Certificate Chain: Validieren Sie die gesamte SSL-Zertifikatskette

Die Vertrauenskette: Vom Leaf zur Root

Die Sicherheit von SSL-Zertifikaten basiert auf einer hierarchischen Vertrauenskette. Ihr Zertifikat (Leaf Certificate) wird vom Browser nicht direkt vertraut: Es ist von einer Zwischen-CA signiert, die wiederum von einer Root-CA signiert ist. Der Browser verfuegt ueber einen Trust Store mit vertrauenswuerdigen Root-CAs (etwa 150 Root-CAs in modernen Browsern). Um Ihrem Zertifikat zu vertrauen, muss der Browser die vollstaendige Kette vom Leaf bis zu einer Root-CA in seinem Trust Store aufbauen koennen. Fehlt ein Glied, bricht die Kette und der Browser zeigt einen Fehler an.

Das Certificate Chain Tool visualisiert die gesamte vom Server zurueckgegebene Kette, ueberprueft die Signatur jedes Zertifikats, die Gueltigkeitsdaten jedes einzelnen und die Vollstaendigkeit der Kette. Es ist detaillierter als der SSL Check: Waehrend dieser einen Gesamtgrad liefert, konzentriert sich Certificate Chain spezifisch auf die Kettenstruktur und identifiziert fehlende Zertifikate, Zertifikate in falscher Reihenfolge und abgelaufene Zertifikate in der Kette.

Haeufige Kettenprobleme

# Catena CORRETTA (3 certificati)
[1] CN=esempio.com          (leaf - il tuo certificato)
  ↓ firmato da
[2] CN=Let's Encrypt R3      (CA intermedia)
  ↓ firmato da
[3] CN=ISRG Root X1          (root CA - nel trust store)

# Catena INCOMPLETA (manca l'intermedio)
[1] CN=esempio.com          (leaf)
  ↓ firmato da
[?] MANCANTE!                ← errore per alcuni browser
  ↓
[3] CN=ISRG Root X1          (root - non raggiungibile)

Das haeufigste Problem ist das fehlende Zwischenzertifikat. Der Server muss das Leaf und alle Zwischenzertifikate senden (aber nicht die Root). Wenn ein Zwischenzertifikat fehlt, koennen einige Browser und Clients (insbesondere mobile, cURL, Java-Anwendungen) die Kette nicht validieren und zeigen einen Fehler an. Chrome auf dem Desktop funktioniert oft trotzdem, weil es fehlende Zwischenzertifikate automatisch herunterlaed (AIA Fetching), wodurch das Problem maskiert wird. Deshalb ist es wichtig, mit einem dedizierten Tool wie unserem Certificate Chain zu testen.

Die Kette korrekt konfigurieren

Um die Kette korrekt zu konfigurieren, verketten Sie das Serverzertifikat mit den Zwischenzertifikaten in einer einzigen Datei (Bundle oder Fullchain). Die Reihenfolge ist: Leaf zuerst, dann die Zwischenzertifikate vom naechsten am Leaf bis zum naechsten an der Root. Schliessen Sie das Root-Zertifikat nicht ein. In Nginx: ssl_certificate zeigt auf die Fullchain. In Apache: SSLCertificateFile fuer das Leaf, SSLCertificateChainFile fuer die Zwischenzertifikate. Let's Encrypt stellt direkt die fullchain.pem-Datei bereit, die Leaf + Zwischenzertifikate enthaelt.

Nach der Konfiguration ueberpruefen Sie mit Certificate Chain und mit SSL Check fuer den Grad. Wenn Sie Zertifikate fuer mehrere Subdomains ausstellen, ueberpruefen Sie die Kette bei jeder einzelnen — die Konfiguration koennte unterschiedlich sein. Ueberpruefen Sie auch, dass Ihre Domain CAA Record Lookup-Eintraege konfiguriert hat, um einzuschraenken, welche CAs Zertifikate ausstellen koennen, und eine zusaetzliche Schutzebene fuer Ihre PKI hinzuzufuegen.

Ein Sonderfall ist das Cross-Signing: Let's Encrypt hat anfangs ein Zwischenzertifikat verwendet, das von der Root DST Root CA X3 (aelter und weiter verbreitet) cross-signiert war, um Kompatibilitaet mit Android-Geraeten vor Version 7.1 zu gewaehrleisten. Mit dem Uebergang zur eigenen Root ISRG Root X1 koennten einige aeltere Geraete Probleme haben. Wenn Ihr Publikum sehr alte Geraete umfasst, ueberpruefen Sie die Kettenkompatibilitaet mit diesen spezifischen Clients.