Forum September 2021

Hallo Barbara,

danke für den Screenshot. Dort kann man erkennen, was vermutlich das eigentliche Problem ist: Chrome erkennt das SSL-Zertifikat von Let’s Encrypt nicht an, wegen ungültigem Datum (“ERR_CERT_DATE_INVALID”). Dem Zertifikat wird nicht (mehr) vertraut, weil es abgelaufen sei.

Das hat mich doch ziemlich verwundert, weil das Zertifikat für das Forum ziemlich “frisch” ist und nicht abgelaufen sein kann. Tatsächlich ist das aktuelle Zertifikat für archaeologie.online noch bis Dezember gültig.
Ich habe mir daher das Ganze mal auf Browserstack mit einer Simulation von Chrome 38 auf Apple Yosemite angeschaut und dabei kam folgendes heraus:

… was mich auf die Seite von Let’s Encrypt führte, wo ich den Hinweis fand, dass tatsächlich die Gültigkeit des von Let’s Encrypt früher ausgegebenen und in vielen alten Geräten verwendete Root Certificate am 30.09.2021 abgelaufen ist.

Was bedeutet das nun?

Das Root Certificate ist in den Client-Rechnern (und nicht auf dem Server) hinterlegt. Das System hat in seinem Zertifikatspeicher ( “Trust Store” / “Key Chain”) zahlreiche vertrauenswürdige Root-Zertifikate hinterlegt, anhand derer es die Gültigkeit der von (u.a.) Webservern gesendeten Website-Zertifikate überprüft. Diese Zertifikate verweisen immer auf eines von einer Zertifizierungsstelle herausgegebenes Root-Zertifikat.

Nun sind auch Root-Zertifikate nur eine begrenzte Zeit lang gültig und werden vom System dann nach Ablauf nicht mehr als vertrauenswürdig anerkannt. Normalerweise werden bei einem Update des Systems auch alte Root-Zertifikate durch aktuellere ersetzt, so dass es bei aktuell gehaltenen Systemen kein Problem geben sollte.

Wenn Du Dein System nicht updaten kannst oder willst, wirst Du mit Chrome oder Safari früher oder später bei vielen Webseiten ähnliche Probleme bekommen. Bei Firefox tritt das Problem deswegen nicht auf, weil Firefox den Zertifikatspeicher des Systems nicht nutzt, sondern einen eigenen Zertifikatspeicher verwendet. Dieser enthält dann immer die Root-Zertifikate, die mit der jeweiligen Version von Firefox mit installiert werden.

Wie man dieses Problem beheben kann

Wie ich oben versucht habe zu erklären, ist dies kein Problem, das sich serverseitig beheben lässt. Unser Server sendet eigentlich die korrekte Zertifikatkette (kannst Du auch in Firefox prüfen). Nur wird von veralteten Systemen das falsche Root-Zertifikat zur Prüfung verwendet.

Die Lösung des Problems ist nun, das aktuelle Root-Zertifikat von Hand in den Zertifikatspeicher des eigenen Systems zu importieren oder aber dem System zu sagen, dass es dem abgelaufenen Root-Zertifikat weiterhin vertrauen soll.

Das kannst Du nur selbst machen. Eine Anleitung, wie das funktionieren sollte, habe ich im Forum von Let’s Encrypt gefunden — das übrigens auch mit Discourse läuft :smirk: (leider nur auf englisch):

Directions for fix:

  1. Open ~/Applications/Utilities/Keychain Access.app
  2. From View menu select “Show Expired Certificates”
  3. On the Left Sidebar pick System Root
  4. In search bar top-right type DST
  5. Double-click “DST Root CA X3”
  6. In pop-up, turn down “Trust” arrow and set “When using this certificate” to “Always Trust”
  7. Close the pop-up and put in an Administrator user/password info.
  8. Close all open Browsers & Keychain you should be good to go after that.

