Tipps & Tricks
07.03.2017, 07:00 Uhr
Wenn der Webbrowser meckert: «Verbindung ist nicht sicher»
Chrome, Firefox, IE und Edge melden, wenn eine https-Seite ein ungültiges Zertifikat mitbringt. Oft zu Recht, aber nicht immer aus schwerwiegendem Grund. So legen Sie Ausnahmen fest.
Webseiten (besonders jene mit Loginfeldern) sind zunehmend verschlüsselt. Das erkennen Sie am «https», auf das Sie meistens anstelle von «http» umgeleitet werden. Damit die Verschlüsselung funktioniert, muss der Betreiber der Webseite ein elektronisches Zertifikat einbinden, das von einer seriösen Zertifizierungsstelle auf ihn ausgestellt wurde.
Die Webbrowser (hier z.B. Chrome, Edge, Firefox und Internet Explorer) warnen, wenn sie auf https-Seiten kein in ihren Augen «gültiges» Zertifikat vorfinden. Das ist gut und richtig so, besonders etwa bei Banking-Webseiten. Die Sache hat nur einen Haken: Manchmal ist die Warnung ein wenig übertrieben bzw. der Grund eher harmlos.
Wann die Sache eher harmlos ist
Angenommen, es handle sich ums Webmail-Login für Firma «example.com». Die hostet ihre Webseite und ihr Webmail aber beim Provider «musterxy.com». Wenn Sie eine Login-Seite der Firma (z.B. webmail.example.com) aufrufen, kann es nun sein, dass der Browser ein ungültiges Zertifikat aus einem eher trivialen Grund meldet: Das Zertifikat ist nicht auf die Firma bzw. Domain example.com ausgestellt worden, sondern auf den Provider musterxy.com selbst. Und für diesen ist es gültig. Wenn das Unternehmen seinen Auftritt tatsächlich genau bei jenem Provider hosten lässt, dann ist die Verbindung nicht gekapert worden, auch wenn der Browser ein falsches Zertifikat sieht.
Es ist auch in den folgenden zwei Fällen ebenfalls meist keine Phishing-Seite, sondern hat harmlose Ursachen:
Das Zertifikat wurde explizit auf «www.example.com» ausgestellt. Nicht aber auf «webmail.example.com», welches aber offensichtlich auch Teil der Domain example.com ist, die der Example-Firma gehört. Der Grund: Die Firma hat es schlicht verpasst, das Zertifikat für ihre gesamte Domain (*.example.com) ausstellen zu lassen.
Das Zertifikat ist gerade eben abgelaufen. Elektronische Zertifikate haben ein Ablaufdatum. Es dürfte üblich sein, dass die Zertifizierungsstelle das Unternehmen einmal im Jahr rechtzeitig an die Erneuerung erinnert. Wenn diese Info ungehört verhallt oder der Webmaster nicht selbst dran denkt, dann sehen die Nutzer ab der Sekunde nach Ablauf des Zertifikats ebenfalls die Meldung, das Zertifikat sei ungültig. Prüfen Sie es nach: Wenn es eben erst (also gerade in den letzten ein, zwei Tagen) abgelaufen ist, informieren Sie die Firma unbedingt darüber. Wenn es die richtige Domain der Firma ist, dann dürfte ein Fortsetzen des Webseitenbesuchs weiterhin harmlos sein. Ausser, es sei eine Bank oder Versicherung. Einem Geldinstitut darf das mit der verpassten Zertifikatserneuerung auf gar keinen Fall passieren. Und hier muss der Verkehr zwingend verschlüsselt werden. Spätestens nach zwei oder drei Tagen sollte auch jedes andere Unternehmen sein Zertifikat erneuert haben.
Zertifikatsinfo anschauen und Ausnahme festlegen
Sie müssen sich also das Zertifikat anschauen, um herauszufinden, was krumm ist. Vielleicht wird dadurch klar, dass es ein plausibler, aber harmloser Grund ist, der den Browser zum Meckern bringt. In diesen Fällen nutzen Sie die Seite weiter und legen bei Bedarf eine Ausnahme fest. Das geht in den Webbrowsern Chrome, Edge, Firefox und Internet Explorer wie folgt.
