SSL-Zertifikatskette erklärt
ssl zertifikatskette · intermediate zertifikat · root ca trust store
Wie SSL-Zertifikatsketten funktionieren, warum fehlende Intermediates Untrusted-Fehler verursachen und wie man die volle Kette online prüft.
Von DN01 Netzwerk-Team
Browser vertrauen einem Leaf nur, wenn sie einen Pfad zu einer Root CA im OS- oder Browser-Trust-Store bauen können. Der Server muss Leaf plus nötige Intermediates senden — nicht die Root.
Kettenfehler sind nach Ablauf das häufigste «bei mir geht's»-TLS-Problem. Der SSL Certificate Checker listet jedes Zertifikat in Reihenfolge zum Vergleich mit Vendor-Dokumentation.
Leaf, Intermediate und Root
Leaf (End-Entity): für Ihren Hostname ausgestellt, enthält SAN/CN, kürzeste Laufzeit.
Intermediate: von Root oder anderem Intermediate signiert, signiert Leaf-Zertifikate, muss auf dem Server konfiguriert sein.
Root: self-signed, im Trust Store vorinstalliert — Root-Dateien nie auf öffentliche Webserver deployen.
Unvollständige Ketten beheben
Laden Sie Vendor «full chain» oder «CA bundle» (z. B. Let's Encrypt R3 + ISRG Root X1) und konfigurieren Sie nginx, Apache oder Load Balancer für Leaf + Intermediates zusammen.
Nach Deploy SSL Checker erneut — Android und Desktop-Chrome nutzen unterschiedliche Trust-Pfade und Cache-Verhalten.
Keine abgelaufenen Intermediates aus alten Forenposts konkatenieren; aktuelle Issuer-Dokumentation nutzen.
Häufig gestellte Fragen
- Warum vertraut ein Browser meiner Site und ein anderer nicht?
Oft unvollständige Kettenlieferung oder fehlendes altes Intermediate auf einem Client-Pfad. Volle Kette extern prüfen.
- Kann ich mehrere Intermediates nutzen?
Ja — Reihenfolge zählt. Server sendet Leaf zuerst, dann Intermediates bis (ohne) Root.
- Beeinflusst die Kette Mail-TLS?
SMTP STARTTLS nutzt dieselben X.509-Kettenregeln für Mailserver mit Zertifikaten.