Installieren Sie Zwischenzertifikate, um SSL / zu vermeiden.TLS Nicht vertrauenswürdig

Defektes SSL /TLS Zertifikatketten von fehlenden Zwischenprodukten können Vertrauensfehler verursachen. Erfahren Sie, wie Sie sie diagnostizieren und beheben, indem Sie eine komplette Kette installieren.

Verwandte Inhalte

Artikellink kopieren

Defektes SSL /TLS Zertifikatketten von fehlenden Zwischenprodukten können Vertrauensfehler verursachen. Erfahren Sie, wie Sie sie diagnostizieren und beheben, indem Sie eine komplette Kette installieren.

Benötigen Sie ein Zertifikat? SSL.com hat Sie abgedeckt. Vergleichen Sie die Optionen hier um die richtige Wahl für Sie zu finden, von S/MIME und Codesignaturzertifikate und mehr.

BESTELLEN SIE JETZT!

Browser-Vertrauensfehler

Wenn Sie ein neues SSL installiert haben /TLS Zertifikat auf Ihrem Webserver, aber bei Besuchern treten Browser-Vertrauensfehler auf, z Not Secureden Your Connection Is Not PrivateStellen Sie bitte sicher, dass eine vollständige Zwischenzertifikatskette installiert wurde. In Google Chrome ist eine häufige Fehlermeldung dieses Typs NET::ERR_CERT_AUTHORITY_INVALID.

Alle der folgenden Browserfehler resultierten aus der Installation eines gültigen Zertifikats, jedoch mit einer unterbrochenen Kette aufgrund fehlender Zwischenprodukte:

Chrome-Adressleiste mit Not Secure Trust-Warnung
Chrome Adressleiste mit Not Secure Vertrauenswarnung

Chrome-Vertrauenswarnung
NET::ERR_CERT_AUTHORITY_INVALID Vertrauenswarnung im Chrome-Browserfenster.

Apple Safari Browser Warnung
Vertrauenswarnung im Apple Safari-Browserfenster mit Angabe This Connection Is Not Private.

 

Weitere Beispiele für Browser-Fehlermeldungen* aufgrund fehlender Zwischenzertifikate finden Sie in unserem Leitfaden zu Fehlerbehebung bei SSL /TLS Browserfehler und Warnungen.

Hinweis: Diese Vertrauensfehler werden in Firefox möglicherweise nicht angezeigt, auch wenn sie in anderen Browsern vorhanden sind. Seit 2020 implementiert Firefox das Intermediate Certificate Authority (CA) Preloading, das häufig verwendete Zwischenzertifikate proaktiv lädt, um Verbindungsfehler zu reduzieren..

Darüber hinaus speichert Firefox Zwischenzertifikate in seinem eigenen Zertifikatspeicher. Wenn Sie zuvor eine Website besucht haben, die Zwischenzertifikate enthielt, die auf Ihrem Server fehlten, verwendet Firefox diese, um ein vollständiges Zertifikatskette bei Bedarf. Dieses verbesserte Verhalten bedeutet, dass Firefox-Benutzer im Vergleich zu anderen Browsern weniger Zertifikatskettenfehler erleben.

*Die angezeigten Fehlermeldungen und Browseroberflächen können je nach Browserversion und Betriebssystem leicht variieren. Die grundlegenden Symptome fehlender Zwischenzertifikate sind auf allen Plattformen gleich.

Diagnose des Problems

Diagnostische Werkzeuge und Methoden

Sie können mit mehreren Methoden nach fehlenden Zwischenzertifikaten suchen:

  • Online-SSL-Checker
  • SSL-Checker von SSL Shopper ist nach wie vor ein hervorragendes Tool zur Identifizierung fehlender Zwischenprodukte. Der folgende Screenshot zeigt die Situation, die zu den oben gezeigten Fehlern geführt hat. Moderne SSL-Prüftools bieten umfassende Analysen, einschließlich Kettenvollständigkeit, Ablaufdaten, Validierung der erweiterten Schlüsselverwendung und Kompatibilität mit aktuellen Browseranforderungen.

Fehlende Zwischenkette

  • Moderne SSL-Testtools prüfen auch auf bevorstehende Ablaufdaten und Probleme mit der erweiterten Schlüsselverwendung.

