SSL-Zertifikate testen

Mein SSL-Zertifikat wird bei einigen Besuchern als nicht vertrauenswürdig angezeigt. Können Sie weiterhelfen?

Eine oft gestellte Frage von Kunden – SSL ist und bleibt ein Kernthema meiner täglichen Arbeit. Meist gibt es diese Probleme mit günstigen Zertifikaten, obwohl diese, bei korrekter Einbindung, keine Probleme hervorrufen.

Aus diesem Grund gibt es von Qualys eine kleine Website, die einen ausführlichen SSL-Test auf eine angegebene URL losjagt. Von allgemeinen Informationen wie den Common Name, bis hin zu ausführlichen Informationen über die unterstützten Protokolle und etwaige Probleme.

Trotz dieser wirklich hilfreichen Website ist es natürlich unerlässlich, zu wissen, was man tut. SSL bietet einige Stolpersteine, die man beachten sollte. Gerne können Sie mich bei Problemen kontaktieren.

PLESK 11 und SSL

Vor einiger Zeit gab es einen Kunden, der auf PLESK 11 gewechselt hatte und seitdem wurden seine SSL-Zertifikate vom Firefox mit nebenstehender Fehlermeldung abgetan. Alle anderen Browser (Internet Explorer, Chrome, Opera) akzeptierten das Zertifikat ohne Probleme.

Natürlich war dies für den Kunden ein Problem, da seine Kunden nun nicht mehr sicher sein konnten, dass die SSL-Verbindung auch mit der richtigen Website besteht.

Lange Fehlersuche und diverse Testszenarien später erkannte ich, dass es indirekt doch an PLESK lag – nämlich am Reverse-Proxy nginx, der mit Version 11 Einzug in die Suite gefunden hatte. Deaktivierte man diesen, funktionierte die Verbindung wunderbar – auch im Firefox.

Direktes Problem war, dass nginx die Zertifikatskette unterbrach und Firefox dadurch das Zertifikat für ungültig erklärte. Zitat eines PLESK-Supporters aus dem Supportforum:

[…] unfortunately currently SSL chains support with nginx in Plesk is broken. At the moment Plesk writes incorrect configuration.

Lösung war, wie gesagt, nginx auszuschalten. Im PLESK-Update 11.0.9 MU#10 soll das Problem gelöst sein. Leider konnte ich diese Aussage bisher nicht verifizieren.

Nachtrag: bei angesprochenem Kunden besteht das Problem weiterhin. So long…