Browser brechen Verbindungen ab oder blenden Warnseiten ein, wenn sie Anzeichen für eine unsichere oder manipulierte HTTPS-Kommunikation erkennen. Hinter Meldungen wie Zertifikatsfehlern, blockiertem Mixed Content oder HSTS-Fehlern stehen konkrete Prüfungen im TLS-Handshake, in der Zertifikatskette, in der Hostname-Validierung und in Browser-Sicherheitsrichtlinien. In der Praxis führt das bei Betrieb, Incident-Analyse oder Rollouts regelmäßig zu Rückfragen: Ist das Problem serverseitig, liegt ein Konfigurationsfehler vor, oder verändert ein Proxy im Unternehmensnetz die Verbindung? Auch lokale Entwicklungsumgebungen mit selbstsignierten Zertifikaten, SSL-Inspection durch Deep-Inspection-Firewalls oder falsch verteilte interne Root-CAs können identische Warnbilder erzeugen wie echte Angriffe. Wer eine Meldung korrekt einordnen will, braucht die exakte Fehlermeldung, den technischen Hintergrund und reproduzierbare Prüfschritte, um Ursache, Risiko und nächste Maßnahmen belastbar abzuleiten.
Inhalt
- Zertifikats- und TLS-Fehler: typische Browsermeldungen, Ursachen und Prüfmethoden
- Mixed Content, unsichere Inhalte und Richtlinien-Blockaden: was Browser wirklich verhindern
- HSTS und Sonderfälle: Preload, Zeitfehler, Unternehmensproxies, SSL-Inspection und lokale Testzertifikate
- HSTS-Grundlagen: Policies, Caching und harte Blockaden
- Preload-Sonderfall: Warum sich Fehler nicht „wegklicken“ lassen
- Zeitfehler und OCSP/CRL-Effekte: Wenn „gültige“ Zertifikate scheitern
- Unternehmensproxies und SSL-Inspection: MitM als „erklärbarer“ Zertifikatsfehler
- Lokale Testzertifikate und Dev-Setups: HSTS als Stolperfalle
Zertifikats- und TLS-Fehler: typische Browsermeldungen, Ursachen und Prüfmethoden
Zertifikats- und TLS-Fehler entstehen überwiegend in drei Schichten: (1) Identität (Hostname/Chain/Vertrauen), (2) Gültigkeit (Zeitfenster, Sperrstatus), (3) Transport (Protokoll- und Cipher-Aushandlung). Browser verdichten diese Ursachen zu relativ wenigen Warnseiten, die je nach Produkt und Plattform unterschiedlich formuliert sind. Für die Einordnung ist entscheidend, ob der Browser eine übergehbare Warnung anbietet oder den Zugriff strikt blockiert (typisch bei HSTS oder bei Protokollfehlern während des Handshakes).
Typische Browsermeldungen und was sie technisch bedeuten
Die folgende Tabelle ordnet verbreitete Meldungstexte den häufigsten technischen Ursachen zu. Die Formulierungen sind bewusst nah an den im UI sichtbaren Kernstrings gehalten; Details (z. B. Fehlercodes) werden je nach Build, Sprache und Plattform abweichend angezeigt.
| Browsermeldung / Code (Beispiele) | Wahrscheinliche Ursache (technischer Kern) | Betroffene Browser | Prüfmethoden (konkret) |
|---|---|---|---|
NET::ERR_CERT_COMMON_NAME_INVALID / „Verbindung ist nicht privat“ |
Zertifikat passt nicht zum Hostnamen (SAN/CN), falsches Zertifikat am vHost/Ingress, fehlende SAN-Einträge | Chrome/Edge (Chromium), häufig ähnlich in Brave/Vivaldi | openssl s_client -connect example.tld:443 -servername example.tld -showcertsopenssl x509 -noout -text -in cert.pem (SAN prüfen) |
NET::ERR_CERT_DATE_INVALID / „Zertifikat abgelaufen oder noch nicht gültig“ |
Ablaufdatum überschritten, falsche Systemzeit, „Not Before“ in der Zukunft (z. B. bei Deployment-Pipeline); je nach Browser/Policy kann auch eine fehlgeschlagene Sperrprüfung (OCSP/CRL) als Zertifikatsproblem gemeldet werden | Chrome/Edge, oft analog in Firefox | date bzw. Zeitsync prüfen; Zertifikatsdaten mit openssl x509 -noout -dates -in cert.pem |
NET::ERR_CERT_AUTHORITY_INVALID / „Aussteller nicht vertrauenswürdig“ |
Unbekannte/privat signierende CA, fehlende Intermediate(s) am Server, unternehmensinterne TLS-Inspection-CA nicht verteilt | Chrome/Edge, Safari, Firefox (je nach Trust-Store) | Kettenprüfung: openssl s_client -connect example.tld:443 -servername example.tld -showcertsChain lokal: openssl verify -CAfile ca-bundle.pem cert.pem |
SEC_ERROR_UNKNOWN_ISSUER / MOZILLA_PKIX_ERROR_* |
Firefox-spezifische PKIX-Validierung: fehlende Intermediate, abweichende Trust-Store-Entscheidung, Enterprise Roots/Policies | Firefox | Firefox-Fehlerdetails öffnen; ggf. Richtlinien prüfen (about:policies); Chain mit openssl gegen erwartete CA verifizieren |
ERR_SSL_VERSION_OR_CIPHER_MISMATCH / „Diese Website verwendet einen nicht unterstützten Protokolltyp“ |
Server bietet nur veraltete TLS-Versionen oder inkompatible Cipher-Suites; falsches SNI-Routing (Default-Zertifikat/Default-Backend); in Einzelfällen auch Middleboxes/Proxies mit TLS-Inkompatibilität | Chrome/Edge; in Safari/Firefox ähnlich als „Secure Connection Failed“ | openssl s_client -connect example.tld:443 -servername example.tld -tls1_2openssl s_client -connect example.tld:443 -servername example.tld -tls1_3 (Aushandlung vergleichen) |
| „Secure Connection Failed“ / „Kann keine sichere Verbindung herstellen“ | Handshake-Abbruch (z. B. Firewall/Proxy/MTU/Fragmentierung), TLS-Interception mit Protokollbruch, fehlendes SNI-Routing, inkompatible TLS-Parameter | Firefox, Safari (abweichende Texte) | Netzpfad prüfen; mit openssl s_client -connect example.tld:443 -servername example.tld reproduzieren; parallel Paketmitschnitt (z. B. mit Wireshark) zur Handshake-Phase |
| „Dies ist nicht sicher“ mit Hinweis auf HSTS / „You cannot visit this site right now“ | HSTS aktiv: Zertifikatsfehler nicht übergehbar; häufig nach Domain-Umzug, abgelaufenem Zertifikat oder falscher Kette | Chrome/Edge, Firefox (HSTS-Block mit eigenen Texten) | HSTS-Header prüfen: curl -I https://example.tld; Preload-Status separat validieren (öffentliches Preload-Listing), Zertifikat/Kette wie oben prüfen |
Prüfkette in der Praxis: vom DNS bis zur Zertifikatskette
In der Fehleranalyse bewährt sich eine feste Reihenfolge. Zunächst klärt eine saubere Namensauflösung, ob der Browser überhaupt den erwarteten Endpunkt erreicht; danach folgt die Serveridentität über SNI und schließlich die kryptografische Aushandlung. Besonders häufig sind Konfigurationsfehler an Load-Balancern oder Ingress-Controllern, die bei fehlendem SNI ein Default-Zertifikat ausliefern. Auch ein korrektes Leaf-Zertifikat hilft nicht, wenn Intermediates fehlen: Viele Serverkonfigurationen liefern nur das Leaf aus, während Browser die Zwischenzertifikate nicht zuverlässig „nachladen“ (AIA-Fetching ist weder garantiert noch in allen Situationen zulässig).
- DNS- und Routing-Abgleich:
dig +short A example.tlddig +short AAAA example.tldcurl -vkI https://example.tld(Ziel-IP und Serverzertifikat grob gegenprüfen) - SNI erzwingen und Zertifikatskette anzeigen:
openssl s_client -connect example.tld:443 -servername example.tld -showcerts(Leaf und Intermediates müssen vollständig und in plausibler Reihenfolge vorliegen) - Hostname/Subject Alternative Name prüfen:
openssl x509 -noout -text -in cert.pem(EintragX509v3 Subject Alternative Name; Wildcards nur in zulässiger Form, z. B.*.example.tld) - Gültigkeit und Zeitquellen:
openssl x509 -noout -dates -in cert.pemtimedatectl status(bei Linux; Zeitsynchronisation und Zeitzone plausibilisieren) - Protokoll-/Cipher-Isolation:
openssl s_client -connect example.tld:443 -servername example.tld -tls1_2openssl s_client -connect example.tld:443 -servername example.tld -tls1_3(bricht nur eine Version, liegt oft ein Server- oder Middlebox-Problem vor)
Sonderfälle: Unternehmensproxies, Deep Inspection und lokale Testzertifikate
In Unternehmensnetzen verändern Proxies und Deep-Inspection-Firewalls die Vertrauenskette, indem sie TLS-Verbindungen terminieren und mit einer internen CA neu signieren. Das führt typischerweise zu „Aussteller nicht vertrauenswürdig“, wenn das Root-Zertifikat der Unternehmens-CA nicht in den Trust-Store des Endgeräts (oder nicht in den jeweiligen Browser-Store) eingebunden ist. Bei Firefox sind Abweichungen besonders häufig, weil Firefox je nach Konfiguration seinen eigenen Zertifikatsspeicher nutzt oder per Policy Unternehmens-Roots übernimmt. Zusätzlich können Proxies moderne TLS-Parameter (z. B. bestimmte Extensions) unvollständig unterstützen; dann äußert sich der Fehler nicht als CA-Problem, sondern als Handshake-Abbruch.
Lokale Entwicklungsumgebungen sind ein weiterer Auslöser. Selbst signierte Zertifikate oder lokal ausgerollte Development-CAs sind funktional, solange das Root-Zertifikat sauber verteilt und die Hostnames stimmen. Probleme entstehen, wenn in Containern oder CI-Runnern eine andere CA-Bundle-Version verwendet wird als auf dem Entwicklerrechner, oder wenn Zugriff über IP-Adresse erfolgt, während das Zertifikat nur DNS-Namen enthält. Auch HSTS aus früheren Tests kann lokale Umgebungen „verhärten“: Ist eine Domain im Browser-HSTS-Cache oder per Preload erfasst, wird ein Zertifikatsfehler nicht mehr übergehbar, selbst wenn es sich um eine temporäre Testumgebung handelt.
- Proxy-/Inspection-Indikatoren: Zertifikatsaussteller im Browser-Dialog prüfen; bei Verdacht Gegenprobe über ein Netz ohne Unternehmensproxy (z. B. separater Mobilfunkzugang) durchführen, ohne Konfigurationen zu vermischen.
- Trust-Store-Divergenz verifizieren: Auf dem System installierte Roots mit
certmgr.msc(Windows) bzw. Schlüsselbundverwaltung (macOS) prüfen; Firefox-Policies inabout:policieskontrollieren. - Lokale CA sauber einsetzen: Root-CA nur intern verteilen, Leaf-Zertifikate mit korrekten SANs ausstellen; bei Zugriff über
https://127.0.0.1oderhttps://localhostsicherstellen, dass genau diese Identifikatoren im SAN enthalten sind. - HSTS als Blocker erkennen: Response-Header prüfen:
curl -I https://example.tld(HeaderStrict-Transport-Security); bei Fehlkonfiguration zuerst Zertifikat/Kette reparieren, statt auf Umgehungen zu setzen.
Bei reproduzierbaren Fehlern trotz korrekt wirkender Serverkonfiguration lohnt ein Vergleich aus verschiedenen Client-Kontexten: unterschiedlicher Browser, frisches Profil ohne Erweiterungen, sowie ein Test von einem externen Host. Bleibt der Fehler ausschließlich in einem Netzwerksegment bestehen, sprechen die Indikatoren häufig für TLS-Interception oder für selektive Filterregeln, die bereits den Handshake beeinflussen.
Mixed Content, unsichere Inhalte und Richtlinien-Blockaden: was Browser wirklich verhindern
„Mixed Content“ entsteht, wenn eine per HTTPS geladene Seite zusätzliche Ressourcen über unsichere oder aus Richtliniensicht unzulässige Kanäle einbindet. Moderne Browser behandeln das nicht als kosmetisches Detail: Sie werten die Seite zwar weiterhin als „HTTPS“, verhindern aber je nach Inhaltstyp das Nachladen, markieren die Verbindung als potenziell kompromittiert oder blockieren aktive Ausführung vollständig. Neben klassischen HTTP-Subresources greifen dabei Sicherheitsrichtlinien wie Content Security Policy (CSP), Cross-Origin Resource Policy (CORP) oder (in speziellen Fällen) Permissions-Policy ein und erzeugen Meldungen, die häufig mit Zertifikatsfehlern verwechselt werden, obwohl die TLS-Verbindung zur Hauptseite korrekt ist.
Mixed Content: aktive gegen passive Inhalte und das Blockierungsmodell
Browser unterscheiden grob zwischen „passivem“ und „aktivem“ Mixed Content. Passive Inhalte (typisch: Bilder) können die Integrität der Darstellung beeinflussen, aber nicht ohne Weiteres Skriptlogik ausführen. Aktive Inhalte (Skripte, Stylesheets, iframes, XHR/fetch, WebSockets) verändern hingegen unmittelbar das Laufzeitverhalten und eröffnen Angriffsflächen wie Script-Injection oder Session-Exfiltration. Deshalb blockieren Browser aktiven Mixed Content standardmäßig, während passiver Mixed Content je nach Browser und Einstellungen zwar geladen werden kann, aber häufig mit einem Indikator oder einer Warnung einhergeht. In aktuellen Chromium-basierten Browsern wird zudem für viele Subresources ein „autoupgrade“ angewendet: Bestimmte HTTP-Subresources werden auf HTTPS hochgestuft; scheitert das, folgt Blockierung.
Technisch ist der Kern des Problems nicht „fehlende Verschlüsselung“ im Allgemeinen, sondern der Bruch des Sicherheitskontexts: Ein sicheres Dokument darf keine unsicheren Subrequests ausführen, weil ein Netzwerkangreifer an dieser Stelle Inhalte manipulieren kann. Die Blockade kann außerdem auftreten, obwohl die Ziel-URL ebenfalls HTTPS ist, wenn Weiterleitungen letztlich auf HTTP enden oder wenn ein Service Worker eine unsichere Weitergabe auslöst.
| Browser-Meldung (typisch) | Technischer Hintergrund | Betroffene Browser | Konkrete Prüfschritte |
|---|---|---|---|
| Mixed Content: The page at ‚https://…‘ was loaded over HTTPS, but requested an insecure script ‚http://…‘. This request has been blocked; the content must be served over HTTPS. | Aktiver Mixed Content (z. B. <script src="http://…">, fetch("http://…"), WebSocket ws://…), Blockierung zur Wahrung von Integrität und Vertraulichkeit. |
Chrome/Edge/Brave, Firefox, Safari (sinngemäß) | DevTools Console/Network nach Mixed Content filtern; Quellcode nach http:// durchsuchen; Weiterleitungskette der Ressource prüfen (Network → Headers → Location); Zielhost auf HTTPS ausliefern und HSTS nur nach Stabilisierung aktivieren. |
| Mixed Content: The page at ‚https://…‘ was loaded over HTTPS, but requested an insecure image ‚http://…‘. This content should also be served over HTTPS. | Passiver Mixed Content (Bilder, teils Audio/Video). Kann geladen werden, schwächt aber den Vertrauensindikator; manche Browser oder Unternehmensrichtlinien unterbinden das. | Chrome/Edge/Firefox/Safari (jeweils mit Variation) | Network-Log auf http://-Requests prüfen; Bild-URLs auf https:// umstellen; bei externen Medien Content-Type und CORS/CORP-Header prüfen; optional Subresource Integrity für Scripts/Styles einsetzen (für Bilder nicht vorgesehen). |
| Mixed Content: The page at ‚https://…‘ was loaded over HTTPS, but attempted to connect to the insecure WebSocket endpoint ‚ws://…‘. This request has been blocked; this endpoint must be available over WSS. | Unsicherer WebSocket-Kanal im sicheren Kontext; Angreifer können Traffic manipulieren oder mithören. | Chrome/Edge/Firefox/Safari | WebSocket-URL auf wss:// umstellen; TLS-Zertifikat und SNI des WebSocket-Hosts prüfen; Reverse-Proxy-Konfiguration kontrollieren (z. B. korrekte Weitergabe von Upgrade/Connection Headern). |
| Blocked by Content Security Policy | CSP verbietet das Laden/Ausführen (z. B. script-src, style-src, connect-src, frame-src); häufig verwechselt mit Mixed Content, obwohl ausschließlich Policy greift. |