Browser-Entwicklertools

Die meisten Browser bieten mittlerweile erweiterte Funktionen zur Zertifikatsprüfung über ihre Entwicklerkonsolen. In Chrome, Firefox und Safari können Sie auf detaillierte Informationen zur Zertifikatskette zugreifen, indem Sie:

  1. Klicken Sie auf das Schlosssymbol in der Adressleiste
  2. Auswahl von „Zertifikat“ oder „Verbindung ist sicher“
  3. Anzeigen der vollständigen Zertifikatskette und Gültigkeitsdetails

Befehlszeilentools

Für Serveradministratoren bietet OpenSSL eine umfassende Zertifikatskettenanalyse:

openssl s_client -connect example.com:443 -showcerts

openssl s_client -connect example.com:443 -showcerts

Informationen zu Änderungen der Zertifikatsgültigkeit

Das SSL /TLS Die Zertifikatslandschaft hat sich in den letzten Jahren erheblich weiterentwickelt, wobei wichtige Änderungen Auswirkungen auf die Lebensdauer und Nutzung von Zertifikaten haben:

Verkürzte Zertifikatslebensdauer

Seit September 2020 vertrauen die wichtigsten Browser SSL nicht mehr/TLS Zertifikate mit einer Gültigkeitsdauer von mehr als 398 Tagen (ungefähr einem Jahr). Das CA/Browser-Forum hat einen schrittweisen Zeitplan verabschiedet (Stimmzettel SC-081v3), um die maximale TLS Zertifikatslebensdauer: 200 Tage für Zertifikate, die am/nach dem 15. März 2026 ausgestellt wurden, 100 Tage am/nach dem 15. März 2027 und 47 Tage am/nach dem 15. März 2029.

Diese Änderungen erfordern die Implementierung robuster Zertifikatsverwaltungs- und Automatisierungssysteme.

Erweiterte Schlüsselnutzungsbeschränkungen

Chrome Root-Programmrichtlinie erfordert, dass ab 15. Juni 2026, neu herausgegeben öffentlich vertrauenswürdig TLS Serverzertifikate das einzige die serverAuth EKU (Nr clientAuth). 

Wichtige Zertifizierungsstellen richten sich vor diesem Datum aus. Wenn Sie TLS Client-Authentifizierung, verwenden getrennte Client-Auth-Zertifikate aus einer privaten oder dedizierten Hierarchie. Organisationen, die Zertifikate für beide Zwecke verwenden, benötigen für jede Funktion ein separates Zertifikat.

Lösung des Problems

Wenn Sie Ihr Zertifikat über den Link für Ihre Serverplattform von Ihrem SSL.com-Benutzerkonto herunterladen, erhalten Sie eine komprimierte Datei, die sowohl das Zertifikat als auch alle erforderlichen unterstützenden Dateien enthält. Wenn Sie nur die Zwischenzertifikate herunterladen möchten, können Sie auch die verwenden CA-Bundle Download-Link.

Zertifikat-Download nach Plattform

Die Installation von Zwischenprodukten variiert je nach Serverplattform. Spezifische Anweisungen zum Installieren der erforderlichen Zwischenzertifikate auf Ihrem Server und zum Erstellen einer vollständigen Kette finden Sie in unserer Dokumentation zur Installation des Zertifikats.

Auswirkungen auf die Installation

Stellen Sie beim Herunterladen von Zertifikaten von Ihrem SSL.com-Konto sicher, dass Sie die aktuellsten Zwischenzertifikate verwenden. Über den Download-Link für das CA-Paket in Ihrem Konto erhalten Sie immer die richtigen und aktuellen Zwischenzertifikate für Ihre Installation.

Bewährte Methoden für die moderne Installation

Automatisierung ist unerlässlich: Mit der abnehmenden Lebensdauer von Zertifikaten wird die manuelle Zertifikatsverwaltung zunehmend unpraktisch. Erwägen Sie die Implementierung von:

Überlegungen zur Plattform:

  • Viele Hosting-Anbieter und CDNs verwalten jetzt automatisch die Installation von Zwischenzertifikaten
  • Cloud-Plattformen bieten oft integrierte Zertifikatsverwaltungsdienste
  • Stellen Sie bei lokalen Installationen sicher, dass Ihr Erneuerungsprozess zwischenzeitliche Zertifikatsaktualisierungen umfasst.

