Mein SSL-Zertifikat ist abgelaufen. Ich habe ein neues für meine Domain erstellt, aber nach ein paar Tagen. Das Zertifikat ist jetzt online und funktioniert, aber es gibt ein Problem auf der Benutzerseite. Als das Zertifikat abgelaufen ist, haben Benutzer manchmal eine „permanente Ausnahme“ für meine Website hinzugefügt. Als ich also ein neues Zertifikat hinzugefügt habe, hatten sie immer noch die alte Ausnahme und sahen das neue Zertifikat nicht, wenn sie mit der Maus über das „Schloss“-Symbol auf meiner Website fuhren.
Gibt es also eine Möglichkeit, Benutzer dazu zu bringen, Zertifikate erneut zu überprüfen oder alte Ausnahmen für ihre Browser zu entfernen, ohne dass ihnen dafür umfangreiche Einstellungsmöglichkeiten zur Verfügung stehen? Vielleicht ein automatisierter Prozess?
Antwort1
Das neue SSL-Zertifikat ist gültig, sobald es installiert ist, sofern es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Wenn Benutzer das neue Zertifikat nicht in ihren Browsern sehen, bedeutet dies, dass das neue Zertifikat nicht auf dem Server installiert ist, dass ein MITM-Angriff vorliegt oder dass sie auf die falsche Site zugreifen.
Das neue Zertifikat könnte ungültig sein, wenn:
- es ist für die falsche Site signiert (siehe die Felder „Betreff“ und „Alternativer Betreffname“ des Zertifikats).
- es ist von einer Zertifizierungsstelle signiert, der der Browser nicht vertraut
- es liegt nicht im gültigen Zeitraum
- es wurde für einen anderen Zweck signiert (z. B. Softwaresignatur, für eine Person) usw.
Edit1: Um die Informationen zum aktuellen Zertifikat anzuzeigen, wie sie vom Webserver präsentiert werden, können Sie Folgendes ausführen:
echo ""|openssl s_client -connect example.com:443|openssl x509 -text -noout