Alle modernen Browser | Response-Header Content-Security-Policy auswerten; in DevTools „Issues“/Console die verletzte Direktive und die geblockte URL ablesen; zunächst Content-Security-Policy-Report-Only für Messbetrieb einsetzen und Reports sammeln (Endpoint prüfen); danach Direktiven minimal erweitern. |
| Cross-Origin Request Blocked / CORP blocked / CORS policy: No ‚Access-Control-Allow-Origin‘ header is present… | Ressource wird von anderem Origin geladen, aber CORS/CORP verhindert Zugriff oder Einbettung. Nicht identisch mit Mixed Content, jedoch häufig gleichzeitig sichtbar (z. B. bei CDN-Wechsel von HTTP auf HTTPS mit geänderter Origin-Policy). | Firefox (Formulierung), Chrome/Edge (CORS/CORP-Varianten), Safari (ähnlich) | Request-Mode prüfen (no-cors vs. CORS); Response-Header Access-Control-Allow-Origin, Cross-Origin-Resource-Policy und ggf. Cross-Origin-Embedder-Policy kontrollieren; bei Fonts zusätzlich Access-Control-Allow-Origin korrekt setzen; bei iframes frame-ancestors in CSP prüfen. |
Typische Ursachen jenseits des offensichtlichen HTTP-Links
In der Praxis stammt Mixed Content selten aus dem Haupttemplate, sondern aus indirekten Quellen: eingelagerte Marketing-Tags, alte CDN-Links, durch Plugins generierte Shortcodes, oder aus Datenbeständen (z. B. in der Datenbank gespeicherte absolute Medien-URLs). Zusätzlich verschärfen Weiterleitungen das Bild: Eine vermeintlich sichere https://-URL kann auf http:// umleiten, etwa durch fehlerhafte Canonical-Regeln, Hostname-Mismatches oder eine getrennte Auslieferung von Medien und HTML über verschiedene Virtual Hosts.
- Datenbank und Content-Quellen: Nach fest verdrahteten HTTP-Links in Inhalten und Konfiguration suchen, etwa
http://in CMS-Datenbankfeldern, Template-Variablen oder JSON-Konfigurationen von Tag-Managern; bei externen Einbettungen auch//example.com/…(scheme-relative) auf unerwünschte Downgrades prüfen. - Weiterleitungen und Canonical: Redirect-Ketten der betroffenen Ressource prüfen, z. B. ob
https://cdn.example.tld/file.jsvia301aufhttp://…fällt; in Reverse-Proxies die Erkennung vonX-Forwarded-Protound korrekte HTTPS-Weiterleitung sicherstellen. - Service Worker und Caches: Bei unerklärlichen Befunden Service Worker deaktivieren und Cache leeren; in Chrome DevTools Application → Service Workers „Bypass for network“ nutzen; Cache-Keys auf Protokollwechsel prüfen, insbesondere wenn zuvor HTTP ausgeliefert wurde.
- WebSockets und API-Calls: In Single-Page-Anwendungen die Endpunkte für
fetch/XMLHttpRequestundws://zentral konfigurieren; bei Umgebungsvariablen konsequenthttps://undwss://erzwingen, um Stage/Prod-Drift zu vermeiden.
Richtlinien-Blockaden: CSP, Upgrade-Insecure-Requests und Trusted Types
Mixed Content wird nicht nur durch den Browser „von selbst“ erkannt, sondern häufig auch durch Policy-Entscheidungen verschärft oder gezielt gesteuert. CSP kann mit upgrade-insecure-requests HTTP-Subrequests auf HTTPS hochstufen und so gemischte Inhalte eliminieren, sofern der Zielhost HTTPS anbietet. Mit block-all-mixed-content lässt sich darüber hinaus auch passiver Mixed Content blockieren. Diese Direktiven wirken dokumentweit und können bei Drittinhalten zu Ausfällen führen, wenn Partner-Hosts kein HTTPS oder keine passenden Zertifikate bereitstellen.
