none
Zertifikatsmeldung Chrome RRS feed

  • Frage

  • Hallo,
    wenn ich eine interne https Website mit dem IE aufrufe kommt keine Zertifikatsmeldung.
    Mit Chrome kommt eine.

    Es handelt sich um ein internes Zertifikat einer internen CA.
    Das Zertifikat ist gültig und die Kette wird auch aufgelöst.

    Was kann das sein?

    Danke und Gruß
    Dennis
    Dienstag, 4. Mai 2021 06:15

Antworten

  • Moin,

    welche Meldung kommt denn? Vielleicht steht die Antwort ja schon darin ;-)

    Was man oft bei Webservern hat, sind Zertifikate, wo der aufgerufene FQDN zwar im Subject, aber nicht im SAN steht. Das wird mittlerweile als Fehler angesehen, den IE aber übersieht, denn sein "mittlerweile" ist ja schon etwas länger her...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 5. Mai 2021 07:26
    Dienstag, 4. Mai 2021 06:20
  • Moin,

    also die Meldung ist COMMON_NAME_INVALID. Ich würde auf den von mir oben beschriebenen Sachverhalt tippen. Für moderne Browser muss der aufgerufene Name im SAN stehen, im Subject kann gerne Mickey-Maus oder sonst was stehen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 5. Mai 2021 07:27
    Dienstag, 4. Mai 2021 06:45

Alle Antworten

  • Moin,

    welche Meldung kommt denn? Vielleicht steht die Antwort ja schon darin ;-)

    Was man oft bei Webservern hat, sind Zertifikate, wo der aufgerufene FQDN zwar im Subject, aber nicht im SAN steht. Das wird mittlerweile als Fehler angesehen, den IE aber übersieht, denn sein "mittlerweile" ist ja schon etwas länger her...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 5. Mai 2021 07:26
    Dienstag, 4. Mai 2021 06:20
  • Meldung:
    Die Verbindung zu dieser Website ist nicht sicher.

    Oder kann ich sonst noch weiterreichende Informationen sehen?
    Dienstag, 4. Mai 2021 06:24
  • Also Du meinst, die Webseite geht regulär auf, aber das Schloss-Symbol ist durchgestrichen?

    Dann müsstest Du auf den Pfeil neben "die Verbindung ist nicht sicher" und dann unten auf "weitere Informationen" klicken können. Sonst poste mal einen Screenshot von dem, was angezeigt wird.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 4. Mai 2021 06:27
  • Anbei die Meldung......wenn ich auf erweitert klicke dann ruft er die Site auf.
    Dienstag, 4. Mai 2021 06:32
  • Moin,

    also die Meldung ist COMMON_NAME_INVALID. Ich würde auf den von mir oben beschriebenen Sachverhalt tippen. Für moderne Browser muss der aufgerufene Name im SAN stehen, im Subject kann gerne Mickey-Maus oder sonst was stehen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 5. Mai 2021 07:27
    Dienstag, 4. Mai 2021 06:45
  • Das Problem tritt auch bei selbst erstellten Zertifikaten auf, da diese nicht von einem "vertrauenswürdigen Herausgeber" stammen.
    https://magazin.sslmarket.de/inpage/was-ist-ein-vertrauenswurdiges-ssl-zertifikat/

    Um die Kosten zu sparen, die ein gekauftet Zertifikat bedeutet, gibts "lets encrypt", mit dem dynamische Zertifikate ausgestellt werden können. Dies funktioniert im Intranet auch nur, wenn der Web-Server "nach draußen" telefonieren darf.

    Für das Intranet kann man das Zertifikat häufig als Ausnahme (auf dme Client) hinzufügen:
    https://support.mozilla.org/de/kb/vertrauenswurdige-sites-positivliste-firefox-klar

    Bei anderen Browsern gibts ähnliche Verfahren.

    Dienstag, 4. Mai 2021 07:35
  • Das Problem tritt auch bei selbst erstellten Zertifikaten auf, da diese nicht von einem "vertrauenswürdigen Herausgeber" stammen.

    Aber. Vertrauenswürdigkeit ist nicht gottgegeben, sondern beruht ausschließlich darauf, dass das Zertifikat der Root-CA der ausstellenden Zertifikatskette sich in dem entsprechenden Speicher auf dem Client befindet. Alle bekannten Browser außer Firefox nutzen dafür unter Windows den Windows Certstore, bei Firefox gibt es seit einigen Versionen die Möglichkeit, diesen ebenfalls zu verwenden; davor hat Firefox den eigenen Store genutzt, der nahezu unmöglich war, vernünftig zentral zu pflegen.

    Wenn man also vom Spezialfall "altes Firefox" absieht, gibt es keinen Unterschied (in der Vertrauenswürdigkeit) zwischen Digicert, der firmeneigenen PKI und einem selbstsignierten Zertifikat, welches auf jedem betroffenen System unter "Trusted Roots" hinterlegt ist.

    Außerdem besagt die Fehlermeldung im OP ja nicht, dass dem Zertifikat nicht vertraut wird, sondern dass der Name nicht passt ;-)


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 4. Mai 2021 11:49