Kein Traffic Verlust durch abgelaufene SSL Zertifikate

SSL (Secure Socket Layers) Zertifikate bestätigen den Nutzern Deiner Seite, dass der Besuch sicher ist und es wird zwischen dem Client und der Domain eine sichere Verbindung hergestellt. Liefert eine Webseite kein valides Zertifikat, blockiert der Browser den direkten Zugriff und warnt den Besucher, dass der Besuch der Seite nicht sicher ist. Die Ursachen für ein unsicheres Zertifikat können sehr unterschiedlich sein. In den meisten Fällen ist der Grund ein abgelaufenes Zertifikat.

In dem heutigen Artikel werden wir verschiedene Gründe beleuchten, warum ein Browser eine Seite als unsicher einstuft, Dinge wie Du dies verhindern kannst und wie Du Dich bei solchen Störungen umgehend alarmieren lassen kannst.

SSL Zertifikats Browser Warnungen bedeuten hohe Kosten für Unternehmen

Wenn Du für Deine Seiten keine SSL Zertifikate verwendest, verlierst Du auf Grund der Browser Warnungen viele Besucher und gleichzeitig verschlechterst Du Dein Ranking in den Suchmaschinen. Im Mittelpunkt der sicheren HTTPS Verbindungen steht die Nutzung von SSL/TLS Zertifikaten, die dem Besucher anzeigen, der Besuch der Seite ist sicher. Hast Du ein Zertifikat falsch konfiguriert oder es ist abgelaufen, blockiert der Browser den Zugang zu Deiner Seite (siehe Abbildung) und die Besucherzahlen bewegen sich Richtung null.

Wir alle kennen die Sicherheits-Warnungen der Browser. Gibt es ein Problem mit dem SSL Zertifikat einer Seite, wir der Zugang blockiert. Die Browser Anbieter haben die Warnungen so konzipiert, dass sie von den Besuchern nicht ignoriert werden. Tatsächlich hat Google intensive Untersuchungen durchgeführt, um überflüssige Warnungen zu vermeiden. Damit konnten sichergestellt werden, dass Nutzer diese Warnungen in der Regel beachten.

Vor dieser Studie hat Google festgestellt, dass lediglich 30% der Chrome Nutzer Sicherheitswarnungen beachten. 70% der Nutzer waren demnach bereit auch unsichere Seiten zu besuchen. Google´s Studie hat dieses Problem aus unterschiedlichen Richtungen beleuchtet und liefert zwei grundlegende Ansätze das Nutzerverhalten zu beeinflussen.

  1. Reduzieren der Anzahl an Browser-Warnungen. Die Studie hat herausgefunden, dass ca. 50% der Meldungen ursächlich in Netzwerk Problemen und Problemen in der Client Konfiguration begründet waren. Daraufhin hat Google automatische Prozesse im Browser implementiert, diese Meldungen zu prüfen und zu beseitigen. Bei weniger Warnungen sind die Nutzer eher geneigt, diese zu beachten.
  2. Google hat außerdem Tests mit unterschiedlichen Design Varianten der Warnmeldungen durchgeführt, um das gewünschte Verhalten der Nutzer zu erzielen und es ihnen schwieriger zu machen, die Warnungen zu ignorieren.

Die Studie und die seitens Google eingeführten Änderungen haben das Verhalten der Nutzer deutlich verändert. Danach haben 68% der Besucher die Warnungen beachtet und die unsicheren Seiten verlassen.

Welchen Einfluss haben diese Änderungen in Chrome auf Dein Geschäft?

Die Änderungen in Chrome wirken sich so auf Dein Geschäft aus, dass wenn der Browser eine SSL Zertifikat´s Sicherheits-Warnung anzeigt, 68% deiner Kunden zum Wettbewerb gehen. Bei durchschnittlich 500.000 Besuchern pro Tag ist das ein Verlust von 350.000 möglichen Käufern. Bei einer Störung von nur zwei Stunden, hat dies einen Traffic Verlust von 40.000 Nutzern zur Folge. Allein das bedeutet einen massiven Conversion Einbruch.

SSL Zertifikat Warnungen – nicht auf meiner Seite

Keiner ist davor gefeit. Auch bei sorgfältigster Planung und einem umsichtigen IT Betrieb kann es zu einer Störung bei der Auslieferung des Zertifikats kommen. Das passiert sogar den größten Webseiten Betreibern. Ein Beispiel hierfür ist Microsoft Teams´. Vor ein paar Monaten ist das Zertifikat ausgelaufen, so dass Microsoft seine Nutzer hierüber über Twitter informieren musste.

SSL Zertifikat Probleme führen zu Störungen im Geschäftsbetrieb in allen Bereichen. Trotzdem besteht die Möglichkeit, bei einem proaktiven Umgang in der Pflege und dem Betrieb von SSL Zertifikaten mögliche Auswirkungen bei Störungen abzuschwächen. Hierzu schauen wir uns erst einmal einige der häufigsten Ursachen an.

