GnuTLS und Firefox: Certificate Chain Problem gelöst

Wieso kompliziert, wenn die Dinge auch furchtbar einfach sein können? code

Heute habe ich mich mit der Frage befasst, weshalb der Firefox einen GnuTLS versichererten Webauftritt plötzlich nicht mehr mochte: Eine kurze Inspektion ergab, dass er die “Certificate Chain” – Quasi den Ursprung allen Vertrauens – nicht mehr überprüfen können wollte, weil in GnuTLS schlicht eine Option fehlt, ein entsprechendes Chainfile zu hinterlegen.

tl;dr Jap: Läuft.

Während Chrome und Internet Explorer kein Problem mit der Webseite meldeten, schlug der Firefox Alarm:

The certificate is not trusted because no issuer chain was provided.
(Error code: sec_error_unknown_issuer)

Was nun?

Da auf dem Server zwei Domains laufen, die zwingend eine funktionierende SSL-Verbindung voraussetzen, habe ich mit dem Apache 2 schlechte Karten, wenn es um die Verwendung von OpenSSL geht, daher muss es einen Weg geben, auch GnuTLS von der Verwendung eines Intermediate-Zertifikates als Chainfile zu überzeugen und tatsächlich: Den gibt es!

cat intermediateCertificate.crt >> ownCertificate.crt

Fürchterlich: Viel zu einfach.

Funktioniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert