SSL-Zertifikatsfehler verhindern, dass Besucher Ihre Website sicher erreichen. Diese Anleitung behandelt jeden häufigen Fehlercode, seine Bedeutung und die Lösung — egal ob Sie Besucher oder Website-Betreiber sind.
Für den häufigsten Fehler im Speziellen, siehe unsere dedizierte Anleitung: Fehlermeldung “Ihre Verbindung ist nicht privat” beheben →
Fehler-Referenztabelle
| Fehlercode (Chrome) | Firefox-Äquivalent | Bedeutung | Lösung |
|---|---|---|---|
NET::ERR_CERT_DATE_INVALID | SEC_ERROR_EXPIRED_CERTIFICATE | Zertifikat abgelaufen | Zertifikat erneuern |
NET::ERR_CERT_COMMON_NAME_INVALID | SSL_ERROR_BAD_CERT_DOMAIN | Domain stimmt nicht mit Zertifikat überein | Zertifikat für korrekte Domain holen |
NET::ERR_CERT_AUTHORITY_INVALID | SEC_ERROR_UNKNOWN_ISSUER | Selbstsigniert oder nicht vertrauenswürdige CA | Let’s Encrypt verwenden |
NET::ERR_CERT_REVOKED | SEC_ERROR_REVOKED_CERTIFICATE | Zertifikat wurde widerrufen | Neues Zertifikat holen |
NET::ERR_SSL_PROTOCOL_ERROR | SSL_ERROR_RX_RECORD_TOO_LONG | TLS-Handshake fehlgeschlagen | Serverkonfiguration prüfen |
NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH | SSL_ERROR_NO_CYPHER_OVERLAP | Keine gemeinsame TLS-Version/Cipher | TLS 1.2+ aktivieren |
ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN | — | HPKP-Pin stimmt nicht überein | HPKP-Pins aktualisieren oder entfernen |
ERR_CERTIFICATE_TRANSPARENCY_REQUIRED | — | Fehlender CT-Log-Eintrag | Erneut von einer CT-konformen CA ausstellen |
Detaillierte Fehlerlösungen
ERR_CERT_DATE_INVALID — Zertifikat abgelaufen
Ursache: Das Not After-Datum des Zertifikats ist überschritten. Bei 90-Tage-Let’s-Encrypt-Zertifikaten passiert dies, wenn Sie die Erneuerung vergessen.
Lösung für Besucher: Prüfen Sie Datum und Uhrzeit Ihres Geräts — bei falscher Uhr erscheinen gültige Zertifikate als abgelaufen.
Lösung für Betreiber:
# Tatsächliches Ablaufdatum prüfen
echo | openssl s_client -connect ihredomain.com:443 -servername ihredomain.com 2>/dev/null | openssl x509 -noout -enddate
Sofort erneuern, Dateien ersetzen, Server neu laden. Monitoring einrichten, um dies in Zukunft zu verhindern.
ERR_CERT_COMMON_NAME_INVALID — Domain-Abweichung
Ursache: Das Zertifikat wurde für example.com ausgestellt, aber Sie besuchen www.example.com (oder umgekehrt), oder das Zertifikat deckt eine ganz andere Domain ab.
Lösung für Betreiber:
# Prüfen, welche Domains das Zertifikat abdeckt
echo | openssl s_client -connect ihredomain.com:443 -servername ihredomain.com 2>/dev/null | openssl x509 -noout -ext subjectAltName
Neues Zertifikat holen, das alle benötigten Domains enthält. In GetHTTPS sowohl example.com als auch www.example.com hinzufügen.
ERR_CERT_AUTHORITY_INVALID — Nicht vertrauenswürdige CA
Ursache: Das Zertifikat ist selbstsigniert, von einer unbekannten CA ausgestellt, oder die intermediäre Vertrauenskette ist unvollständig.