Trusted Types ist ein weiterer Sonderfall: Hier verhindert die Policy nicht den Transport, sondern die Erzeugung gefährlicher DOM-Sinks (z. B. bei innerHTML). Die Fehlermeldung wird oft als „Browserblockade“ wahrgenommen, ist aber ein bewusst gesetztes Schutznetz gegen DOM-XSS. Für die Fehlersuche zählt dann nicht die URL der Ressource, sondern der konkrete Codepfad, der die Policy verletzt.
Unternehmensproxies, Deep-Inspection und lokale Testzertifikate als Störfaktoren
In Unternehmensnetzen können TLS-Inspection-Proxies (MITM mit eigener Root-CA) das Symptomfeld verändern. Zwar betrifft das primär Zertifikatswarnungen, es wirkt jedoch indirekt auch auf Mixed-Content- und Policy-Diagnosen: Ein Proxy kann Antworten umschreiben, Header ergänzen oder entfernen (z. B. Content-Security-Policy), Redirects anpassen oder Caches zwischen Protokollen vermischen. Auch lokale Testumgebungen mit selbstsignierten Zertifikaten führen zu Sonderwegen, etwa wenn Entwicklerwerkzeuge HTTP-Endpoints als „lokal“ betrachten, während der Browser im sicheren Kontext strikt bleibt.
- Header-Divergenzen erkennen: Response-Header der Hauptseite und der geblockten Ressource sowohl im Unternehmensnetz als auch in einem unbeeinflussten Netz vergleichen; auffällige Unterschiede bei
Content-Security-Policy,Location,Cache-ControlundViadeuten auf Proxy-Manipulation. - Trust-Store und Root-CA: Wenn TLS-Inspection aktiv ist, im Betriebssystem-Truststore nach Unternehmens-Root-CAs suchen und deren Verteilung dokumentieren; für reproduzierbare Tests einen Proxy-freien Pfad nutzen oder gezielt ein Testprofil ohne diese CA verwenden (sofern organisatorisch zulässig).
- Lokale Entwicklung absichern: Für lokale HTTPS-Hosts konsistente Hostnames und Zertifikate verwenden; bei Testzertifikaten darauf achten, dass SAN-Einträge passen (z. B.
DNS:localhost) und dass API/WebSocket-Endpunkte ebenfalls überhttps:///wss://bereitstehen, um Mixed-Content-Schattenfehler auszuschließen.
HSTS und Sonderfälle: Preload, Zeitfehler, Unternehmensproxies, SSL-Inspection und lokale Testzertifikate
HSTS-Warnungen unterscheiden sich von klassischen TLS-Fehlern: Der Browser hat gelernt (oder wurde vorab dazu verpflichtet), eine Domain ausschließlich per HTTPS zu laden. Dadurch entfällt die sonst übliche Möglichkeit, auf HTTP „auszuweichen“ oder bestimmte Zertifikatsprobleme temporär zu übergehen. In der Praxis führen HSTS, Preload-Listen, fehlerhafte Systemzeiten sowie TLS-Interception in Unternehmensnetzen zu Meldungen, die trotz „funktionierender“ Seiteninhalte hart blockieren.
HSTS-Grundlagen: Policies, Caching und harte Blockaden
HSTS wird über den Response-Header Strict-Transport-Security gesetzt. Enthält er max-age, speichert der Browser die Policy für die Dauer in Sekunden. Mit includeSubDomains gilt die Vorgabe auch für Subdomains. Sobald eine HSTS-Policy aktiv ist, ersetzt der Browser künftige HTTP-Aufrufe intern durch HTTPS und verhindert den Zugriff, wenn die TLS-Verifikation fehlschlägt (z. B. ungültige Kette, Name mismatch, abgelaufenes Zertifikat). Wesentlich ist: Die Blockade entsteht nicht wegen „HSTS an sich“, sondern weil HSTS den riskanten Workaround (HTTP oder Ausnahme) unterbindet.
Zusätzlich zum dynamischen HSTS-Caching existiert der Preload-Mechanismus: Bestimmte Domains sind in einer von Browsern ausgelieferten Liste fest verdrahtet. Dann greift HSTS bereits beim allerersten Besuch, ohne dass jemals ein Header empfangen wurde. Fehlerbilder wirken dadurch „plötzlich“ oder „nicht reproduzierbar“ zwischen Geräten, wenn nur ein Teil der Clients eine aktuellere Preload-Liste verwendet.
