Sicherheit und Integrität sind wichtige Bestandteile des Internets. Sobald man auf eine Webseite stößt, die groß warnend “NET::ERR_CERT_AUTHORITY_INVALID” anzeigt, ist dies häufig abschreckend und man schließt die Seite direkt wieder. Als Admin einer WordPress-Webseite möchte man diese Situation bestmöglich vermeiden. Auch wenn der Fehler auf den ersten Blick etwas bedrohlich wirkt, gibt es keinen Grund zur übermäßigen Sorge. Der Fehler ist schnell behoben, und wir zeigen wie.
Inhaltsverzeichnis
Warum sehe ich NET::ERR_CERT_AUTHORITY_INVALID?
Bevor wir uns den Fehler genauer anschauen, müssen wir zunächst kurz über Zertifikate reden. Webbrowser nutzen Zertifikate um die Sicherheit einer Verbindung zu validieren. Grob erklärt wird bei jedem Besuch einer Webseite mit HTTPS ein Zertifikat zwischen dem Webserver und dem Besucher ausgetauscht und validiert. Dies stellt sicher, dass sich kein Angreifer zwischen die Verbindung schalten kann. Unser Fehler tritt auf, wenn in diesem Prozess etwas schiefläuft.
Ursache für NET::ERR_CERT_AUTHORITY_INVALID
Der Webbrowser zeigt diese Fehlermeldung an, wenn die Validierung nicht durchgeführt werden konnte. Dadurch wird der Nutzer davor geschützt eine potenziell suspekte Webseite zu besuchen, die im schlimmsten Fall Viren verteilt oder Login- und Bankinformationen abgreift.
Dieser Fehler kann auch dann auftreten, wenn die Webseite ein valides Zertifikat besitzt. Es muss lediglich im Austausch mit dem Webbrowser ein Fehler auftreten um NET::ERR_CERT_AUTHORITY_INVALID auf der Webseite auszugeben. Beispielsweise kann diese Meldung auch auftreten, wenn versucht wird die Webseite über HTTP zu erreichen, anstelle von HTTPS, obwohl der Webserver dies nicht unterstützt. Hier sieht man auch im Zusammenhang häufig die Meldung “Your Connection is Not Private”. Ergibt auch Sinn, da das “S” in HTTPS für “Secure” und damit die Zertifikat-Validierung steht. Diese Zertifikate sind meist zeitlich begrenzt und müssen vom Webseitenbetreiber erneuert werden. Eine Webseite die mit HTTPS aufrufbar ist, besitzt ein solches Zertifikat, eine Webseite die nur mit HTTP funktioniert, hat dies nicht.
NET::ERR_CERT_AUTHORITY_INVALID erkennen
Browser haben die Freiheit viele der Fehlermeldungen so anzuzeigen, wie sie es für gut und richtig halten. Auch das Betriebssystem kann Einfluss auf die Darstellung der Fehlermeldung haben. Die Fehlercodes können dabei noch etwas detaillierter die Ursache des Fehlers beschreiben, wodurch die Suche vereinfacht wird. Weil es so viele verschiedene Varianten gibt, listen wir hier nun die gängigsten Darstellungsweisen der vier meist genutzten Browser auf:
Mozilla Firefox
Der Firefox Browser von Mozilla macht dem Nutzer direkt klar welches Risiko besteht, beim Versuch eine potenziell unsichere Webseite zu besuchen: “Warning: Potential Security Risk Ahead”. Außerdem bietet Mozilla eine Einschätzung der Situation, erklärt was vermutlich die Ursache für den Fehler ist und bietet dann mögliche Lösungsmöglichkeiten an.
In manchen Fällen werden auch noch zusätzliche Fehler-Codes angeben. Ähnlich zum NET::ERR_CERT_AUTHORITY_INVALID-Fehlercode können auch folgende Codes auftreten:
- SEC_ERROR_UNKNOWN_ISSUER
- SSL_ERROR_RX_MALFORMED_HANDSHAKE
- MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE
- SEC_ERROR_REUSED_ISSUER_AND_SERIAL
Chrome Browser
Auch der Google Chrome Browser zeigt direkt an, dass es sich um eine unsichere Verbindung handelt. Zu lesen ist “Your connection is not private”. Jedoch bietet Chrome keine Tipps und Hinweise wie man weiter fortfahren kann. Genau wie beim Firefox gibt es auch hier verschieden Fehlercodes, die angezeigt werden können:
- NET::ERR_CERT_AUTHORITY_INVALID
- NET::ERR_CERT_COMMON_NAME_INVALID
- NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
- NTE::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
- NET::ERR_CERT_DATE_INVALID
- SSL CERTIFICATE ERROR
Safari
Unter Apple’s Safari Browser wird dem Nutzer “This Connection Is Not Private” angezeigt, sobald ein Problem mit der Validierung des Zertifikates auftritt. Je nach Fall zeigt Safari auch eine Erklärung für die fehlgeschlagene Validierung an, beispielsweise wenn das Zertifikat nachweisbar vor einiger Zeit abgelaufen ist. Im geschlossenen Apple System gibt es selten vielfältige Fehlercodes, die dasselbe beschreiben. Deswegen gibt es hier keine Auflistung.
Microsoft Edge
Der Edge Browser von Microsoft zeigt fast identisch dieselbe Seite an, wie man sie auch von Chrome kennt: “Your connection isn’t private” und wenig Informationen dazu, wie mit dem Fehler umzugehen ist.
Zusätzliche Fehlercodes im Edge sind:
- DLG_FLAGS_SEC_CERTDATE_INVALID
- DLG_FLAGS_INVALID_CA
- DLG_FLAGS_SEC_CERT_CN_INVALID
- NET::ERR_CERT_COMMON_NAME_INVALID
- ERROR CODE: O
Den Fehler NET::ERR_CERT_AUTHORITY_INVALID beheben
Als WordPress-Admin möchte man diesen Fehler schnellstmöglich von seiner Seite entfernen. Hier gibt es eine Reihe an Möglichkeiten wie man dies beheben, und für die Zukunft verhindern kann. Als Nutzer kann man den Fehler nicht zwangsläufig beheben, allein weil er dazu dient den Nutzer vor unsicheren Webseiten zu schützen. Wenn die Ursache jedoch nicht in einem abgelaufenen oder ungültigen Zertifikat der Webseite liegt, kann man als Nutzer die folgenden Tipps anwenden um eventuell doch noch auf die Webseite zu gelangen.
- Webseite neu laden oder Inkognito Mode verwenden
Ähnlich wie beim Aus- und Einschalten eines Gerätes, kann das Neuladen einer Webseite für den korrekten Aufruf der Webseite sorgen. Der Inkognito Mode (oder Privates Browserfenster) des Browsers funktioniert ohne das Abspeichern von Cookies. Wenn also ein Cookie für die Störung in der Validierung zuständig ist, kann über den Inkognito Mode die Webseite eventuell trotzdem besucht werden. - Browser Cache und Cookies löschen
Wie bereits erwähnt, können Cookies den Fehlercode NET::ERR_CERT_AUTHORITY_INVALID hervorrufen. Dies lässt sich vor allem dann bestätigen, wenn man wie im Punkt 1. im Inkognito Mode des Browsers Erfolg hatte. Auch der Cache, der meist einen Status einer Webseite absichert, kann mit der Validierung interferieren. - Die Uhr auf dem Gerät synchronisieren
Diese Ursache klingt komisch, ist es aber ganz und gar nicht. Zertifikate sind zeitlich begrenzte Bestandteile der Validierung einer Webseite, die mit dem Browser ausgetauscht werden. Wenn das Endgerät (PC, Smartphone, Tablet, etc.) also nicht die korrekte aktuelle Zeit angibt, stimmt diese nicht mehr mit dem Validierungszeitraum des Zertifikates überein. Die meisten Geräte besitzen eine automatische Zeiteinstellung, die über das Internet akkurat eingestellt wird. Wenn man aber beispielsweise in ein anderes Land reist und dort dann manuell die Uhrzeit am Gerät anpasst anstelle der automatischen Einstellung, kann das bei der Rückreise zu Problemen führen. - Netzwerk wechseln