6 Ursachen für SSL Zertifikat bezogene Fehler

Google´s Artikel, Where the Wild Warnings Are: Root Causes of Chrome HTTPS Certificate Errors, zu der mehrmonatigen Studie über die Ursachen von SSL Zertifikat bezogenen Warnmeldungen liefert einen detaillierten Einblick in die Hintergründe. Im Folgenden findest Du die wichtigsten Erkenntnisse:

  1. Ausgelaufenes Zertifikat, auch bekannt als Server Date Errors. Ein Zertifikat hat einen Gültigkeitszeitraum mit einem festgelegten Start- und Ablaufdatum. Ist das aktuelle Datum außerhalb dieses Bereichs, zeigt der Browser eine Zertifikats-Warnung.
  2. Server Name-Mismatch Error. Wenn ein Abgleich zwischen dem im Client erkannten und den im Zertifikat aufgeführten Hostnamen zu keiner Übereinstimmung führt, kommt es zu einem Zertifikatsfehler. Ursache ist oftmals die fehlerhafte Konfiguration des SSL Zertifikats für Subdomains. In der Liste wird mydomain.com aber nicht www.domain.com aufgeführt. Eine andere Fehlerquelle sind Wildcard Zertifikate. Bei einer URL subdomain.mydomain.com und einem Zertifikat mit einer Wildcard *.mydomain.com wird ebenfalls einen Fehler anzeigen. Grund ist, dass Wildcards nur für ein zusätzliches Domain Level zulässig sind. Server Name-Mismatch Errors können vielfach durch die Nutzung von Subject Alternate Name (SAN) SSL Zertifikaten vermieden werden. Diese Zertifikats-Form erlaubt es eine ganze Liste an Hostnamen zu hinterlegen, die auf Deine Domain verweisen.
  3. Invalid Certificate Authority. Die ausstellende Organisation garantiert die Gültigkeit der Domain und der Kunde kann auf die sichere Verbindung vertrauen. Gleichzeitig prüft der Browser des Clients, ob sich der Zertifikatsgeber auf der Liste der vertrauenswürdigen Aussteller befindet. Ist das der Fall, wird das Zertifikat bestätigt. Andernfalls wird im Browser eine Warnung angezeigt.
  4. Server Insufficient-Intermediates Errors. Eine „Root Authority” autorisiert “Intermediate Services”, um die Gültigkeit des Zertifikats zu garantieren. Gleichzeitig müssen diese „Intermediate Services“ in Ihrem Zertifikat zurück auf die „Root Authority“ zurückverweisen. Gibt es innerhalb dieser Kette eine Störung, wird ebenfalls eine Warnmeldung angezeigt.
  5. Client Errors. Auch Probleme innerhalb des Clients können zu einer Störung bei der Bestätigung des Zertifikats führen. Ein Beispiel ist die falsche Uhrzeit auf dem Client Rechner oder ein Anti-Virus Software Proxy Problem.
  6. Netzwerk Probleme. Innerhalb der Nutzung von Captive Portalen oder bei fehlenden TLS Proxy Roots kann es ebenfalls zur Anzeige der Sicherheits-Warnungen kommen.

Vermeiden von SSL Zertifikat Warnmeldungen

In der aufgeführten Liste findest Du vier Fehler, die Du kontrollieren kannst, zwei, über die Du keine Kontrolle hast. Der Browser kann dabei helfen die Auswirkungen einzelner Fehler abzumildern, wie den Name-Mismatch Fehler. Die Erkennung und Vermeidung der anderen Fehler erfordert jedoch Deine dauerhafte Aufmerksamkeit.

Vermeidung von Warnungen auf Grund eines abgelaufenen SSL Zertifikats

Es gibt immer wieder Änderungen in der Belegschaft und den Verantwortlichkeiten innerhalb einer Organisation. Auch kann es Fehler in der Kommunikation oder zum Ausfall von Kommunikationswegen kommen. Nähert sich das Ablaufdatum eines Zertifikats, werden von den Ausstellern in der Regel Nachricht mit Erinnerungen versendet. Die Frage ist dann ob der richtige Ansprechpartner die Nachricht erhält. Ist der Mitarbeiter im Urlaub, aus dem Unternehmen ausgeschieden oder die Mail verschwindet einfach in irgendeinem Folder, kümmert sich niemand um die Verlängerung des Zertifikats. Das Gleiche passiert, wenn Mitarbeiter nicht mehr für das Thema verantwortlich sind oder die Nachricht auf Grund einer allgemeinen E-Mail-Adresse nicht korrekt zugestellt werden. In allen Fällen läuft das Zertifikat aus und die Besucher sehen die Warnmeldungen.

Das Uptrends SSL Zertifikat Monitoring schafft hier Abhilfe. Du definierst einen Zeitraum, innerhalb dem das Monitoring das Auslaufdatum erkennt und einen Fehler generiert. Anhand dieses Fehlers kannst Du einen Alarm oder eine Kette von Alarmen erstellen – eine Meldedefinition mit mehreren Eskalationsstufen. In diesen Eskalationsstufen bestimmst Du wann, wer und wie alarmiert wird. Du kannst beliebig viele Operator oder einfach nur E-Mail-Adressen hinterlegen, verschiedene Kommunikationskanäle, wie E-Mail, SMS, Telefon, Push-Notification oder Integrationen wie Pagerduty, Slack, Statushub oder einen Webhook nutzen.

Noch ein Wort zu Mehrjährigen Zertifikats-Laufzeiten

Du kannst heute SSL Zertifikate mit mehrjähriger Laufzeiten von drei, vier oder sogar fünf Jahren erwerben. Aber das solltest Du vermeiden. Auch wenn Dich diese mehrjährigen Laufzeiten von einer jährlichen Verlängerung befreien, kann es sein, dass Browser Restlaufzeiten von mehr als einem Jahr und damit das Zertifikat nicht akzeptieren. Ab dem 01. September 2020 wird Apple Safari Zertifikate mit einer Restlaufzeit von mehr als 398 als fehlerhaft erkennen und eine entsprechende Warnmeldung anzeigen.

Auch wenn Du der Meinung bist, dass Safari für Dich nicht relevant ist, so könnte auch Google bald dieselben Restriktionen für Chrome einführen. Google macht sich seit einer Weile für die Begrenzung der Laufzeit von Zertifikaten auf ein Jahr stark. Das Gleiche gilt für Mozilla, entsprechende Ankündigungen anderer Browser Anbieter sind zu erwarten. Die Zertifikats-Aussteller bieten bereits Vereinbarungen an, innerhalb derer sich das Zertifikat für eine feste Laufzeit jährlich erneuert. Trotzdem willst Du weiter die Verlängerung Deiner Zertifikate begleiten und frühzeitig alarmiert werden.  Und wenn es nur darum geht noch einmal zu prüfen, ob die hinterlegte Kreditkarte für die automatische Zahlung auch noch gültig ist.

Falsche Zertifikats-Einstellungen und Hacker

Die Aussteller der SSL Zertifikate bestimmen den Rahmen für die Konfiguration und die Nutzung der Zertifikate. Hast Du das Zertifikat korrekt eingerichtet und in Deine Seite eingebunden, gibt es keinen Grund warum es einen Fehler zeigen sollte, auch nicht kurz vor dem Ablaufdatum. Haben sich die Zertifikatswerte verändert kann das nur bedeuten, dass jemand Änderungen vorgenommen hat oder eine Zertifikats-Datei korrupt ist.

Mit dem Uptrends´ SSL-Zertifikat-Monitoring kannst Du mittels Inhaltsabfragen einzelne Werte des Zertifikats prüfen. Kommt es zu einer Abweichung erkennt Uptrends dies für Dich als Fehler und alarmiert Dich nach Deinen Vorgaben. Die folgenden Zertifikats-Informationen kannst Du überwachen:

  • Common Name: Der Domain Name, z.B. mydomain.com oder *.mydomain.com bei Wildcard Zertifikaten
  • Organisation: z.B. Meine Firma GmbH
  • Seriennummer: Eine dem Zertifikat zugeordnete Nummer
    1E:DB:AF:6D:D5:1E:35:71:02:00:00:00:00:5F:98:BB
  • Fingerabdruck: Ein einzigartiges Merkmal, das vom Zertifikat erzeugt wird
    (Der Fingerabdruck ist nicht Teil des Zertifikats, wird aber durch dieses erzeugt)
  • Ausgestellt durch Common Name: z.B. DigiCert SHA2 High Assurance Server CA
  • Ausgestellt durch Organisation: z.B. DigiCert Inc
  • Ausgestellt durch Organisations-Einheit: z.B. digicert.com

Es kann Erklärungen für unerwartete Änderungen der Werte geben. Wahrscheinlicher jedoch ist, dass es einen Angriff gibt bzw. das Zertifikat kompromittiert wurde.

Zusammenfassung

  • Das Ablaufdatum eines Zertifikats kann schnell übersehen werden. Speziell wenn Du für mehrere Zertifikate verantwortlich bist.
  • Erinnerungen seitens des Zertifikats-Ausstellers bezüglich der anstehenden Verlängerung können schnell übersehen werden oder bei den falschen Empfängern eingehen.
  • Ein abgelaufenes Zertifikat führt zu Warnmeldungen im Browser.
  • 70 Prozent der Nutzer nehmen die Warnmeldung im Browser ernst und verlassen die Seite.
  • Die Überwachung von Zertifikats-Bestandteilen, wie Fingerabdruck und Seriennummer, ermöglichen es Angriffe umgehend zu erkennen.
  • Das Uptrends SSL-Zertifikat-Monitoring erlaubt es, zentral die Sicherheit und das Ablaufdatum von SSL-Zertifikaten zu verwalten.
  • Uptrends alarmiert Dich frühzeitig bevor ein Zertifikat ausläuft.
  • Neue Richtlinien in Browsern werden dazu führen, dass die maximale Laufzeit für Zertifikate ein Jahr betragen wird.

Das Uptrends´ SSL-Zertifikat-Monitoring lässt sich schnell und einfach einrichten. Alles was Du benötigst sind ein paar grundlegende Informationen zum Zertifikat und einen Uptrends Account. Hast Du noch keinen Uptrends Account, dann registriere Dich jetzt für einen 30-tägigen, kostenlosen und unverbindlichen Test Account.