Im Falle der Nutzung des Google-Tools – Google Search Console (GSC) – können wir eine Nachricht mit dem Titel erhalten: Selbstsigniertes SSL/TLS-Zertifikat für die Website (hier wird der Name der betroffenen Website angegeben).
Natürlich erhalten wir eine solche Nachricht nicht, wenn wir die Google Search Console nicht verwenden. In welchen Situationen können wir eine solche Nachricht erhalten? Und handelt es sich tatsächlich um einen Fehler unsererseits? Wie sich herausstellt, ist die Antwort in diesem Fall nicht eindeutig. Im Folgenden erklären wir warum.
1. Aktivierte SNI-Unterstützung
SNI (Server Name Indication) ist eine Erweiterung des SSL-Protokolls, die es ermöglicht, mehrere SSL-Zertifikate auf einer einzigen IP-Adresse zu installieren, ohne eine dedizierte IP-Adresse zu benötigen. Diese Lösung wurde unter anderem aufgrund der knapper werdenden IPv4-Adressressourcen eingeführt. Durch die Verwendung von SNI können beispielsweise Hosting-Unternehmen den Verbrauch von IPv4-Adressen einschränken, und Kunden können beliebig viele SSL-Zertifikate auf ihren Domains installieren. Leider bringt diese Lösung auch bestimmte Einschränkungen mit sich, insbesondere für ältere Betriebssysteme oder Browser. Beim Besuch einer Website, die SNI verwendet und basierend auf SNI ein SSL-Zertifikat installiert hat, kann ein Nutzer eines älteren Systems/Browsers eine Meldung über ein nicht vertrauenswürdiges Zertifikat sehen. Diese Information wird angezeigt, obwohl das SSL-Zertifikat korrekt installiert ist. Das gleiche kann im Fall des Google-Bots passieren. Wie bekannt, besucht Googlebot unsere Website und identifiziert sich mit verschiedenen Browsern und Betriebssystemen, z.B.:
66.249.76.137 – – [08/Aug/2018:14:15:10 +0200] „GET xxxx HTTP/1.1“ 200 17979 „-“ „Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)“
66.249.66.159 – – [08/Aug/2018:06:41:46 +0200] „GET xxxx HTTP/1.1“ 200 1006 „-“ „Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36“
Es kann also vorkommen, dass Googlebot unsere Website mit einem Browser oder Betriebssystem besucht, das SNI nicht unterstützt, und wir daher eine Nachricht in der GSC über ein selbstsigniertes SSL-Zertifikat erhalten. Solche Situationen sind zwar selten, treten aber leider auf. Was in diesem Fall zu tun ist? Vor allem sollte man nicht in Panik geraten – am besten überprüfen, ob das SSL-Zertifikat in den aktuellen Browser-Versionen korrekt erkannt wird. Dabei kann auch das Tool SSLLabs verwendet werden: https://www.ssllabs.com/ssltest/index.html. Wenn alles in Ordnung ist, kann eine solche Nachricht ignoriert werden. Wenn jedoch 100%ige Kompatibilität unseres SSL-Zertifikats mit dem Betriebssystem/Browser der Besucher gewährleistet sein soll, sollte für die eigene Domain/den eigenen Service eine dedizierte (nicht geteilte) IP-Adresse eingerichtet werden. Weitere Informationen zum SNI-Mechanismus finden Sie beispielsweise in der Wikipedia: https://de.wikipedia.org/wiki/Server_Name_Indication.
2. Umzug des Dienstes zwischen Servern
Dies ist ein eher spezieller Fall, der jedoch auch bei Erhalt einer Nachricht aus der GSC auftreten kann. Manchmal kommt es vor, dass wir unseren Dienst auf einen anderen Server umziehen müssen (unabhängig davon, ob wir einfach eine stärkere Einheit benötigen oder unser Hosting-Anbieter Probleme hat). Der Umzug des Dienstes zwischen Servern führt meist auch zu einer Änderung der IP-Adresse, und eine solche Änderung muss über die DNS-Server propagiert werden. Während die Änderungen in den meisten Fällen schnell sichtbar sind, kommt es vor, dass die Änderungen erst nach 24 Stunden sichtbar sind – allgemein gilt, dass die DNS-Propagation 48-72 Stunden dauern kann. Wenn wir bei den Umzügen unseren Dienst vom „alten“ Server entfernt haben, kann es passieren, dass Googlebot diese Lücke „auffängt“, was zum Erhalt einer Nachricht aus der GSC führen kann. Daher sollte man nach Umzügen sicherstellen, dass alles korrekt funktioniert, insbesondere ob das Zertifikat im Browser richtig angezeigt wird. Wenn trotz des Umzugs Probleme mit dem SSL-Zertifikat bestehen, sollte die Konfiguration überprüft werden oder in speziellen Fällen der technische Support des Hostings kontaktiert werden.
3. Abgelaufenes oder falsch installiertes SSL-Zertifikat
Obwohl dies als eher kurioser Fall erscheinen mag, kommt es tatsächlich und recht häufig vor. Wie bekannt, hat jedes SSL-Zertifikat eine bestimmte Gültigkeitsdauer – von 30 bis 90 Tagen für SSL-Trial-Zertifikate bis hin zu standardmäßig ein oder zwei Jahren. Jedes für ein oder zwei Jahre gekaufte SSL-Zertifikat kann bereits 90 Tage vor dem Ablauf verlängert werden. Natürlich bedeutet eine Verlängerung des Zertifikats beispielsweise 89 Tage vor Ablauf nicht, dass die Gültigkeit des erneuerten SSL-Zertifikats um diese 89 Tage verkürzt wird. Wenn wir bei der Bestellung die Option RENEWAL/VERLÄNGERUNG wählen, werden automatisch 90 Tage zum neuen SSL-Zertifikat hinzugefügt, unabhängig davon, ob wir es 89 Tage oder 2 Tage vor Ablauf verlängern. Daher ist es wichtig, die rechtzeitige Erneuerung sicherzustellen, insbesondere da Erinnerungen an das ablaufende SSL-Zertifikat ebenfalls gesendet werden. Zusätzlich zur Information aus der GSC wird jeder Besucher der Website, auf der das SSL-Zertifikat abgelaufen ist, eine Meldung über das abgelaufene Zertifikat sehen. Dies kann natürlich dazu führen, dass Besucher die Seite „verlassen“. Eine Nachricht aus der GSC kann auch erscheinen, wenn unser SSL-Zertifikat nicht korrekt installiert wurde (z.B. wenn das Serverzertifikat angezeigt wird) oder wenn Zwischenzertifikate fehlen. Nach Erhalt der Nachricht sollte unser Zertifikat überprüft werden, ob es von den Browsern korrekt erkannt wird, oder eine Diagnose mit dem zuvor erwähnten Tool SSLLABS durchgeführt werden: https://www.ssllabs.com/ssltest/index.html.
In jedem der oben genannten Fälle ist es nach Erhalt einer Nachricht von Google ratsam, das SSL-Zertifikat auf der betreffenden Website zu überprüfen. Dadurch können Fehler ausgeschlossen werden, die nicht nur die Sicherheit beeinträchtigen, sondern auch die Position in der Google-Suche beeinflussen können.