Überprüfungsschritte – Überprüfen Sie nach der Installation immer Ihre komplette Zertifikatskette:

  1. Testen Sie von mehreren Browsern und Geräten aus
  2. Verwenden Sie SSL-Checker-Tools, um die Vollständigkeit der Kette zu bestätigen
  3. Überprüfen Sie, ob die Gültigkeitsdauer des Zertifikats mit Ihrem Erneuerungsplan übereinstimmt
  4. Überprüfen Sie, ob die Zertifikate nur die entsprechenden Extended Key Usage-Werte enthalten.

Bestätigen Sie den Fix

Wenn alle unterstützenden Zertifikate auf demselben Server installiert sind, auf dem die oben gezeigten "nicht vertrauenswürdigen" Fehler aufgetreten sind, SSL-Checker zeigt eine vollständige Kette und die Browser-Vertrauensfehler sind verschwunden:

Komplette Zertifikatskette

Sichere Verbindung

Zukunftssicheres Zertifikatsmanagement

Bereiten Sie sich auf kürzere Lebenszyklen vor

  • Implementieren Sie automatisierte Zertifikatsverwaltungssysteme, bevor die 47-tägige Gültigkeitsdauer im Jahr 2029 in Kraft tritt
  • Einrichten einer Überwachung und Benachrichtigung bei Zertifikatsablauf
  • Erwägen Sie die Verwendung von ACME-kompatiblen Zertifizierungsstellen für eine nahtlose Automatisierung

Separate Authentifizierungstypen

  • Planen Sie die Trennung von Server- und Client-Authentifizierungszertifikaten
  • Überprüfen Sie die aktuelle Zertifikatsnutzung, um Zertifikate mit gemischter Verwendung zu identifizieren
  • Implementieren Sie dedizierte PKI Hierarchien für unterschiedliche Zertifikatszwecke

Überwachung und Wartung

  • Regelmäßige Audits der Zertifikatsbestände Ihrer gesamten Infrastruktur
  • Automatisierte Prüfung der Vollständigkeit der Zertifikatskette
  • Dokumentation der Zertifikatsabhängigkeiten und Erneuerungsverfahren

Der Trend zu kürzeren Zertifikatslebensdauern und strengeren Nutzungsanforderungen unterstreicht die entscheidende Bedeutung einer ordnungsgemäßen Zwischenzertifikatinstallation und eines umfassenden Zertifikatslebenszyklusmanagements.

nach oben

 

Die ordnungsgemäße Installation des Zwischenzertifikats bleibt für SSL/TLS Sicherheit; die Landschaft entwickelt sich jedoch ständig weiter, mit kürzeren Zertifikatslebensdauern und strengeren Browseranforderungen. 

Indem Sie aktuelle Best Practices befolgen, entsprechende Automatisierung implementieren und sich über Branchenänderungen auf dem Laufenden halten, können Sie sicherstellen, dass Ihre Zertifikate Ihren Benutzern zuverlässige Sicherheit bieten.

Die aktuellsten Anweisungen zur Zertifikatinstallation und zu Zwischenzertifikatspaketen finden Sie immer in der Dokumentation und den Download-Links in Ihrem SSL.com-Konto, da diese regelmäßig aktualisiert werden, um den neuesten Anforderungen und CA-Änderungen Rechnung zu tragen.

Hilfe benötigt? Das Support-Team von SSL.com ist über alle Branchenänderungen auf dem Laufenden und kann Sie bei der Zertifikatsinstallation, der Kettenkonfiguration und der Vorbereitung auf zukünftige Anforderungen unterstützen. Kontaktieren Sie uns unter Support@SSL.com oder nutzen Sie die Chat-Funktion unten rechts auf dieser Seite.

Video: Fehlerbehebung bei SSL /TLS Browserfehler und Warnungen

Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil
Datenschutzübersicht
SSL.com

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen wie das Erkennen von Ihnen bei der Rückkehr zu unserer Website aus und helfen unserem Team zu verstehen, welche Bereiche der Website für Sie am interessantesten und nützlichsten sind.

Weitere Informationen finden Sie in unserer Cookie und Datenschutzerklärung.

3rd Party Cookies

Diese Website verwendet Google Analytics & Statistikzähler um anonyme Informationen wie die Anzahl der Besucher der Website und die beliebtesten Seiten zu sammeln.

Wenn Sie diese Cookies aktiviert lassen, können Sie unsere Website verbessern.

Zeige Details
Erhöhte Sicherheit. Geringerer Aufwand. Nachhaltiger Erfolg.  Einhaltung der GDPR-Cookies