In öffentlichen Netzwerken, die man in Kaufhäusern, Cafés o.ä. verwenden kann, kann dieser Fehler häufiger auftreten. Die Anfragen laufen dort meist über einen eigenen DNS-Server, so können die bekannten Login-Fenster für die Nutzung des kostenlosen WLANs angezeigt werden. Dies führt dazu, dass die Validierung der Zertifikate quasi “abgefangen” wird, und dadurch fehlschlägt. Das Ergebnis ist die Fehlermeldung NET::ERR_CERT_AUTHORITY_INVALID. Deswegen kann ein Netzwerkwechsel Abhilfe schaffen. Auch daheim kann ein Wechsel des Netzwerks, beispielsweise von WLAN nach Mobile Daten bereits das Problem lösen. - VPN und Antivirus deaktivieren
Den VPN oder auch das Antivirus-Programm zu deaktivieren, kann potenzielle Störungen verhindern. Diese Programme haben einen starken Einfluss auf die Browser und Anfragen die an das Internet gehen. Dementsprechend sollte hier auch ein Blick drauf geworfen werden. - SSL Cache löschen
An PCs lässt sich auch der SSL Cache, welcher sich SSL State nennt, löschen. Damit werden fehlerhaft gespeicherte Zertifikate entfernt, die zu dem Fehlercode führen können. - Die Seite trotzdem besuchen
Dieser Lösungsansatz sollte als “letztes Mittel” gesehen werden, da hiermit die Sicherheit, die HTTPS mit sich bringt, umgangen wird. Zeigen die Browser den NET::ERR_CERT_AUTHORITY_INVALID Fehler an, gibt es meist einen Button für “Erweitert” womit es möglich ist, die Seite trotz der Sicherheitswarnung aufzurufen. Dabei muss beachtet werden, dass die potenziell schadhafte Webseite Daten abgreifen und Viren verbreiten kann. Daher ist dieser Tipp mit Vorsicht zu betrachten.
Zusätzliche Lösungsansätze für Webseiten-Betreiber
- SSL Test
Um festzustellen, ob die eigene WordPress-Webseite ein ungültiges Zertifikat besitzt, gibt es einige Tools, welche die Webseite auf Herz und Nieren überprüfen. Qualys SSL Labs ist eines dieser Tools, welches selbstständig, nach Angabe der URL, passende Anfragen an die Webseite sendet und damit auf das Zertifikat prüft. - Ein valides Zertifikat beantragen
Zertifikate werden in der Regel von zertifizierten Stellen ausgegeben. Diese Zertifizierungsstellen werden von der Certification Authority Authorization (CAA) dazu berechtigt, diese Zertifikate auszustellen. Einige sehr bekannte Zertifizierungsstellen sind Let’s Encrypt, DigiCert oder Symantec. - Zertifikat erneuern
Da die Zertifikate zeitlich begrenzt sind, müssen diese auch erneuert werden. Hier kann eine Erinnerung hilfreich sein, um den Termin nicht zu verpassen. Viele Zertifizierungsstellen bieten aber auch eine E-Mail Erinnerung an, die genutzt werden kann. Nutzt man Let’s Encrypt für seine Zertifikate, ist hier sogar eine automatisierte Erneuerung möglich. - Kompatibilität prüfen
Wird von einigen Nutzern berichtet, dass das Zertifikat ungültig ist, andere aber kein Problem haben, kann dies an fehlender Kompatibilität liegen. Auf dem Webserver lassen sich die Mechanismen und Protokolle konfigurieren, welche unterstützt werden sollen. Handelt es sich um alte Clients, kann es durchaus sein, dass diese keine der neuen Methoden unterstützen und somit keine erfolgreiche Verbindung herstellen können. Auch die Zertifizierungsstelle kann je nach Endgerät Probleme verursachen.
Zusammenfassung – NET::ERR_CERT_AUTHORITY_INVALID
Der Fehlercode NET::ERR_CERT_AUTHORITY_INVALID kann verschiedenste Ursachen haben, die alle auf eine fehlerhafte Validierung des Zertifikats hindeuten. Mit etwas Glück helfen die Browser und das Betriebssystem bereits bei der Eingrenzung des Fehlers. Findet man jedoch keinen genaueren Hinweis, hilft diese Liste an Tipps den Fehler zu beheben. Die einzelnen Schritte, wie Systemzeit anpassen und SSL Zertifikat erneuern, brauchen an sich wenig Zeit und tragen schnell zum gewünschten Ergebnis bei.