Alle Bereitstellungsanleitungen Bereitstellung

SSL-Zertifikatsfehler: Vollständige Anleitung zu allen häufigen Fehlern

SSL-Zertifikatsfehler verhindern, dass Besucher Ihre Website sicher erreichen. Diese Anleitung behandelt jeden häufigen Fehlercode, seine Bedeutung und die Lösung — egal ob Sie Besucher oder Website-Betreiber sind.

Für den häufigsten Fehler im Speziellen, siehe unsere dedizierte Anleitung: Fehlermeldung “Ihre Verbindung ist nicht privat” beheben →

Fehler-Referenztabelle

Fehlercode (Chrome)Firefox-ÄquivalentBedeutungLösung
NET::ERR_CERT_DATE_INVALIDSEC_ERROR_EXPIRED_CERTIFICATEZertifikat abgelaufenZertifikat erneuern
NET::ERR_CERT_COMMON_NAME_INVALIDSSL_ERROR_BAD_CERT_DOMAINDomain stimmt nicht mit Zertifikat übereinZertifikat für korrekte Domain holen
NET::ERR_CERT_AUTHORITY_INVALIDSEC_ERROR_UNKNOWN_ISSUERSelbstsigniert oder nicht vertrauenswürdige CALet’s Encrypt verwenden
NET::ERR_CERT_REVOKEDSEC_ERROR_REVOKED_CERTIFICATEZertifikat wurde widerrufenNeues Zertifikat holen
NET::ERR_SSL_PROTOCOL_ERRORSSL_ERROR_RX_RECORD_TOO_LONGTLS-Handshake fehlgeschlagenServerkonfiguration prüfen
NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCHSSL_ERROR_NO_CYPHER_OVERLAPKeine gemeinsame TLS-Version/CipherTLS 1.2+ aktivieren
ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAINHPKP-Pin stimmt nicht übereinHPKP-Pins aktualisieren oder entfernen
ERR_CERTIFICATE_TRANSPARENCY_REQUIREDFehlender CT-Log-EintragErneut von einer CT-konformen CA ausstellen

Detaillierte Fehlerlösungen

ERR_CERT_DATE_INVALID — Zertifikat abgelaufen

Ursache: Das Not After-Datum des Zertifikats ist überschritten. Bei 90-Tage-Let’s-Encrypt-Zertifikaten passiert dies, wenn Sie die Erneuerung vergessen.

Lösung für Besucher: Prüfen Sie Datum und Uhrzeit Ihres Geräts — bei falscher Uhr erscheinen gültige Zertifikate als abgelaufen.

Lösung für Betreiber:

# Tatsächliches Ablaufdatum prüfen
echo | openssl s_client -connect ihredomain.com:443 -servername ihredomain.com 2>/dev/null | openssl x509 -noout -enddate

Sofort erneuern, Dateien ersetzen, Server neu laden. Monitoring einrichten, um dies in Zukunft zu verhindern.

ERR_CERT_COMMON_NAME_INVALID — Domain-Abweichung

Ursache: Das Zertifikat wurde für example.com ausgestellt, aber Sie besuchen www.example.com (oder umgekehrt), oder das Zertifikat deckt eine ganz andere Domain ab.

Lösung für Betreiber:

# Prüfen, welche Domains das Zertifikat abdeckt
echo | openssl s_client -connect ihredomain.com:443 -servername ihredomain.com 2>/dev/null | openssl x509 -noout -ext subjectAltName

Neues Zertifikat holen, das alle benötigten Domains enthält. In GetHTTPS sowohl example.com als auch www.example.com hinzufügen.

ERR_CERT_AUTHORITY_INVALID — Nicht vertrauenswürdige CA

Ursache: Das Zertifikat ist selbstsigniert, von einer unbekannten CA ausgestellt, oder die intermediäre Vertrauenskette ist unvollständig.

Lösung für Betreiber:

  • Wenn selbstsigniert → durch ein Let’s Encrypt-Zertifikat ersetzen
  • Wenn Kette unvollständig → fullchain.pem verwenden (Nginx) oder SSLCertificateChainFile hinzufügen (Apache)
  • Wenn unbekannte CA → zu einer vertrauenswürdigen CA wechseln

ERR_SSL_PROTOCOL_ERROR — Handshake-Fehler

Ursache: Die TLS-Konfiguration des Servers ist fehlerhaft — falscher Zertifikatspfad, beschädigte Dateien oder falsche Einstellungen.

