GlobalSign Blog

23 Jan 2018

Was ist ein SSL Common Name Konflikt und wie behebe ich ihn?

Sind Sie jemals auf einer Website gelandet und haben einen Fehler wie diesen erhalten?

Chrome: ‘This server could not prove that it is example.com; its security certificate is from example.com. This may cause a misconfiguration or an attacker intercepting your connection’

Chrome: 'Dieser Server konnte nicht beweisen, dass er example.com ist. Sein Sicherheitszertifikat stammt von example.com. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der Ihre Verbindung abfängt.'

Internet Explorer: ‘The security certificate presented by this website was issues for a different website’s address. Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.’

Internet Explorer: 'Es besteht ein Problem mit dem Sicherheitszertifikat der Website. Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.' Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten, die Sie an den Server gesendet haben, abzufangen.'

Es gibt verschiedene Möglichkeiten, wie dies dargestellt werden kann, abhängig vom Browser und der Version des Browsers, den Sie verwenden. Aber egal ob Sie ein Besucher oder der Inhaber der Website sind, wollen Sie so einen Fehler wie diesen nicht sehen!

Lassen Sie uns also zunächst erklären, was dieser Fehler bedeutet.

Ein SSL Common Name Konflikt tritt auf, wenn der allgemeine Name oder SAN Ihres SSL/TLS-Zertifikats nicht mit der Domain oder Adressleiste im Browser übereinstimmt. Dies kann einfach dadurch geschehen, dass Sie https://example.com anstatt https://www.example.com besuchen, wenn nicht beide im SAN des Zertifikats aufgeführt sind.

Das Wichtigste zuerst: Wenn Sie nicht der Eigentümer der Website sind, müssen Sie sich mit jemandem in Verbindung setzen, der das Problem beheben soll. Fahren Sie NICHT einfach fort und machen trotzdem weiter. Es ist gut möglich, dass der Fehler angezeigt wird, weil ein Hacker oder Phisher versucht, eine Betrüger-Website als die Website, die Sie besuchen möchten, auszugeben.

Wenn Sie Inhaber der Website oder Domain sind und diesen Fehler beheben möchten, befolgen Sie diese Tipps.

So lösen Sie einen Common Name Konflikt

Sie könnten dieses Problem aus mehreren Gründen haben. Also sollten Sie mit einer gründlichen Analyse beginnen. Beginnen Sie mit der Eingabe der Domain Ihrer Website in den SSL-Checker von GlobalSign.

entering the domain of your website into GlobalSign’s SSL checker.

Abbildung 1: Ergebnisse des SSL Checkers bei einer Website mit Konflikt

Das erste, worauf Sie bei dieser Überprüfung achten müssen, ist herauszufinden, welches Zertifikat derzeit auf dem Server oder der IP-Adresse installiert ist. Dies hilft Ihnen normalerweise dabei, herauszufinden, warum Sie den Fehler erhalten, da es etliche Gründe dafür geben kann.

Die Hauptsache, an die Sie sich erinnern sollten, ist, dass mit dem SSL/TLS-Zertifikat oder Ihrer Website an sich nichts falsch ist. An irgendeinem Punkt zwischen dem Besuch einer Domain und dem Erreichen Ihrer Website durch jemanden, wird das falsche Zertifikat präsentiert.

Möglicherweise müssen Sie sich an Ihre IT-Abteilung wenden, um herauszufinden, wo das Zertifikat installiert wurde und wo es konfiguriert wird.

Die Adresse der Website wurde versehentlich nicht in Ihren allgemeinen Namen aufgenommen.

Es ist evtl. so einfach, wie das oben erwähnte Beispiel. Sie haben ein Zertifikat mit dem allgemeinen Namen www.example.com gekauft, aber example.com nicht als einen SAN zum Zertifikat hinzugefügt.

Achten Sie darauf, dass Sie im GlobalSign SSL-Checker auf 'Ignore Certificate Mismatch (Zertifikatkonflikt ignorieren) klicken. Sie werden dann zu einer vollständigen Analyse des SSL/TLS-Zertifikats in dieser Domain geleitet. Sie können aus dem Abschnitt Common Name und SAN sehen, ob die richtigen Domains und IPs enthalten sind.

correct IPs and SANs listed in certificate - common name mismatch error

Abbildung 2: Ergebnisse, wenn Sie 'Ignore Certificate Mismatch' folgen und das vollständige Zertifikat prüfen

Wenn Sie ein Zertifikat von GlobalSign mit Ihrem allgemeinen Namen als www.example.com bestellen, geben wir Ihnen example.com kostenlos dazu, wenn Sie es auf example.com validieren. Wenn Sie example.com als Ihren allgemeinen Namen angeben, haben wir eine UC SAN-Option, sodass Sie während Ihres Bestellvorgangs www.globalsign.com kostenlos hinzufügen können. Sie können diese auch nach der Ausstellung hinzufügen, indem Sie Ihre SAN-Optionen bearbeiten.

Die Website verwendet kein SSL, sondern teilt sich eine IP-Adresse mit einer Website, die dies tut.

Wenn Ihre Website eine IP-Adresse mit anderen Websites teilt, kann dies von Bedeutung sein und die Lösungen können unterschiedlich sein.

Sie befinden sich möglicherweise auf einem freigegebenen Host. Einige Hosting-Unternehmen fordern eine dedizierte IP-Adresse, um SSL zu unterstützen. Wenn einer der Kunden, der diese IP-Adresse teilt, ein SSL/TLS-Zertifikat für diese gemeinsam genutzte IP-Adresse installiert hat, kann dieses die anderen Websites beeinträchtigen.

Es könnte auch sein, dass der Client, der eine Verbindung herstellt, oder der Server, der hostet (oder beide), keine Server Name Indication (SNI) unterstützt.

Ein Beispiel dafür wäre, wenn example.com (Standardseite) und example.org auf derselben IP gehostet werden. Sie haben Zertifikate für beide und beide sind konfiguriert. Wenn der Server SNI nicht unterstützt, wird nur das Standard-SSL-Zertifikat bereitgestellt. Wenn der Client SNI nicht unterstützt, wird nur das Zertifikat der Standardwebsite angezeigt.

Wenn der Server und der Client SNI unterstützen, wird jedes Mal das richtige Zertifikat bereitgestellt. Fast alle modernen Clients und Server unterstützen SNI, aber es können Probleme mit älteren Systemen auftreten.

Als Lösung müssen Sie möglicherweise SNI unterstützen oder sich eine dedizierte IP holen (die Änderungen der DNS-Einstellungen beinhaltet).

Die Website existiert nicht mehr, aber der Domain-Name verweist immer noch auf die alte IP-Adresse, auf der jetzt eine andere Site gehostet wird.

Die DNS-Einstellungen helfen Ihnen auch hier. Vergewissern Sie sich, dass der DNS auf die neue IP verweist und nicht auf die alte!

Der Hostinganbieter, mit dem Sie arbeiten, hat Einstellungen vorkonfiguriert, die Ihre Zertifikatinstallation außer Kraft setzen.

Ihr Hostinganbieter hat möglicherweise einige Einstellungen vorkonfiguriert, die SSL auf jeder seiner Domains erzwingen. Wenn Sie ein SSL/TLS-Zertifikat von einer anderen Fremd-Zertifizierungsstelle erwerben und installieren, wird ein Konflikt angezeigt.

Gehen Sie, wie oben, zu 'Ignore Certificate Mismatch' im GlobalSign SSL Checker, um die vollständigen Zertifikatdetails anzuzeigen. Wenn der allgemeine Name oder SAN den Namen Ihres Hostinganbieters enthält, liegt es wahrscheinlich hieran.

Sie müssen Ihren Hostinganbieter kontaktieren, damit er sein Zertifikat entfernt, sodass Sie Ihr Zertifikat installieren können. Wenn er sagt, dass er dies nicht tun wird - wechseln Sie Ihren Hostinganbieter, da dies eine schlechte Praxis ist. Sie sollten ein SSL/TLS-Zertifikat von einem beliebigen Anbieter bekommen können.

Konfigurationen Ihres Servers oder Ihrer Firewall

Sie sollten auf Ihre Firewall- und Load Balancer-Einstellungen achten. Insbesondere eine Firewall kann so eingestellt werden, dass sie ein Zertifikat von einem Server abruft, obwohl sie auf mehrere Server verweist. Sie müssen also sicherstellen, dass dieses korrekt eingerichtet ist.

Leider sind Sie in dieser Situation der einzige, der das Problem beheben kann und IT-Kenntnisse haben sollte oder zumindest jemanden angeheuert haben sollte, der Ihnen bei der IT helfen kann.

Zusammenfassung

Zusammenfassend ist es wichtig, dass alle Informationen während des Bestellvorgangs korrekt sind und dass Ihr Server ordnungsgemäß eingerichtet und konfiguriert wird. Wenn Sie sich nicht sicher sind, wie Sie ein SAN hinzufügen oder Ihre Basisdomain in den Bestellprozess aufnehmen, rufen Sie uns noch heute an.

Wenn Sie der Meinung sind, dass das Problem bei Ihren Serverkonfigurationen liegt, sollten Sie mit Ihrem IT-Team oder Hostingunternehmen sprechen.

Artikel teilen