Sowohl der Google Chrome Browser als auch Derivate wie Slimjet-Browser schleppen einen Zertifikate-Bug mit sich herum. Bei https-Seiten wird plötzlich die Verbindung als unsicher angezeigt, weil der Browser auf ein SHA-1-Zertifikat zurück fällt. Ich plage mich mit dem Problem seit Wochen unter Windows 7 auf dem Desktop herum. Im Blog-Beitrag zeige ich, was man ggf. tun kann, um das Problem zu fixen.
Anzeige
Nerviger Fehler – den es angeblich nicht gibt …
Ich hatte hier im Blog mehrfach über Zertifikatsfehler beim Google Chrome bzw. dem Slimjet-Browser berichtet (siehe Linkliste am Artikelende). Der Browser zeigte plötzlich https-Verbindungen als unsicher an. Hier ein Screenshot aus Google Chrome.
Es ist schon lustig, wenn ich nach den Kommentaren hier im Blog gehe, dürfte es den Fehler so gar nicht geben – tritt nur bei "mir" auf 
. In den Update-Change-Logs wird zumindest beim Slimjet-Browser mehrfach erwähnt, dass Zertifikatsfehler gefixt seien – und auch bei Google Chrome sollte so was in der Version 55 gefixt worden sein.
Und es hatte mich wieder getroffen
In der Woche vor Weihnachten hatte ich plötzlich wieder die Situation, dass sowohl Google Chrome (Version 55) als auch der Slimjet-Browser (Version 12) einen https-Zertifikatsfehler bei bestimmten Google-Seiten lieferten und die Seiten als unsicher meldeten.
Klickt man in der URL-Anzeige auf das durchgestrichene https-Symbol, werden in einem Dropdown-Menü weitere Informationen angezeigt. Über den Hyperlink Details lässt sich die in obigem Screenshot rechts gezeigte Spalte "Security Overview" mit weiteren Informationen abrufen. Bei Google-Seiten erhielt ich den Hinweis, dass die Verbindung über ein SHA-1-Zertifikat, welches unsicher sei, abgesichert würde.
Löschen des SSL-Browser-Cache half beim Google Chrome
Beim Google Chrome ließ sich das Problem durch das Zurücksetzen des SSL-Browser-Cache (siehe auch hier) beheben.
1. Einfach in der rechten oberen Ecke des Chrome-Fensters auf die drei Pünktchen klicken und im Menü den Befehl Einstellungen wählen.
Anzeige
2. in der angezeigten Einstellungsseite den Hyperlink Erweiterte Einstellungen anzeigen wählen.
3. Dann unter Datenschutz auf die Schaltfläche Browserdaten löschen klicken und die Browserdaten im Popup für den gesamten Zeitraum löschen lassen.
Tipp: Man kann auch die Tastenkombination Umschalt+Strg+Entf drücken, um sofort die im vorherigen Screenshot gezeigt Ansicht abzurufen.
Beim Slimjet-Browser hat das Löschen der Browserdaten aber nichts bewirkt. Seit dem 21.122016 gibt es nun ein Update auf die Version 12.0.14.0. Von Fixes für Zertifikatsproblemen habe ich in den Changelogs nichts gefunden.
Die Zertifikatskette anzeigen
Als erstes habe ich mir die Zertifikate für die Verbindung anzeigen lassen. Im Google Chrome oder in Derivaten wie den Slimjet-Browser kann man sehr einfach die Zertifikate abrufen.
1. Dazu klickt man in der URL-Anzeige auf das https-Symbol und wählt im Dropdown-Menü mit den weiteren Informationen den Hyperlink Details.
Die obige Anzeige weist ein korrektes Zertifikat aus. Bei Google-Seiten erhielt ich im Fehlerfall jeweils den Hinweis, dass die Verbindung über ein SHA-1-Zertifikat, welches unsicher sei, abgesichert würde.
2. Ich habe daher in der in obigem Screenshot rechts gezeigte Spalte "Security Overview" mit weiteren Informationen die Schaltfläche View certificate angewählt.
Das Zertifikat wurde mir bis Februar 2017 als von Google Internet Authority G2 ausgestellt und als gültig angezeigt.
Ich habe mir dann die Registerkarte Details abgerufen und erhielt – ähnlich wie bei nachfolgendem Screenshot – den Hinweis, dass es sich um ein SHA-1-Zertifikat handele.
Damit war irgendwie klar, dass in der zertifikatskette ein SHA-1-Zertifikat beteiligt war, welches vom Browser als Fallback angesehen und verwendet wurde.
Anmerkung: Die Screenshots musste ich für diesen Blog-Beitrag zusammen stoppeln, da ich leider nicht jeden Schritt zur Zertifikatsbereinigung dokumentiert hatte. Die Zertifikatsdaten in den Screenshots sind also nicht ganz stimmig.
Die Zertifikatskette bereinigen
Nachdem klar war, dass ein SHA-1-Zertifikat in der Zertifikatskette stört, habe ich die Verwaltungskonsole für Zertifikate aufgerufen. Die Schritte sind in diesem Artikel für diverse Browser skizziert. Im Google Chrome-Browser sowie im Slimjet-Browser lässt sich dies in der Einstellungen-Seite (unter erweiterte Einstellungen) über die Schaltfläche Zertifikate verwalten der Kategorie HTTPS/SSL aufrufen (siehe).
Man kann auch direkt unter Windows (z.B. per Suchfeld im Startmenü) das MMC-Snapin zur Zertifikatsverwaltung über certmgr.msc aufrufen. Das MMC-Snapin besitzt eine etwas andere Darstellung.
Auf der Registerkarte Vertrauenswürdiger Herausgeber wurden mir dann die Zertifikatsdaten angezeigt. Als erstes habe ich das abgelaufene Google-Zertifikat gelöscht.
Dann habe ich auf der Registerkarte Zertifizierungsstellen das GeoTrust Glocal CA-Zertifikat für Google gesucht, markiert und über die Entfernen-Schaltfläche gelöscht. Bei nicht mehr vertrauenswürdigen Zertifikaten wird dies beim Löschen in einem Dialogfeld angezeigt.
Im Anschluss waren die Zertifikatsfehler auch im Slimjet-Browser verschwunden (wobei ich nicht mehr genau weiß, ob ich den Browser neu starten musste).
Anmerkungen: Man kann vor dem Löschen ein Zertifikat in eine Datei exportieren. Dies ermöglicht bei Bedarf das Zertifikat wieder in den Zertifikatsspeicher von Windows zu importieren. Benutzer, auf deren Systemen kein solches Zertifikat installiert war, erhalten dann natürlich auch keine https-Fehler angezeigt. Könnte erklären, warum Blog-Leser die Fehler niemals zu Gesicht bekamen. Mal schauen, ob die Zertifikatsfehler nochmals auftauchen.
Ähnliche Artikel:
Chrome-Bug zeigt https als unsicher an
Angetestet: Der Slimjet-Browser, ein Chrome-Clone
Google unsicher? SHA-1-Kollateralschäden im Google Chrome
Slimjet-Browser auf Version 12.0.12.0 aktualisiert – Zertifikatsfehler ausgemerzt
Slimjet-Browser: Weitere Updates fixen Zertifikateprobleme
2015
Beim Slimjet sollte das doch schon gefixed sein? Hier ein Auszug aus dem Changelog:
2.0.14.0 (12/21/16)
Bug fix: can't use Ctrl+W to close tabs consecutively when floating bookmark bar or side bookmark panel is enabled.
12.0.13.0 (12/19/16)
Fix https certificate issue when accessing amazon.com.
12.0.12.0 (12/11/16)
Fix https certificate issue
Fix bug with facebook video download
12.0.11.0 (12/5/16)
Fix https certificate issue under Linux
Ich habe es aufgegeben, auf Changelogs zu vertrauen, sondern schaue, was sich vor meinen Augen tut. Man könnte es also so interpretieren, dass da was gefixt wurde, aber der Bug sich immer noch in gewissen Situationen auswirkt. Sicher bin ich nicht. Aber im Hinblick "muss für normale Nutzer funktionieren" ist es auch egal. Der IE funktionierte, nur die Chrome-Schiene hatte Probleme. Und mit dem oben beschriebenen Ansatz ist es ja scheinbar gefixt.
Tut mir leid aber egal welche Seiten ich auch anwähle, kann ich den Fehler nicht mit dem Slimjet Browser Reproduzieren das muss wohl an deiner Installation oder an irgendeinem addon vielleicht liegen.
Selbst die Warnung in unseren Forum (die Webseite stellt Intensitätsdaten zur Verfügung) bekomme ich in Slimjet Browser nicht angezeigt.
Add-ons sind keine im Einsatz – und das Ganze ist eine portable Version (sowohl im Slimjet als im Google Chrome). Da ist diesbezüglich nichts zu holen. Und der Umstand, dass der Fehler tagelang nicht auftauchte, dann aber plötzlich wieder vorkam und Datum/Uhrzeit stimmten, deutet auf ein Problem in der Auswertung der Zertifikatskette hin. Ich bin nicht tief genug in der Materie drin, aber nach meinem Verständnis müsste eigentlich die bestmögliche SHA-Variante bei https statt des Fallbacks auf SHA-1 genutzt werden. Keine Ahnung, warum das sporadisch auftrat – aber nach dem Entfernen des SHA-1-Zertifikats hatte ich den Fehler nicht mehr.
Ich schrieb ja oben im Text: Wenn jemand das Zertifikat nicht im Zertifikatsspeicher hat, wird der Fehler nicht auftreten. Warum das Zertifikat bei mir vorhanden war, weiß ich nicht.
Kann das ebenfalls weder reproduzieren, nicht einmal, noch nachvollziehen mitm slimjet, 12.0.14.0 portable Version. Null Zertif-fehler, nirgendwo. Auch nicht bei früheren Versionen.
Da scheint sich wohl ein falsches/schlechtes Zert eingeschlichen zu haben(?!), wie auch immer.
Ich hatte das in der Zeit vom ca. 28.11.2016 bis ca. 06.12.2016 mit allen Browsern (IE11, Chrome, Firefox) komischerweise nur bei bestimmten Seiten und das auch nicht bei allen Browsern dieses Problem. Das war aber nur temporär. Es ist sogar Malwarebytes wegen Zertifikationsfehler angesprungen, obwohl das Zertifikat gültig war.
Nach dem Schließen des jeweiligen Browsern wird bei mir sowieso alles gelöscht. Der Rest vom Browserverlauf wird dann von CCleaner gelöscht (mit CCEnhancer bekommt man da noch mehr Optionsmöglichkeiten). Bei Chrome muss man schon manchmal dann händisch löschen und zwar alles, wie oben beschrieben.
Ich bin auch auf die Artikel von @Günter vor einem Monat darauf Aufmerksam geworden und wunderte mich schon. Es muss da was gewesen sein,was nicht so richtig sein sollte.