Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites

Auf Websites, die eigentlich als sicher gelten (das sind Websites, deren URLs mit „https://” beginnen), überprüft Firefox das von der Website herausgegebene Zertifikat auf dessen Gültigkeit. Falls das Zertifikat nicht verifiziert werden kann, weist Firefox die Verbindung zur Website zurück und zeigt stattdessen eine Seite mit der Fehlermeldung „Diese Verbindung ist nicht sicher”.

Dieser Artikel beschreibt, warum Sie die Fehlercodes „SEC_ERROR_UNKNOWN_ISSUER", „MOZILLA_PKIX_ERROR_MITM_DETECTED" oder „ERROR_SELF_SIGNED_CERT" auf der Seite mit den Fehlermeldungen sehen und wie Sie diese beheben können.

Was bedeutet diese Fehlermeldung?

Während Firefox eine sichere Verbindung zu einer Website aufbaut, muss diese ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle vorweisen, um sicherzustellen, dass die hergestellte Verbindung verschlüsselt und der Benutzer mit der beabsichtigten Webseite verbunden ist. Falls Sie die Fehlermeldung „Diese Verbindung ist nicht sicher” erhalten und Sie nach einem Klick auf „Erweitert” den Fehlercode „SEC_ERROR_UNKNOWN_ISSUER” oder „MOZILLA_PKIX_ERROR_MITM_DETECTED” sehen, bedeutet das, dass die Webseite ein Zertifikat besitzt, das nicht von einer von Firefox anerkannten Zertifizierungsstelle signiert wurde und dem somit standardmäßig nicht vertraut werden kann.
SEC_ERROR_UNKNOWN_ISSUER - Diese Verbindung ist nicht sicher

Die Fehlermeldung wird auf mehreren sicheren Seiten angezeigt

Wenn Sie diese Fehlermeldung auf mehreren voneinander unabhängigen Websites sehen, ist es ein Indiz dafür, dass auf Ihrem System oder Netzwerk versucht wird, ein ungültiges Zertifikat einzuschleusen, das von Firefox nicht akzeptiert wird. Wenn Firefox erkennen kann, dass die Verbindung von einem Proxy abgefangen wird, zeigt er den Fehlercode „MOZILLA_PKIX_ERROR_MITM_DETECTED” an. In den meisten Fällen handelt es sich hierbei um Antivirenprogramme, die sichere Verbindungen überprüfen, oder um Schadsoftware, die das Originalzertifikat durch ein eigenes – ungültiges – Zertifikat ersetzt.

Antivirenprogramme

Falls Ihr Antivirenprogramm eine Funktion zur Überprüfung von sicheren Verbindungen besitzt, reicht es normalerweise aus, dieses neu zu installieren, damit das Programm seine eigenen Zertifikate wieder in den vertrauenswürdigen Bereich von Firefox speichert. Versuchen Sie folgende Problemlösungen für einige bekannte Sicherheitsprogramme:

Avast

In Avast-Sicherheitsprogrammen können Sie die Überwachung von sicheren Verbindungen deaktivieren:

  1. Öffnen Sie die Übersichtsseite von Avast.
  2. Gehen Sie zu MenüEinstellungenKomponenten und klicken Sie dort neben Web-Schutz auf die Schaltfläche Anpassen.
  3. Entfernen Sie das Häkchen neben der Einstellung HTTPS-Scanning aktivieren und bestätigen Sie die Änderung mit einem Klick auf OK.

Weitere Informationen erhalten Sie auf dieser Supportseite von Avast und im englischsprachigen offiziellen Avast-Blog.

Bitdefender

In Bitdefender-Sicherheitsprogrammen können Sie die Überwachung von sicheren Verbindungen deaktivieren:

  1. Öffnen Sie die Übersichtsseite von Bitdefender.
  2. In der Version 2016 von Bitdefender klicken Sie auf Module.
    In der Version 2015 klicken Sie auf Schutz.
  3. Klicken Sie auf Web-Schutz.
  4. Deaktivieren Sie die Einstellung SSL untersuchen.

Für unternehmensübergreifende Bitdefender-Sicherheitsanwendungen erhalten Sie weitere Informationen auf der englischsprachigen Bitdefender-Hilfeseite.

Bullguard

In Bullguard-Sicherheitsprogrammen können Sie die Überwachung von sicheren Verbindungen auf bestimmten populären Seiten wie Google, Yahoo und Facebook deaktivieren:

  1. Öffnen Sie die Übersichtsseite von Bullguard.
  2. Klicken Sie auf die Antivirus EinstellungenSicheres Surfen.
  3. Deaktivieren Sie die Option Sichere Suchergebnisse anzeigen für jene Websites, auf denen die Fehlermeldung angezeigt wird.

ESET

In ESET-Sicherheitsanwendungen können Sie versuchen, die SSL/TLS-Protokollfilterung kurzzeitig zu deaktivieren, um sie danach wieder zu aktivieren oder die Untersuchung von SSL-Verbindungen ganz zu unterbinden, wie im englischsprachigen Hilfeartikel von ESET beschrieben wird.

Kaspersky

In Kaspersky-Sicherheitsprogrammen können Sie die Überwachung von sicheren Verbindungen deaktivieren:

  1. Öffnen Sie die Übersichtsseite von Kaspersky.
  2. Klicken Sie unten links auf Einstellungen.
  3. Klicken Sie auf Erweitert und danach auf Netzwerk.
  4. Wenn Sie die Version 2016 von Kaspersky benutzen: Wählen Sie im Abschnitt Untersuchung von sicheren Verbindungen die Option Sichere Verbindungen nicht untersuchen und bestätigen Sie die Änderung.
    Alternativ dazu können Sie auch auf Erweiterte Einstellungen klicken, um einen Neuimport von Kasperskys Zertifikat auszulösen. Klicken Sie in dem sich öffnenden Dialogfenster auf Zertifikat installieren… und folgen Sie den Anweisungen im Installationsdialog.
    Wenn Sie die Version 2015 von Kaspersky benutzen: Deaktivieren Sie die Option Verschlüsselte Verbindungen untersuchen.
  5. Starten Sie Ihr System anschließend neu, damit die Änderungen wirken.

    Benutzer von früheren Versionen von Kaspersky in einem laufenden Abo sind zu einem Upgrade auf die neueste Produktversion berechtigt. Diese steht auf der Upgradeseite für Kaspersky-Produkte zum Download und zur Installation zur Verfügung. Danach folgen Sie den oben beschriebenen Schritten.

„Family Safety”-Einstellungen bei Windows-Konten

Bei Windows-Konten, die mit Family Safety-Einstellungen gesichert wurden, können sichere Verbindungen bei bekannten Websites wie Google, Facebook und YouTube überwacht werden, indem die Zertifikate dieser Websites von Microsoft ersetzt wurden, um den Suchverlauf zu filtern und aufzuzeichnen.

Auf der Microsoft-Seite Häufig gestellte Fragen erfahren Sie, wie Sie Family Safety für Windows-Konten deaktivieren können. Im Hilfeartikel von Microsoft erfahren Sie, wie Sie die benötigten Zertifikate manuell für Windows-Konten installieren können.

Überwachung/Filterung in Firmennetzwerken

Einige Programme zur Überwachung/Filterung des Internetverkehrs in Firmennetzwerken können Fehlermeldungen auf HTTPS-Seiten auslösen, indem sie die Website-Zertifikate durch ihre eigenen ersetzen.

Falls Sie der Meinung sind, dass dies Ihr Problem verursacht, kontaktieren Sie bitte Ihre IT-Abteilung, um die korrekte Konfiguration von Firefox in dieser Netzwerkumgebung zu erfragen, da unter Umständen zuerst das eingesetzte Zertifikat als vertrauenswürdig markiert werden muss. IT-Abteilungen erhalten weitere Informationen zur Vorgehensweise auf dieser englischsprachigen Wiki-Seite von Mozilla.

Schadprogramme

Schadprogramme, die den Internetverkehr von sicheren Verbindungen abfangen, können ebenfalls eine Fehlermeldung verursachen. Wie Sie gegen dieses Problem vorgehen können, erfahren Sie im Artikel Von Malware verursachte Firefox-Probleme beheben.

Die Fehlermeldung tritt nur auf einer bestimmten Website auf

Wenn diese Fehlermeldung nur auf einer bestimmten Website auftritt, ist dies ein Indiz dafür, dass der Internetserver nicht richtig konfiguriert wurde. Falls diese Fehlermeldung jedoch auf einer bekannten Website wie Google, Facebook oder bei Online-Banking angezeigt wird, sollten Sie mit den zuvor beschriebenen Schritten fortfahren.

Zertifikate, die von einer zu Symantec gehörenden Zertifizierungsstelle ausgestellt wurden

Nach mehreren Unregelmäßigkeiten mit Zertifikaten, die von Symantec-Root-Zertifizierungsstellen ausgestellt wurden, entziehen einige Browser-Anbieter (auch Mozilla) in ihren Produkten diesen Zertifikaten schrittweise das Vertrauen. In einem ersten Schritt wird Firefox 60 allen Zertifikaten nicht mehr vertrauen, die unmittelbar oder mittelbar von einer zu Symantec gehörenden Zertifizierungsstelle ausgestellt wurden (einschließlich aller Symantec-Marken GeoTrust, RapidSSL, Thawte und VeriSign) und deren Veröffentlichung vor dem 1. Juni 2016 liegt. In Firefox 63 wird dieser Vertrauensentzug unabhängig vom Ausstellungsdatum auf alle Symantec-Zertifikate ausgeweitet.

Die Fehlermeldung lautet meistens MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, aber bei einigen Servern wird möglicherweise stattdessen SEC_ERROR_UNKNOWN_ISSUER angezeigt. Wenn Sie auf eine solche Website stoßen, sollten Sie in jedem Fall die Eigentümer der Website kontaktieren und sie über das Problem informieren. Den Betreibern der betroffenen Websites empfehlen wir dringend, entsprechende Maßnahmen zu ergreifen, um diese Zertifikate zu ersetzen.

Lesen Sie dazu auch den englischsprachigen Beitrag Distrust of Symantec TLS Certificates im Mozilla Security Blog.

Fehlende Zwischen-Zertifikate

Auf einer Webseite mit einem fehlenden Zwischen-Zertifikat sehen Sie folgende Fehlerbeschreibung, wenn Sie auf der „Diese Verbindung ist nicht sicher“-Fehlerseite auf die Schaltfläche Erweitert klicken:

Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.
Eventuell muss ein zusätzliches Stammzertifikat importiert werden.

Das Website-Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und die Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle konnte ebenfalls nicht nachgewiesen werden (ein sogenanntes „Zwischen-Zertifikat” fehlt).
Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat. Kontaktieren Sie die Besitzer der Website, um sie über diesen Fehler zu informieren.

Selbst signierte Zertifikate

Auf einer Webseite mit einem selbst signierten Zertifikat sehen Sie den Fehlercode „ERROR_SELF_SIGNED_CERT” und folgende Fehlerbeschreibung, wenn Sie auf der Seite mit der Fehlermeldung „Diese Verbindung ist nicht sicher“ auf die Schaltfläche Erweitert klicken:

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

Selbst signierten Zertifikaten, die von keinem vertrauenswürdigen Aussteller stammen, wird standardmäßig nicht vertraut. Vom Aussteller selbst signierte Zertifikate können Ihre Daten zwar abhörsicher machen, sagen aber nichts über die Identität der Gegenseite aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen.

Die Warnung umgehen

Warnung: Sie sollten niemals eine Ausnahme für Zertifikate hinzufügen, die von einer größeren und bekannten Website oder von Kreditinstituten stammen – in diesem Fall liegt möglicherweise ein Kompromittierungsversuch der Verbindung durch Dritte vor.

Falls die Website es erlaubt, können Sie zum Besuch der Website eine Ausnahme für diese hinzufügen, obwohl das Zertifikat eigentlich nicht vertrauenswürdig ist:

  1. Klicken Sie auf der Warnseite auf die Schaltfläche Erweitert.
  2. Klicken Sie auf Ausnahme hinzufügen…. Der Dialog „Sicherheitsausnahme hinzufügen“ öffnet sich.
  3. Lesen Sie den Text, der die Probleme mit der Website beschreibt. Klicken Sie auf Ansehen…, um das Zertifikat zu sehen, dem nicht vertraut wird.
  4. Klicken Sie auf Sicherheitsausnahme bestätigen, falls Sie sich sicher sind, dass Sie der Website vertrauen wollen.
// Diese netten Menschen haben geholfen, diesen Artikel zu schreiben:philipp, user47661, pollti, Artist, graba, Tobias, Daniel2099. Auch Sie können helfen – erfahren Sie, wie.

War der Artikel hilfreich? Bitte warten…

Als Freiwilliger zur Mozilla-Hilfe beitragen