Google Chrome: In Google Chrome sieht die Meldung so aus und titelt mit «Dies ist keine sichere Verbindung». Klicken Sie unten aufs unscheinbare Wort Erweitert.
Chrome zeigt an, warum das Zertifikat ungültig ist. Hier wurde es zum Beispiel auf einen bestimmten Servernamen des Providers ausgestellt und nicht aufs Unternehmen, dessen Webmail Sie aufrufen wollten. Wenn Sie wissen, dass es der richtige Provider der Firma ist, dann dürfte ein Fortsetzen harmlos sein. Klicken Sie unten auf den den Link Weiter zu webmail.example.com (unsicher). Nun können Sie sich einloggen.
Micrsoft Edge: Dieses meldet «Es besteht ein Problem mit dem Sicherheitszertifikat der Website». Wenn Sie sehr sicher sind, dass die Zertifikatswarnung eine harmlose Ursache hat, klicken Sie auf Mit dieser Webseite fortfahren.
Anders als andere Webbrowser können Sie diesem keine näheren Informationen entlocken. Er warnt einfach ohne Angabe von Gründen und empfiehlt, die Webseite zu schliessen. Bei Seiten mit ungültigem Zertifikat können Sie also nicht selbst nachschauen, ob der Grund der Ungültigkeit vielleicht harmloser Natur wäre. Ein Minimum an Infos zeigt Edge nur an, wenn es sich um eine mit gültigem Zertifikat verschlüsselte Seite handelt.
Mozilla Firefox: Am ausführlichsten informiert Mozilla Firefox über solche Zertifikatsbelange. Zunächst meldet er «Diese Verbindung ist nicht sicher». Über den Klick aufs durchgestrichene Vorhängeschloss-Icon in der Adresszeile klappen Sie ein Menü auf und können über den grauen Balken Weitere Informationen ein paar Details zum ungültigen Zertifikat anzeigen.
Auf der Warnseite finden Sie neben dem Zurück-Button auch einen grauen Knopf Erweitert. Damit blendet Firefox im unteren Teil des Warnfensters ein paar sachdienliche Hinweise ein. Hier erfahren Sie beispielsweise, für welchen Server das Zertifikat ausgestellt wurde. Gleich darunter haben Sie eine Option Ausnahme hinzufügen. Klicken Sie drauf. Benutzen Sie die Schaltfläche Ansehen, wenn Sie das Zertifikat genauer anschauen wollen. Falls Sie die Hintergründe zum «falschen» Zertifikat kennen und nicht davon ausgehen, dass der Betreiber das bald repariert, klicken Sie auf Sicherheits-Ausnahmeregel bestätigen.
Microsoft Internet Explorer: Der Internet Explorer meldet genau wie Edge: «Es besteht ein Problem mit dem Sicherheitszertifikat der Webite». Über den Link Laden dieser Website fortsetzen (nicht empfohlen) gehts weiter zur Webseite.
Internet Explorer: «Es besteht ein Problem mit dem Sicherheitszertifikat der Website»
Hier können Sie oben auf den rot markierten Sicherheitsbericht klicken. Über Zertifikate anzeigen gelangen Sie im älteren Microsoft-Browser immerhin noch zu den Zertifikats-Infos.
Was man als Firma tun könnte
Falls Sie selbst für den Webauftritt eines Unternehmens zuständig sind, dürfte es Ihnen obliegen, sich um das Problem zu kümmern. Sprechen Sie mit Ihrem Web- oder Mailhoster. Er kann Ihnen beim Erstellen und Einbinden eines Zertifikats bestimmt helfen. Achten Sie beim Ausstellen des Zertifikats darauf, dass es für Ihre ganze Domain (*.example.com) gilt und nicht nur für eine Subdomain bzw. einen einzelnen Hostnamen.
12.03.2017