Lösung für Betreiber:
- Wenn selbstsigniert → durch ein Let’s Encrypt-Zertifikat ersetzen
- Wenn Kette unvollständig →
fullchain.pemverwenden (Nginx) oderSSLCertificateChainFilehinzufügen (Apache) - Wenn unbekannte CA → zu einer vertrauenswürdigen CA wechseln
ERR_SSL_PROTOCOL_ERROR — Handshake-Fehler
Ursache: Die TLS-Konfiguration des Servers ist fehlerhaft — falscher Zertifikatspfad, beschädigte Dateien oder falsche Einstellungen.
Lösung für Betreiber:
# TLS-Verbindung testen
openssl s_client -connect ihredomain.com:443 -servername ihredomain.com
# Prüfen, ob Zertifikat und Schlüssel zusammenpassen
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in privkey.pem | openssl md5
# Hashes müssen übereinstimmen
Häufige Ursachen: Falscher Dateipfad in der Serverkonfiguration, Zertifikat und Schlüssel aus verschiedenen Sitzungen, zu restriktive Dateiberechtigungen.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH — Kein kompatibles TLS
Ursache: Der Server unterstützt nur alte TLS-Versionen (1.0/1.1), die der Browser nicht mehr unterstützt, oder verwendet Cipher Suites, die der Browser nicht unterstützt.
Lösung für Betreiber:
# Nginx — modernes TLS aktivieren
ssl_protocols TLSv1.2 TLSv1.3;
# Apache
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
Warnungen bei gemischten Inhalten
Ursache: Ihre HTTPS-Seite lädt Bilder, Skripte oder CSS über HTTP.
Dies ist kein Zertifikatsfehler — das Zertifikat ist in Ordnung, aber die Seite referenziert unsichere Ressourcen. Vollständige Anleitung zur Behebung gemischter Inhalte →
Diagnose-Workflow
Wenn Sie einen SSL-Fehler sehen, folgen Sie dieser Reihenfolge:
1. Fehlercode prüfen → identifiziert die Kategorie
↓
2. Zertifikatsdetails prüfen
openssl s_client -connect domain:443 -servername domain
↓
3. Abgelaufen? → Erneuern
Domain-Abweichung? → Für korrekte Domain neu ausstellen
Kette unvollständig? → fullchain.pem verwenden
Selbstsigniert? → Zu Let's Encrypt wechseln
Konfigurationsfehler? → Dateipfade und Berechtigungen prüfen
↓
4. Nach der Behebung → Server neu laden, Browser-Cache leeren, überprüfen
Online-Diagnosetools
| Tool | URL | Was es prüft |
|---|---|---|
| SSL Labs | ssllabs.com/ssltest | Vollständiges SSL-Audit (Note A-F) |
| SSL Checker | sslshopper.com/ssl-checker | Kette, Ablauf, Domain-Übereinstimmung |
| Certificate Search | crt.sh | Certificate Transparency Logs |
| Why No Padlock | whynopadlock.com | Erkennung gemischter Inhalte |
Häufig gestellte Fragen
Ich habe den Fehler behoben, aber der Browser zeigt ihn weiterhin
Leeren Sie Ihren Browser-Cache (Strg+Umschalt+Entf) oder testen Sie in einem Inkognito-Fenster. Browser cachen SSL-Zustände, und HSTS kann eine gecachte Entscheidung erzwingen. Unter Windows leeren Sie auch den SSL-Zustand: Internetoptionen → Inhalt → SSL-Zustand löschen.
Der Fehler erscheint in einigen Browsern, aber nicht in anderen
Verschiedene Browser haben unterschiedliche Trust Stores und Caching-Verhalten. Am häufigsten: Eine unvollständige Zertifikatskette, die einige Browser aus dem Cache ergänzen können, andere jedoch nicht. Beheben Sie dies, indem Sie die vollständige Kette auf Ihrem Server bereitstellen.
Wie verhindere ich SSL-Fehler?
- Zertifikats-Ablauf überwachen — Warnungen für Tag 60 von 90 einrichten
fullchain.pemstattcert.pemverwenden — verhindert Kettenfehler- Alle Domain-Varianten (www + nicht-www) in Ihrem Zertifikat einschließen
- Auto-Erneuerung mit Certbot für Produktionsserver einrichten
- Nach jeder Änderung mit SSL Labs testen