Preload-Sonderfall: Warum sich Fehler nicht „wegklicken“ lassen
Bei Preload-Domains verweigern Chromium-basierte Browser und Firefox typischerweise jede UI-Ausnahme. Auch das Löschen lokaler HSTS-Daten hilft dann nicht, weil die Policy nicht aus dem Profil stammt, sondern aus der integrierten Liste. Typische Auslöser sind ein falsch konfiguriertes Zertifikat nach Migration, eine unvollständige Intermediate-Kette am Server oder der Versuch, eine Subdomain ohne gültiges Zertifikat zu betreiben, obwohl includeSubDomains preloaded ist.
| Fehlermeldung (Beispiele, exakt/typisch) | Technischer Hintergrund | Betroffene Browser | Prüfschritte (konkret) |
|---|---|---|---|
NET::ERR_CERT_AUTHORITY_INVALID (mit Hinweis auf HSTS) |
Vertrauensanker fehlt oder Zertifikatskette unvollständig; bei HSTS keine Umgehung möglich | Chrome, Edge, Brave (Chromium); ähnlich in Firefox | openssl s_client -connect example.tld:443 -servername example.tld -showcertscurl -Iv https://example.tldChain und Issuer prüfen, Intermediate korrekt ausliefern |
NET::ERR_CERT_COMMON_NAME_INVALID / „Hostname stimmt nicht“ |
Zertifikat deckt SAN/CN nicht ab (falscher Host, falsches SNI-Routing, falsches Zertifikat am vHost) |
Alle modernen Browser | openssl s_client -connect example.tld:443 -servername example.tldAusgegebenen Zertifikatnamen mit Ziel-FQDN abgleichen; Load-Balancer/SNI-Mapping prüfen |
NET::ERR_CERT_DATE_INVALID / „Zertifikat ist abgelaufen oder noch nicht gültig“ |
Zertifikatslaufzeit oder Client-Uhrzeit falsch; bei HSTS harte Blockade | Alle modernen Browser | date (Linux/macOS), w32tm /query /status (Windows)NTP/Zeitsynchronisation und Zertifikatsdaten ( NotBefore/NotAfter) prüfen |
| „Diese Website verwendet HSTS …“ (Firefox-Varianten wie „Fehlercode: SEC_ERROR_UNKNOWN_ISSUER“ mit HSTS-Hinweis) | Firefox blockt bei HSTS ebenfalls; Ursachen meist Trust/Kette/Inspection | Firefox | Zertifikatsdetails öffnen (z. B. über das Schloss-Symbol bzw. die Fehlerseite); Unternehmens-Root-CA im Truststore prüfen; Vergleich mit Mobilgerät ohne Unternehmensnetz |
Zeitfehler und OCSP/CRL-Effekte: Wenn „gültige“ Zertifikate scheitern
Fehlerhafte Systemzeit verursacht nicht nur NET::ERR_CERT_DATE_INVALID, sondern kann auch Revocation-Prüfungen beeinflussen: OCSP-Antworten und CRLs sind zeitgebunden. Abweichungen nach vorn lassen Antworten „abgelaufen“ wirken, Abweichungen nach hinten lassen Zertifikate „noch nicht gültig“ erscheinen. In Enterprise-Umgebungen entstehen solche Abweichungen häufig durch fehlerhafte NTP-Quellen, VM-Snapshots oder restriktive Zeitsynchronisationsrichtlinien.
Zusätzlich blockieren Firewalls oder Proxies gelegentlich den Zugriff auf OCSP-Responder. Browser reagieren je nach Engine und Policy unterschiedlich (Soft-Fail vs. Hard-Fail; außerdem unterscheiden sich Verhalten und Telemetrie je nach Plattform und Zertifikatstyp). Unabhängig davon bleibt bei aktiver HSTS-Policy der Spielraum klein: Sobald der Browser eine nicht vertrauenswürdige TLS-Situation annimmt, bricht er ab. Eine saubere Diagnose trennt daher Uhrzeitprobleme, Kettenprobleme und Interception-Effekte voneinander.
