Mac OS X 10.11 El Capitan: Zertifikatsprobleme stören den Web-Browser

Aufgrund eines abgelaufenen Root-Zertifikats lassen sich viele Websites auf alten Macs nicht mehr besuchen. Ein aktuelles Zertifikat schafft Abhilfe.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Wolfgang Kreutz

Besitzer älterer Macs, auf denen Mac OS X 10.11 El Capitan läuft, können auf Probleme beim Surfen stoßen: Seit kurzem zeigen Browser wie beispielsweise Safari, Opera, Vivaldi oder Brave beim Abruf bestimmter Websites die Meldung: "Diese Verbindung ist nicht privat" an – statt wie gewohnt den Inhalt darzustellen. Wer das Zertifikat einblendet, bekommt zu lesen: "Root ist abgelaufen".

Ursache ist ein altes Root-Zertifikat von Let's Encrypt (LE), das schon Ende September seine Gültigkeit verloren hat, weshalb damit signierte Verbindungen vom Browser als unsicher ablehnt werden.

Zahlreiche populäre Websites nutzen Let's Encrypt, um kostengünstig ihre Dienste über eine verschlüsselte Verbindung via HTTPS anbieten zu können. Dazu generieren Sie regelmäßig ein neues Zertifikat, dessen Gültigkeit mit dem Root-Zertifikat "ISRG Root X1" validiert wird. Dieses ist Bestandteil des Betriebssystems, wird von Apple aber erst seit Mac OS X 10.12.1 Sierra in einer neueren Version mitgeliefert. Auch auf anderen alten Betriebssystemen kann es zu entsprechenden Einschränkungen kommen.

Unterstützt der Mac keine neuere macOS-Version als OS X 10.11 El Capitan, lässt sich das aktuelle Root-Zertifikat selbst installieren – wenn man das nicht mehr mit Sicherheitsupdates versorgte Betriebssystem weiterhin zum Surfen einsetzen will.

Das Root-Zertifikat findet sich auf der Seite letsencrypt.org/certificates. Falls man einen anderen Browser als Firefox verwendet, wird auch diese Seite zunächst abgelehnt. Firefox verlässt sich bei den Root-Zertifikaten nicht auf das Betriebssystem und hat seit Version 50 das neue Root-Zertifikat an Bord. In Safari bekommt man dennoch Zugriff, indem man unter der Fehlermeldung auf "Details einblenden" und dann auf den Link "öffne diese Seite" klickt. Die erneute Warnung muss mit "Website besuchen" bestätigt werden – auch die Eingabe des Admin-Kennwort ist erforderlich.

Aktuelles Root-Zertifikat für Let’s Encrypt in OS X 10.11 installieren (4 Bilder)

Bevor Sie das aktuelle Wurzelzertifikat von letsencrypt.org laden können, müssen Sie der Website letsencrypt.org zunächst Ihr Vertrauen aussprechen, weil die Seite ebenfalls vom abgelaufenen Zertifikat betroffen ist.

Laden Sie dann von letsencrypt.org das Zertifikat "ISRG Root X1, Self-signed" im Format "der" herunter ("pem" wäre ebenfalls möglich). Sicherheitshalber sollten man nach dem Download die SHA-1-Prüfsumme im Terminal überprüfen:

shasum -a 1 ~/Downloads/isrgrootx1.der

Als Ergebnis muss der Wert cabd2a79a1076a31f21d253635cb039d4329a5e8 ausgegeben werden.

Ist das korrekt, öffnen Sie die Datei "isgrootx1.der" per Doppelklick. Daraufhin startet die Schlüsselbundverwaltung und fragt, in welchem Schlüsselbund Sie das Zertifikat importieren möchten. Hier empfiehlt sich die Option "System", damit alle Benutzer-Accounts davon profitieren; "Anmeldung" betrifft nur den aktuellen Benutzer. Wählen Sie nicht "Lokale Objekte" oder "System-Root" aus.

Falls Sie die Datei versehentlich in "Anmeldung" importiert haben, können Sie es mit der Maus in die Seitenleiste auf "System" ziehen. Übrigens: in neueren Versionen von macOS fehlt der Import-Dialog, das Zertifikat landet automatisch in den gerade in der Seitenleiste ausgewählten Schlüsselbund.

Suchen Sie nun nach "ISRG Root X1" und öffnen das Zertifikat per Doppelklick. Klappen Sie in dem Fenster den Abschnitt "Vertrauen" auf und wählen neben "Bei Verwendung dieses Zertifikats" die Option "Immer vertrauen aus". Nach dem Schließen des Fensters müssen Sie die Änderung mit Ihrem Admin-Kennwort bestätigen. Jetzt sollten per Let’s Encrypt signierte Seiten wieder aufrufbar sein.

Mehr von Mac & i Mehr von Mac & i

Sollten Safari weiterhin bei vereinzelten Websites die Meldung "Safari kann die Seite XYZ nicht öffnen, da Safari keine sichere Verbindung zum Server aufbauen kann." ausspucken, kann man versuchen, das heruntergeladene Wurzelzertifikat über das Terminal zum Schlüsselbund hinzuzufügen:

sudo security -v add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/Downloads/isrgrootx1.der

Mit diesem Kommando vertraut Mac OS X dem Zertifikat automatisch.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)