Hier auch mit Bildern:

Ich versuche mal, die Anleitung zu übersetzen:

  1. Die Schlüsselbundverwaltung öffnen
  2. Im Menü Ansicht die Option “Abgelaufene Zertifikate anzeigen” wählen
  3. In der linken Seitenleiste “System-Roots” auswählen
  4. In das Suchfeld am oberen rechten Rand DST eintippen
  5. Doppelklick auf “DST Root CA X3”
  6. Im daraufhin erscheinenden Fenster unterhalb der Zertifikat-Info auf das kleine Dreieck vor “Vertrauen” klicken, um die Optionen anzuzeigen und dort dann “Immer vertrauen” auswählen
  7. Das Fenster schließen und Administrator-Passwort eingeben, wenn aufgefordert
  8. Die Schlüsselbundverwaltung und alle offenen Browser-Fenster schließen

Damit sollte zumindest der Zertifikat-Fehler behoben sein.

:sweat:

Uff, das ist jetzt etwas sehr ausführlich geworden, aber ich wollte diesem Problem doch auf den Grund gehen, weil das ganze Thema Zertifikate mich in den letzten Tagen auch ziemlich beschäftigt hat und nicht ganz unkompliziert ist.

Dabei belasse ich es jetzt mal in diesem Beitrag, zu Deinen anderen wichtigen und richtigen Punkten schreibe ich später noch etwas.
Bis dann!

Viele Grüße
Andreas

Hallo Barbara,

noch schnell zum zweiten Punkt, der mich auch ziemlich irritiert hat:

Eine “Archäologie Online Forum App” gibt es nicht — Du kannst Dir vielleicht vorstellen, dass wegen Deinem Screenshot bei mir erst mal alle Alarmglocken angegangen sind.

Zum Glück habe ich eine einfache und beruhigende Erklärung gefunden: Es wird gar nichts installiert. Das gezeigte Dialogfenster erscheint, wenn Du auf das in Deinem Bild grau hinterlegte Symbol am rechten Rand der Adresszeile von Chrome klickst. Wenn Du dann auf “Installieren” klickst, wird nicht etwa tatsächlich eine App installiert, sondern es wird lediglich eine URL-Verknüpfung auf dem Desktop angelegt - sozusagen ein Lesezeichen auf dem Desktop. Damit kannst Du dann einfach per Mausklick vom Desktop die Seite aufrufen, ohne vorher den Browser starten zu müssen.

Also Entwarnung: keine App, keine Gefahr :slightly_smiling_face:

Hallo Barbara,

Die Sicherstellung des dauerhaften Zugangs zu Information finde ich auch sehr wichtig.
Dies mit Discourse durch die einfache HTML-Ansicht ja gewährleistet, die auch mit älteren Browsern und ohne Javascript funktioniert. Und mit halbwegs aktuellen und nicht allzu exotischen Browsern steht auch einer aktiven Teilhabe eigentlich nichts im Weg - wenn einem nicht gerade veraltete SSL-Zertifikate des Systems einen Strich durch Rechnung machen… :wink:

Viele Grüße
Andreas

Hallo Andreas,

Dank vielmals für dein „Kurz-Seminar“ und für die übersetzte Anleitung zur Fehlerbehebung! :clap: Nun kann ich wieder meine gewohnte Umgebung vollumfänglich nutzen. :heart_eyes:

Ein Plauderecken-Gedanke: In der Frühzeit der Computerei gab es mal die Parole „Never change a running system!“. Dem zu folgen, hat für mich (mit kleineren Anpassungen) auch lange Zeit einigermaßen funktioniert. Inzwischen ist durch Innovationen der Druck auf (nicht nur professionelle) Nutzer aber größer geworden. Tja, times are changing – und schneller als man denkt… landet man im Sediment.
pixeldino

Sorry - überlesen…
Ja, das wäre grundsätzlich möglich bei mir. Ich erinnere mich an solche Probleme, die ich (auf Deinen Rat) mittels MS-Editor lösen konnte.

Gruß Jürgen