen prüfen“ betitelt sind.
- Deaktivieren Sie temporär diese Funktion, um zu prüfen, ob der Fehler behoben wird.
- Falls der Fehler verschwindet, überlegen Sie, ob ein Wechsel zu einem Antivirenprogramm sinnvoll ist, das mit der Zertifikatsverarbeitung Ihres Browsers besser kompatibel ist.
Es ist auch ratsam, regelmäßige Updates für Ihr Antivirenprogramm durchzuführen, da viele Anbieter Aktualisierungen bereitstellen, die Kompatibilitätsprobleme beheben können.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten