Best practice: Always test SSL/TLS certificates for missing intermediates

SSL/TLS – Fehlendes Intermediate Zertifikat

Es kommt immer wieder vor, dass ein Intermediate Zertifikat vergessen wird zu installieren oder zu aktualisieren. Man erhält dann diverse Fehlermeldungen der Browser oder Programme, zum Beispiel:

  • cURL: Peer’s Certificate issuer is not recognized
  • Chrome: NET::ERR_CERT_AUTHORITY_INVALID

Das Schlimme daran ist, dass man den Zertifikatsfehler selbst meistens gar nicht mitbekommt, da der eigene Browser das Intermediate von einer anderen Seite zwischengespeichert hat.

Drum prüfe, wer ein Zertifikat installiert

Mit SSLLabs! Dort wird das Rating auf B herabgestuft, sofern der Zertifikatspfad nicht korrekt ist:

SSL Labs: Missing intermediate certificate
SSL Labs: Missing intermediate certificate

In der Sektion „Certification Paths“ kann man schauen, welches Zertifikat fehlt.

SSL Labs: Missing Lets Encrypt intermediate
SSL Labs: Missing Lets Encrypt intermediate

Dieses muss dann im Webserver mit hinterlegt werden. Zum Beispiel so (hier am Beispiel von Apache + Let’s Encrypt):

SSLCertificateChainFile /etc/letsencrypt/live/server.xsigndll.com/chain.pem

Best practice

Best practice: Always test SSL/TLS certificates for missing intermediates
Best practice: Always test SSL/TLS certificates for missing intermediates