„Ihre Verbindung ist nicht privat” ist der häufigste SSL-Fehler. Er bedeutet, dass Ihr Browser ein Problem mit dem SSL-Zertifikat der Website erkannt hat und sich weigert, eine sichere Verbindung aufzubauen. Der Fehler erscheint als NET::ERR_CERT_* in Chrome, „Warnung: Potenzielles Sicherheitsrisiko” in Firefox oder „Diese Verbindung ist nicht privat” in Safari.
Dieser Leitfaden behandelt Lösungen für beide Seiten: wenn Sie ein Besucher sind, der den Fehler sieht, und wenn Sie ein Website-Betreiber sind, dessen Besucher ihn sehen.
Wenn Sie ein Besucher sind (Schnelllösungen)
Diese Schritte beheben clientseitige Ursachen — Probleme auf Ihrem Gerät, nicht auf der Website.
1. Seite neu laden
Der Fehler ist manchmal vorübergehend — ein Netzwerkfehler während des TLS-Handshakes. Drücken Sie F5 oder Strg+R.
2. Datum und Uhrzeit Ihres Geräts überprüfen
SSL-Zertifikate haben Gültigkeitszeiträume. Wenn die Uhr Ihres Computers falsch geht, denkt der Browser, das Zertifikat sei abgelaufen oder noch nicht gültig. Lösung:
- Windows: Einstellungen → Zeit und Sprache → Uhrzeit automatisch festlegen
- macOS: Systemeinstellungen → Allgemein → Datum & Uhrzeit → Automatisch einstellen
- Linux:
sudo timedatectl set-ntp true
3. Inkognito-/Privatmodus ausprobieren
Wenn es im Inkognito-Modus funktioniert, aber nicht im normalen Modus, stört eine Browser-Erweiterung — wahrscheinlich ein Antivirus, VPN oder Werbeblocker, der HTTPS-Datenverkehr inspiziert. Deaktivieren Sie Erweiterungen einzeln, um den Übeltäter zu finden.
4. Browser-Cache und SSL-Status löschen
Ihr Browser hat möglicherweise ein altes Zertifikat zwischengespeichert:
- Chrome: Einstellungen → Datenschutz → Browserdaten löschen → Bilder und Dateien im Cache
- Windows: Interneteigenschaften → Inhalt → SSL-Status löschen
- macOS: Schlüsselbundverwaltung → nach der Domain suchen → zwischengespeicherte Einträge löschen
5. Ihr Netzwerk überprüfen
Unternehmens-Proxys, Hotel-WLAN-Captive-Portale und einige VPNs setzen eigene Zertifikate ein. Versuchen Sie:
- VPN trennen und erneut versuchen
- Zu einem anderen Netzwerk wechseln (z. B. mobiler Hotspot)
- Sich mit dem Captive-Portal verbinden, wenn Sie Hotel-/Flughafen-WLAN nutzen
6. Browser aktualisieren
Ältere Browser vertrauen möglicherweise neueren Zertifizierungsstellen nicht oder unterstützen kein modernes TLS. Aktualisieren Sie auf die neueste Version.
Sollten Sie auf „Trotzdem fortfahren” klicken? Nur wenn Sie das Risiko verstehen und der Website vertrauen (z. B. Ihr eigener Entwicklungsserver mit einem selbstsignierten Zertifikat). Umgehen Sie die Warnung niemals auf Banking-, E-Mail- oder Shopping-Seiten.
Wenn Sie der Website-Betreiber sind (Server-Lösungen)
Ihre Besucher sehen diesen Fehler, weil etwas mit Ihrem SSL-Setup nicht stimmt. So diagnostizieren und beheben Sie jede Ursache.
Ursache 1: Zertifikat abgelaufen
Die häufigste Ursache. Let’s Encrypt-Zertifikate laufen alle 90 Tage ab.
Diagnose:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
Lösung: Erneuern Sie Ihr Zertifikat. Mit GetHTTPS dauert es 5 Minuten. Ersetzen Sie dann die Dateien und laden Sie Ihren Server neu.
Ursache 2: Zertifikat passt nicht zur Domain
Das Zertifikat wurde für example.com ausgestellt, aber Sie greifen auf www.example.com zu (oder umgekehrt).
Diagnose:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -ext subjectAltName
Lösung: Besorgen Sie ein neues Zertifikat, das sowohl die Basis-Domain als auch www enthält. In GetHTTPS fügen Sie sowohl example.com als auch www.example.com hinzu.
Ursache 3: Unvollständige Zertifikatskette
Ihr Server sendet das Zwischenzertifikat nicht mit. Der Browser kann den Vertrauenspfad von Ihrem Zertifikat zur Root-CA nicht aufbauen.
Diagnose:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Verify return code"
# "21 (unable to verify the first certificate)" = Kette unvollständig
Lösung:
- Nginx: Verwenden Sie
fullchain.pem(nichtcert.pem) inssl_certificate - Apache: Fügen Sie
SSLCertificateChainFile chain.pemhinzu
Ursache 4: Selbstsigniertes Zertifikat
Selbstsignierte Zertifikate werden von Browsern nicht vertraut — es gibt keine CA, die für sie bürgt.
Lösung: Ersetzen Sie es durch ein echtes Zertifikat von Let’s Encrypt (kostenlos) oder einer kommerziellen CA.
Ursache 5: Falsches Zertifikat ausgeliefert
Wenn Sie mehrere Websites auf einem Server hosten, wird möglicherweise das falsche Zertifikat ausgeliefert (SNI-Fehlkonfiguration).
Diagnose:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -subject
# Überprüfen Sie, ob der CN zu Ihrer Domain passt
Lösung: Stellen Sie sicher, dass jeder server-Block (Nginx) oder <VirtualHost> (Apache) das korrekte ssl_certificate für die jeweilige Domain hat.
Ursache 6: TLS-Version zu alt
Ihr Server unterstützt nur veraltete TLS-Versionen (1.0/1.1), die von Browsern nicht mehr unterstützt werden.
Lösung:
# Nginx
ssl_protocols TLSv1.2 TLSv1.3;
# Apache
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
Ursache 7: Cloudflare „Flexible” SSL-Modus
Cloudflares „Flexible”-Modus kann diesen Fehler verursachen, wenn kein gültiges Zertifikat auf dem Ursprungsserver vorhanden ist.
Lösung: Installieren Sie ein Zertifikat auf Ihrem Ursprungsserver (GetHTTPS oder Cloudflare Origin CA) und wechseln Sie zum Modus „Full (Strict)”.
Ursache 8: HSTS hat einen fehlerhaften Zustand zwischengespeichert
Wenn Sie zuvor HSTS-Header gesendet, dann aber HTTPS beschädigt haben, verweigern Browser die Verbindung über HTTP als Fallback.
Lösung: Stellen Sie HTTPS mit einem gültigen Zertifikat wieder her. Verwenden Sie zum Testen ein kurzes HSTS max-age (z. B. 300 Sekunden), bis Sie sicher sind.
Fehlercode-Referenz
| Chrome-Fehlercode | Bedeutung | Häufige Lösung |
|---|---|---|
NET::ERR_CERT_DATE_INVALID | Zertifikat abgelaufen oder noch nicht gültig | Zertifikat erneuern oder Systemuhr korrigieren |
NET::ERR_CERT_COMMON_NAME_INVALID | Domain stimmt nicht mit Zertifikat überein | Zertifikat für korrekte Domain besorgen |
NET::ERR_CERT_AUTHORITY_INVALID | Selbstsigniert oder nicht vertrauenswürdige CA | Vertrauenswürdige CA wie Let’s Encrypt verwenden |
NET::ERR_CERT_REVOKED | Zertifikat wurde widerrufen | Neues Zertifikat besorgen |
NET::ERR_SSL_PROTOCOL_ERROR | TLS-Handshake fehlgeschlagen | Server-TLS-Konfiguration überprüfen |
NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Keine gemeinsame TLS-Version/Cipher | TLS 1.2+ auf dem Server aktivieren |
SSL_ERROR_HANDSHAKE_FAILURE_ALERT | (Firefox) Handshake abgelehnt | Server-Zertifikat und Konfiguration überprüfen |
Häufig gestellte Fragen
Ist es sicher, auf „Fortfahren” / „Risiko akzeptieren” zu klicken?
Nur auf Websites, denen Sie vertrauen und deren Risiko Sie verstehen — wie Ihr eigener Entwicklungsserver mit einem selbstsignierten Zertifikat. Umgehen Sie die Warnung niemals auf Banking-, E-Commerce-, E-Mail- oder Social-Media-Seiten. Die Warnung existiert, weil jemand Ihren Datenverkehr abfangen könnte.
Ich sehe diesen Fehler auf meiner eigenen Website. Wie behebe ich ihn am schnellsten?
Gehen Sie zu GetHTTPS, besorgen Sie ein neues kostenloses Zertifikat, installieren Sie es und laden Sie Ihren Webserver neu. Das dauert 5 Minuten. Wenn der Fehler bestehen bleibt, überprüfen Sie den Fehlercode — er sagt Ihnen genau, was falsch ist (abgelaufen, falsche Domain, fehlende Kette usw.).
Der Fehler erscheint auf einigen Geräten, aber nicht auf anderen
Normalerweise ein Problem mit der Vertrauenskette — Ihr Server sendet das Zwischenzertifikat nicht mit. Einige Browser/Betriebssysteme haben das Zwischenzertifikat aus früheren Besuchen zwischengespeichert, aber neue Geräte haben es nicht gesehen. Beheben Sie dies, indem Sie fullchain.pem auf Ihrem Server verwenden.
Mein Zertifikat ist gültig, aber ich sehe trotzdem den Fehler
Überprüfen Sie: Domain-Nichtübereinstimmung (www vs. ohne www), unvollständige Kette, HSTS, das einen früheren Fehler zwischenspeichert, oder ein Proxy/CDN, der ein anderes Zertifikat ausliefert. Verwenden Sie openssl s_client, um genau zu sehen, welches Zertifikat der Server präsentiert.