Hallo Barbara,
danke für den Screenshot. Dort kann man erkennen, was vermutlich das eigentliche Problem ist: Chrome erkennt das SSL-Zertifikat von Let’s Encrypt nicht an, wegen ungültigem Datum (“ERR_CERT_DATE_INVALID”). Dem Zertifikat wird nicht (mehr) vertraut, weil es abgelaufen sei.
Das hat mich doch ziemlich verwundert, weil das Zertifikat für das Forum ziemlich “frisch” ist und nicht abgelaufen sein kann. Tatsächlich ist das aktuelle Zertifikat für archaeologie.online noch bis Dezember gültig.
Ich habe mir daher das Ganze mal auf Browserstack mit einer Simulation von Chrome 38 auf Apple Yosemite angeschaut und dabei kam folgendes heraus:
… was mich auf die Seite von Let’s Encrypt führte, wo ich den Hinweis fand, dass tatsächlich die Gültigkeit des von Let’s Encrypt früher ausgegebenen und in vielen alten Geräten verwendete Root Certificate am 30.09.2021 abgelaufen ist.
Was bedeutet das nun?
Das Root Certificate ist in den Client-Rechnern (und nicht auf dem Server) hinterlegt. Das System hat in seinem Zertifikatspeicher ( “Trust Store” / “Key Chain”) zahlreiche vertrauenswürdige Root-Zertifikate hinterlegt, anhand derer es die Gültigkeit der von (u.a.) Webservern gesendeten Website-Zertifikate überprüft. Diese Zertifikate verweisen immer auf eines von einer Zertifizierungsstelle herausgegebenes Root-Zertifikat.
Nun sind auch Root-Zertifikate nur eine begrenzte Zeit lang gültig und werden vom System dann nach Ablauf nicht mehr als vertrauenswürdig anerkannt. Normalerweise werden bei einem Update des Systems auch alte Root-Zertifikate durch aktuellere ersetzt, so dass es bei aktuell gehaltenen Systemen kein Problem geben sollte.
Wenn Du Dein System nicht updaten kannst oder willst, wirst Du mit Chrome oder Safari früher oder später bei vielen Webseiten ähnliche Probleme bekommen. Bei Firefox tritt das Problem deswegen nicht auf, weil Firefox den Zertifikatspeicher des Systems nicht nutzt, sondern einen eigenen Zertifikatspeicher verwendet. Dieser enthält dann immer die Root-Zertifikate, die mit der jeweiligen Version von Firefox mit installiert werden.
Wie man dieses Problem beheben kann
Wie ich oben versucht habe zu erklären, ist dies kein Problem, das sich serverseitig beheben lässt. Unser Server sendet eigentlich die korrekte Zertifikatkette (kannst Du auch in Firefox prüfen). Nur wird von veralteten Systemen das falsche Root-Zertifikat zur Prüfung verwendet.
Die Lösung des Problems ist nun, das aktuelle Root-Zertifikat von Hand in den Zertifikatspeicher des eigenen Systems zu importieren oder aber dem System zu sagen, dass es dem abgelaufenen Root-Zertifikat weiterhin vertrauen soll.
Das kannst Du nur selbst machen. Eine Anleitung, wie das funktionieren sollte, habe ich im Forum von Let’s Encrypt gefunden — das übrigens auch mit Discourse läuft (leider nur auf englisch):
Directions for fix:
- Open ~/Applications/Utilities/Keychain Access.app
- From View menu select “Show Expired Certificates”
- On the Left Sidebar pick System Root
- In search bar top-right type DST
- Double-click “DST Root CA X3”
- In pop-up, turn down “Trust” arrow and set “When using this certificate” to “Always Trust”
- Close the pop-up and put in an Administrator user/password info.
- Close all open Browsers & Keychain you should be good to go after that.
Hier auch mit Bildern:
Ich versuche mal, die Anleitung zu übersetzen:
- Die Schlüsselbundverwaltung öffnen
- Im Menü Ansicht die Option “Abgelaufene Zertifikate anzeigen” wählen
- In der linken Seitenleiste “System-Roots” auswählen
- In das Suchfeld am oberen rechten Rand DST eintippen
- Doppelklick auf “DST Root CA X3”
- Im daraufhin erscheinenden Fenster unterhalb der Zertifikat-Info auf das kleine Dreieck vor “Vertrauen” klicken, um die Optionen anzuzeigen und dort dann “Immer vertrauen” auswählen
- Das Fenster schließen und Administrator-Passwort eingeben, wenn aufgefordert
- Die Schlüsselbundverwaltung und alle offenen Browser-Fenster schließen
Damit sollte zumindest der Zertifikat-Fehler behoben sein.
Uff, das ist jetzt etwas sehr ausführlich geworden, aber ich wollte diesem Problem doch auf den Grund gehen, weil das ganze Thema Zertifikate mich in den letzten Tagen auch ziemlich beschäftigt hat und nicht ganz unkompliziert ist.
Dabei belasse ich es jetzt mal in diesem Beitrag, zu Deinen anderen wichtigen und richtigen Punkten schreibe ich später noch etwas.
Bis dann!
Viele Grüße
Andreas