Lösung für Betreiber:

# TLS-Verbindung testen
openssl s_client -connect ihredomain.com:443 -servername ihredomain.com

# Prüfen, ob Zertifikat und Schlüssel zusammenpassen
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in privkey.pem | openssl md5
# Hashes müssen übereinstimmen

Häufige Ursachen: Falscher Dateipfad in der Serverkonfiguration, Zertifikat und Schlüssel aus verschiedenen Sitzungen, zu restriktive Dateiberechtigungen.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH — Kein kompatibles TLS

Ursache: Der Server unterstützt nur alte TLS-Versionen (1.0/1.1), die der Browser nicht mehr unterstützt, oder verwendet Cipher Suites, die der Browser nicht unterstützt.

Lösung für Betreiber:

# Nginx — modernes TLS aktivieren
ssl_protocols TLSv1.2 TLSv1.3;
# Apache
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Warnungen bei gemischten Inhalten

Ursache: Ihre HTTPS-Seite lädt Bilder, Skripte oder CSS über HTTP.

Dies ist kein Zertifikatsfehler — das Zertifikat ist in Ordnung, aber die Seite referenziert unsichere Ressourcen. Vollständige Anleitung zur Behebung gemischter Inhalte →

Diagnose-Workflow

Wenn Sie einen SSL-Fehler sehen, folgen Sie dieser Reihenfolge:

1. Fehlercode prüfen → identifiziert die Kategorie

2. Zertifikatsdetails prüfen
   openssl s_client -connect domain:443 -servername domain

3. Abgelaufen? → Erneuern
   Domain-Abweichung? → Für korrekte Domain neu ausstellen
   Kette unvollständig? → fullchain.pem verwenden
   Selbstsigniert? → Zu Let's Encrypt wechseln
   Konfigurationsfehler? → Dateipfade und Berechtigungen prüfen

4. Nach der Behebung → Server neu laden, Browser-Cache leeren, überprüfen

Online-Diagnosetools

ToolURLWas es prüft
SSL Labsssllabs.com/ssltestVollständiges SSL-Audit (Note A-F)
SSL Checkersslshopper.com/ssl-checkerKette, Ablauf, Domain-Übereinstimmung
Certificate Searchcrt.shCertificate Transparency Logs
Why No Padlockwhynopadlock.comErkennung gemischter Inhalte

Häufig gestellte Fragen

Ich habe den Fehler behoben, aber der Browser zeigt ihn weiterhin

Leeren Sie Ihren Browser-Cache (Strg+Umschalt+Entf) oder testen Sie in einem Inkognito-Fenster. Browser cachen SSL-Zustände, und HSTS kann eine gecachte Entscheidung erzwingen. Unter Windows leeren Sie auch den SSL-Zustand: Internetoptionen → Inhalt → SSL-Zustand löschen.

Der Fehler erscheint in einigen Browsern, aber nicht in anderen

Verschiedene Browser haben unterschiedliche Trust Stores und Caching-Verhalten. Am häufigsten: Eine unvollständige Zertifikatskette, die einige Browser aus dem Cache ergänzen können, andere jedoch nicht. Beheben Sie dies, indem Sie die vollständige Kette auf Ihrem Server bereitstellen.

Wie verhindere ich SSL-Fehler?

  1. Zertifikats-Ablauf überwachen — Warnungen für Tag 60 von 90 einrichten
  2. fullchain.pem statt cert.pem verwenden — verhindert Kettenfehler
  3. Alle Domain-Varianten (www + nicht-www) in Ihrem Zertifikat einschließen
  4. Auto-Erneuerung mit Certbot für Produktionsserver einrichten
  5. Nach jeder Änderung mit SSL Labs testen

Verwandte Artikel

Bereitstellung 2026-05-08
So beheben Sie den Fehler „Ihre Verbindung ist nicht privat"
Der Fehler „Ihre Verbindung ist nicht privat" bedeutet, dass das SSL-Zertifikat ein Problem hat. Erfahren Sie die 8 häufigsten Ursachen und wie Sie jede beheben — sowohl für Besucher als auch für Website-Betreiber.
SSL & Zertifikate 2026-05-07
Die Zertifikats-Vertrauenskette erklaert
Wie Browser SSL-Zertifikate ueber eine Kette von der Root-CA ueber die Intermediate-CA bis zu Ihrem Zertifikat verifizieren. Erfahren Sie, warum die Kettenreihenfolge wichtig ist und wie Sie Fehler wie 'Zertifikat nicht vertrauenswuerdig' beheben.
Bereitstellung 2026-05-07
So überprüfen Sie den Ablauf eines SSL-Zertifikats
Prüfen Sie, wann Ihr SSL-Zertifikat abläuft — mit dem Browser, OpenSSL oder Online-Tools. Richten Sie Monitoring ein, um unerwarteten Ablauf und Ausfallzeiten zu vermeiden.
Bereitstellung 2026-05-07
So beheben Sie Mixed-Content-Warnungen
Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen über HTTP lädt. Erfahren Sie, wie Sie Mixed-Content-Fehler finden und beheben, um ein sauberes Schloss-Symbol zu erhalten.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten