Wie man SSL-Verbindungsfehler in Apache behebt: Ursachen und Lösungen

Einführung

SSL-Verbindungsfehler sind ein häufiges, aber kritisches Problem, das eine sichere Verbindung zwischen Client und Server verhindern kann. Diese Fehler treten auf, wenn der TLS-Handshake fehlschlägt; das heißt, Browser bzw. Client und Server können keine sichere HTTPS-Verbindung herstellen. Fehler in jeder Phase, von der Protokollverhandlung bis zur abschließenden Zertifikatsvalidierung, können diese Art von Fehler verursachen.

Wenn ein solcher Fehler auftritt, werden Meldungen wie diese angezeigt: SSL-Verbindung fehlgeschlagen, ERR_SSL_PROTOCOL_ERROR Oder SSL-Handshake fehlgeschlagen in Ihrem Browser oder Ihrer App. Dieses Problem kann sich auf das Surfen im Internet, APIs, E-Mails oder jeden Dienst auswirken, der verschlüsselte Kommunikation verwendet.

In diesem Artikel zeige ich Ihnen, wie Sie den «SSL-Verbindungsfehler» in verschiedenen Szenarien erkennen und beheben können – einschließlich Browsern, Kommandozeilentools und Serverkonfigurationen –, um die sichere Verbindung Ihrer Website oder Anwendung aufrechtzuerhalten.

Wichtigste Erkenntnisse

• Die meisten SSL-Fehler (rund 80 %) werden durch drei Hauptgründe verursacht:

  1. Abgelaufenes oder selbstunterschriebenes Zertifikat die erneuert oder ersetzt werden muss.

  2. Domänennamenkonflikt (CN/SAN) Im Zertifikat für die angeforderte Domain. .

  3. Keine ZwischenprüfungDies bedeutet, dass die Zertifikatskette unvollständig ist und keine vollständige Validierung durchgeführt wird. .

• Zur genauen Diagnose von Problemen können Sie Hilfsmittel wie die folgenden verwenden:

  • curl -v https://example.com (ausführlicher Modus)

  • openssl s_client -connect host:443 -servername host -showcerts Um die vollständige Zertifikatskette zu überprüfen

• Niemals Deaktivieren Sie die SSL-Verifizierung nicht in einer Produktionsumgebung (z. B. durch curl -k Oder verifizieren=Falsch) — Dadurch wird das Problem nur verschleiert und die Sicherheit in Frage gestellt.

• Empfohlen: Lassen Sie Zertifikate automatisch erneuern, aktivieren Sie die Verwendung von TLS 1.3 und richten Sie ein System zur Überwachung des Zertifikatsstatus und von OCSP ein. DigitalOcean

Voraussetzungen für die Überprüfung des SSL-Verbindungsfehlers

Bevor Sie mit der Fehlersuche beginnen, müssen Sie folgende Voraussetzungen erfüllen: einen Server, auf dem ein Linux-Betriebssystem (z. B. Ubuntu) läuft, Root- oder Sudo-Zugriff, grundlegende Kenntnisse der Kommandozeile, eine auf dem Server konfigurierte Domain und ein grundlegendes Verständnis von SSL/TLS-Konzepten.

Was ist ein SSL-Verbindungsfehler?

Beim Aufbau einer TLS-Verbindung müssen Client und Server sich auf die Protokollversion, die Verschlüsselungssuite und die Zertifikatskette einigen, und das Zertifikat muss verifiziert werden. Schlägt einer dieser Schritte fehl, bricht der Client die Verbindung ab, und es tritt ein SSL-Verbindungsfehler auf. 

Die Fehlermeldung kann variieren und Folgendes umfassen:

• curl: (35) SSL-Verbindungsfehler

• SSL: Zertifikatsprüfung fehlgeschlagen (in Python requests)

• ERR_SSL_PROTOCOL_ERROR (Im Browser)

• Handshake-Fehler (in OpenSSL)

Hauptursachen für SSL-Verbindungsfehler und schnelle Lösung

Diagnose und Behebung häufiger Serverprobleme bei SSL-Verbindungsfehlern

Bei Fehler SSL-Verbindungsfehler Wenn dieser Fehler auftritt, liegt dies üblicherweise an einem Problem beim Aufbau einer sicheren Verbindung zwischen Ihrem Client (Ihrem System) und dem Zielserver. Mögliche Ursachen sind fehlerhafte SSL-Einstellungen, inkompatible Protokollversionen, DNS-Probleme, Zertifikatsprobleme oder auch eine Firewall. In diesem Abschnitt erklären wir Ihnen Schritt für Schritt, wie Sie diesen Fehler auf dem Server diagnostizieren und beheben.

1. Überprüfen Sie das SSL-Zertifikat auf dem Server.

Im ersten Schritt muss sichergestellt werden, dass das auf dem Server installierte SSL-Zertifikat gültig ist:

• Das Zertifikat ist nicht abgelaufen.

• Der Domänenname (CN oder SAN) stimmt mit der angeforderten Adresse überein.

• Die Zertifikatskette ist korrekt eingerichtet (Zwischenzertifikate).

Für eine detaillierte Übersicht:

openssl s_client -connect example.com:443 -servername example.com

Überprüfen Sie in der Ausgabe Folgendes:

• Rückgabecode prüfen: 0 (ok)

• Die Existenz einer vollständigen Kette (Zertifikatskette)

• Einen vertrauenswürdigen Aussteller anzeigen (z. B. Let's Encrypt, Cloudflare, Sectigo)

Ist der Rückgabewert ungleich Null, bedeutet dies, dass ein serverseitiges SSL-Problem vorliegt.

2. Überprüfen Sie die TLS-Versionen und Verschlüsselungsalgorithmen (Cipher Suites).

Clients und Server müssen mindestens ein gemeinsames Protokoll und eine gemeinsame Verschlüsselungsmethode verwenden. Der Server unterstützt möglicherweise nur TLS 1.3, der ältere Client jedoch möglicherweise nur TLS 1.0.

Um die Protokolle zu überprüfen:

nmap --script ssl-enum-ciphers -p 443 example.com

Zu beachtende Punkte:

• aktiv sein TLS 1.2 oder TLS 1.3

• Deaktivierung unsicherer Versionen wie TLS 1.0 und SSLv3 (optional, aber empfohlen)

• Die Existenz von Standardchiffren wie:

  • TLS_AES_256_GCM_SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

Falls keine kompatible Version oder Verschlüsselungsmethode vorhanden ist, wird die Verbindung abgebrochen und eine SSL-Verbindungsfehlermeldung angezeigt.

3. Überprüfen Sie die Firewall- und Porteinstellungen.

Manchmal wird die SSL-Verbindung von der Firewall blockiert, noch bevor der Handshake beginnt.

Wichtige Punkte:

• Hafen 443/TCP Sei offen.

• Die Software-Firewall (UFW / firewalld / CSF) lässt HTTPS-Datenverkehr zu.

Kurzzusammenfassung:

sudo ufw status

Oder:

sudo iptables -L -n

Wenn Sie Cloudflare oder ein CDN verwenden, stellen Sie sicher, dass:

• Der SSL/TLS-Modus ist korrekt (Vollständig/Vollständig Strikt).

• CDN-IPs befinden sich auf der Zulassungsliste.

4. Testen Sie die Verbindung vom Server zum Ziel

Um Netzwerkprobleme zu überprüfen:

curl -v https://example.com

Die Ergebnisse können folgende Probleme aufzeigen:

• Verbindung abgelehnt

• SSL-Zertifikatproblem

• Lokales Ausstellerzertifikat konnte nicht abgerufen werden

• Handshake-Fehler

• Time-out

Oder Ping- und Traceroute-Test:

ping example.com traceroute example.com

Wird die Netzwerkverbindung unterbrochen, findet kein SSL-Handshake statt.

5. Prüfen Sie auf DNS-Probleme.

Wenn der DNS-Server die falsche Adresse liefert, wird die Verbindung an einen anderen Server weitergeleitet und es kommt zu einem SSL-Fehler.

Prüfen:

dig example.com nslookup example.com

Kontrollpunkte:

• Die IP-Adresse ist korrekt.

• Die DNS-Propagation ist abgeschlossen.

• Der AAAA-Eintrag (IPv6) ist nicht inkonsistent (falls vorhanden).

Manchmal lässt sich das Problem durch Deaktivieren von IPv6 beheben.

6. Überprüfen Sie Datum und Uhrzeit auf dem Server.

SSL ist stark von der korrekten Zeitangabe abhängig. Selbst eine Abweichung von 5 Minuten kann Probleme verursachen.

Rezension:

timedatectl

Im Problemfall:

sudo timedatectl set-ntp true

Wenn die Serverzeit falsch ist, geht das System davon aus, dass das Zertifikat noch nicht gültig oder abgelaufen ist.

7. Überprüfen Sie das CA-Bundle-System.

Wenn Ihr System vertrauenswürdige Zertifizierungsstellen nicht erkennt, führt selbst ein gültiges Zertifikat zu einem Fehler.

In Linux-Distributionen:

sudo update-ca-certificates

Oder:

sudo yum update ca-certificates

8. Auf Proxy- oder Man-in-the-Middle-Tools prüfen.

Befindet sich im Verbindungspfad ein Proxy oder ein Datenverkehrsfilter, kann das Zertifikat ersetzt werden und es kann zu einer Nichtübereinstimmung kommen.

Kontrollpunkte:

• Proxy-Einstellungen in curl oder der Systemumgebung

• Antivirenprogramme oder IDS/IPS wie Suricata deaktivieren

• Test ohne Proxy:

curl -v --noproxy '*' https://example.com

9. Fehlerprüfung auf Anwendungs- oder Webserverseite

Die Nginx/Apache-Konfiguration könnte Probleme aufweisen:

Nginx:

• Kettenpfad:

ssl_certificate /etc/ssl/certs/fullchain.pem;
ssl_certificate_key /etc/ssl/private/privkey.pem;

Apache:

SSLCertificateFile /etc/ssl/certs/cert.pem
SSLCertificateChainFile /etc/ssl/certs/chain.pem
SSLCertificateKeyFile /etc/ssl/private/key.pem

Wenn die Kettenreihenfolge falsch ist → tritt mit Sicherheit ein SSL-Verbindungsfehler auf.

Systemzeitsynchronisation

Wenn die Serveruhr falsch eingestellt ist, wird das Zertifikat möglicherweise als ungültig angezeigt. Synchronisieren Sie die Zeit mit NTP.

Häufige Fehler, die es zu vermeiden gilt

• Optionen wie -k In Locke Oder verifizieren=Falsch In Python SSL zu umgehen – das schwächt die Sicherheit und verschleiert nur den Fehler. DigitalOcean

• Verwendung eines selbstsignierten Zertifikats in einer Produktionsumgebung

• Angenommen, SSL funktioniert immer – ohne Überwachung von Ablaufdaten oder Zertifikatsketten

• Der Server prüft nicht die vollständige Zertifikatskette.

Abschließende Schlussfolgerung

Der SSL-Verbindungsfehler ist eines der häufigsten Hindernisse für eine sichere Verbindung zwischen Browser oder Client und Server. Durch die genaue Diagnose der Ursache – sei es ein abgelaufenes Zertifikat, eine Domain-Inkompatibilität oder eine unvollständige Konfiguration – und die Anwendung der besten Lösungen lässt sich dieses Problem jedoch einfach und sicher beheben. Gehen Sie nicht immer Kompromisse bei der Sicherheit ein, nur um es bequemer zu gestalten; die Deaktivierung der SSL-Authentifizierung ist nur eine vorübergehende Lösung und birgt ein Sicherheitsrisiko.