- Systemzeit verifizieren:
w32tm /query /statustimedatectl statussystemsetup -getnetworktimeserver - Zertifikatsdaten gegenprüfen:
openssl x509 -in cert.pem -noout -dates -subject -issuer - OCSP-Erreichbarkeit testen:
openssl ocsp -issuer issuer.pem -cert cert.pem -url http://ocsp.example-ca.tld(URL aus dem Zertifikat/Authority Information Access übernehmen)
Unternehmensproxies und SSL-Inspection: MitM als „erklärbarer“ Zertifikatsfehler
Bei SSL-Inspection (TLS-Interception) terminiert ein Proxy die TLS-Verbindung, prüft Inhalte und baut eine zweite TLS-Verbindung zum Zielserver auf. Der Client sieht dann ein Zertifikat, das vom Unternehmens-Root signiert ist. Ist dieses Root-Zertifikat im Client-Truststore nicht installiert oder wird es durch Richtlinien nicht als vertrauenswürdig anerkannt, erscheint das Ziel als „unsicher“, obwohl der eigentliche Server korrekt konfiguriert ist. HSTS verschärft die Auswirkungen: Statt einer „Weiter“-Option wird häufig vollständig blockiert.
Diagnostisch aussagekräftig ist der Vergleich zwischen einem Netz ohne Proxy (Mobilfunk/Hotspot) und dem Unternehmensnetz. In der Zertifikatskette zeigen sich bei Inspection typischerweise ein Unternehmens-Issuer und Zertifikate mit kurzer Laufzeit (die konkrete Laufzeit ist produkt- und policyabhängig). Moderne Browser akzeptieren dabei weiterhin nur kryptografisch und semantisch korrekte Zertifikate; einzelne Engines prüfen zusätzliche Anforderungen (z. B. Key Usage, Basic Constraints). Auch Anwendungen außerhalb des Browsers (Updater, APIs) scheitern, wenn die Interception nicht sauber ausgerollt ist.
- Issuer/Chain identifizieren:
openssl s_client -connect example.tld:443 -servername example.tld(im Outputissuer=auf Unternehmens-CA prüfen) - Proxy-Pfad erkennen:
curl -Iv https://example.tld(Headers wieVia,X-BlueCoat-Via,X-Zscaler-*können Hinweise liefern; nicht garantiert) - Truststore-Status prüfen (Windows):
certutil -store -user Rootcertutil -store Root - Firefox-spezifisch: Zertifikatsdetails öffnen (z. B. über das Schloss-Symbol bzw. die Fehlerseite) und in Unternehmensumgebungen ggf. Richtlinie zur Nutzung des OS-Truststores prüfen (Policy-abhängig)
Lokale Testzertifikate und Dev-Setups: HSTS als Stolperfalle
Lokale Entwicklungsumgebungen verwenden häufig selbstsignierte Zertifikate oder eine lokale Entwicklungs-CA. Sobald jedoch eine Domain (oder eine übergreifende Parent-Domain) HSTS mit includeSubDomains gesetzt hat, kann ein Test unter einer Subdomain mit nicht vertrauenswürdigem Zertifikat vollständig blockieren. Besonders kritisch ist das Wiederverwenden „echter“ Domainnamen im lokalen DNS/Hosts-File, etwa durch Einträge wie 127.0.0.1 app.example.tld, während example.tld produktiv HSTS ausliefert oder preloaded ist.
Sichere Praxis trennt daher Testnamen eindeutig von produktiven HSTS-Scope-Domains. Für lokale Tests eignen sich eigene Zonen, die nicht preloaded sein können, sowie eine sauber installierte lokale CA im jeweiligen Truststore. Außerdem muss SNI korrekt gesetzt werden, wenn mehrere vHosts über einen lokalen Reverse Proxy laufen; andernfalls liefert der Proxy ein Default-Zertifikat aus, das zum Hostnamen nicht passt und unter HSTS sofort zum Abbruch führt.
- Lokale Namenswahl entkoppeln: keine Subdomains unter produktiven HSTS-Domains verwenden; stattdessen dedizierte Testdomäne wie
dev.internal(nur intern) oder eine eigene, kontrollierte Zone - Lokale CA sauber ausrollen: Root-CA in den OS-Truststore importieren und den Browser-spezifischen Trust berücksichtigen; Zertifikate mit passendem
SANfür den Test-FQDN ausstellen - SNI- und vHost-Prüfung:
openssl s_client -connect 127.0.0.1:443 -servername test.local(kontrollieren, ob das erwartete Zertifikat geliefert wird)
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten