Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Sicherheit 
Virtuelle Server12 Möglichkeiten, den NET::ERR_CERT_DATE_INVALID-Fehler zu beheben (Vollständiger technischer Leitfaden)
Der NET::ERR_CERT_DATE_INVALID-Fehler ist ein TLS-Handshake-Fehler auf Browserebene, der auftritt, wenn ein Client die zeitliche Integrität eines SSL/TLS-Zertifikats nicht validieren kann — das bedeutet, das Zertifikat ist abgelaufen, noch nicht gültig, oder die Systemuhr weicht so stark ab, dass sie außerhalb des Gültigkeitsfensters des Zertifikats liegt. Chrome, Edge, Firefox und Safari blockieren den Zugriff, wenn diese Prüfung fehlschlägt, und zeigen eine harte Sicherheitswarnung anstelle eines weichen Hinweises an.
Dieser Fehler hat zwei unterschiedliche Ursachen: clientseitig (falsche Systemzeit, veralteter Cache, störende Software) und serverseitig (abgelaufenes Zertifikat, falsch konfigurierte Zertifikatskette, falsches Zertifikat für den virtuellen Host). Die Identifizierung der verantwortlichen Seite ist der entscheidende erste Diagnoseschritt — und dieser Leitfaden führt mit der erforderlichen Präzision durch beide Seiten, um das Problem dauerhaft zu lösen.
Warum NET::ERR_CERT_DATE_INVALID mehr als eine Browser-Unannehmlichkeit ist
Wenn ein Browser einen TLS-Handshake initiiert, validiert er das Serverzertifikat anhand von drei Kriterien: Die ausstellende Zertifizierungsstelle muss vertrauenswürdig sein, die Domain muss mit den Subject Alternative Names (SANs) des Zertifikats übereinstimmen, und der aktuelle Zeitstempel muss zwischen den Feldern `notBefore` und `notAfter` des Zertifikats liegen. Wenn die Zeitstempelprüfung fehlschlägt — auf der Client- oder Serverseite — wird der Handshake abgebrochen und der Browser zeigt `NET::ERR_CERT_DATE_INVALID` an.
Die nachgelagerten Konsequenzen sind erheblich. Neben der offensichtlichen Beeinträchtigung der Benutzererfahrung lehnen auch Googles Crawler HTTPS-Ressourcen mit ungültigen Zertifikaten ab, was Rankings unterdrücken kann. Websites, die in einer VPS-Hosting-Umgebung betrieben werden, haben die volle Kontrolle über das Zertifikatslebenszyklusmanagement, was die serverseitige Lösung unkompliziert macht — aber clientseitige Ursachen erfordern einen strukturierten Diagnoseansatz.
Clientseitig vs. Serverseitig: Ein Diagnoserahmen
Bevor Sie eine Lösung anwenden, bestimmen Sie, welche Seite verantwortlich ist. Das spart erheblich Zeit.
| Diagnosesignal | Wahrscheinliche Ursache | Wo zu beheben |
|---|
| — | — | — |
|---|
| Fehler erscheint nur auf Ihrem Gerät | Clientseitig (Uhr, Cache, Erweiterung) | Ihr Browser oder Betriebssystem |
|---|
| Fehler erscheint auf mehreren Geräten / Netzwerken | Serverseitig (abgelaufenes Zertifikat, Kettenprobleme) | Webserver / Hosting |
|---|
| Fehler erscheint nur in einem Netzwerk | Netzwerkseitige Störung (Firewall, Proxy) | Netzwerkeinstellungen |
|---|
| Zertifikat zeigt „Abgelaufen” im Browser-Inspektor | Serverseitiger Zertifikatsablauf | SSL-Zertifikat erneuern |
|---|
| Zertifikat zeigt zukünftiges `notBefore`-Datum | Uhrabweichung oder falsch ausgestelltes Zertifikat | Systemzeit synchronisieren |
|---|
| Fehler verschwindet im Inkognito-Modus | Browser-Erweiterung oder Cache | Browsereinstellungen |
|---|
| Fehler verschwindet bei mobilen Daten | ISP-seitige oder Unternehmens-Firewall | Netzwerkkonfiguration |
|---|
Lösung 1: Systemdatum und -uhrzeit synchronisieren
Dies ist die mit Abstand häufigste clientseitige Ursache. Wenn Ihre Systemuhr um mehr als ein paar Minuten abweicht, lehnt die TLS-Bibliothek Zertifikate ab, deren Gültigkeitsfenster den falschen lokalen Zeitstempel nicht umfasst. Ein Zertifikat, das vom 1. Januar bis zum 31. Dezember gültig ist, erscheint einem Gerät, dessen Uhr den folgenden Januar anzeigt, als „abgelaufen”.
Windows:
- Klicken Sie mit der rechten Maustaste auf die Uhr in der Taskleiste und wählen Sie Datum/Uhrzeit anpassen
- Aktivieren Sie Uhrzeit automatisch festlegen und stellen Sie die Zeitzone korrekt ein
- Klicken Sie unter „Uhr synchronisieren” auf Jetzt synchronisieren
- Alternativ können Sie eine NTP-Synchronisierung über die Eingabeaufforderung erzwingen (als Administrator ausführen):
“`
w32tm /resync /force
“`
macOS:
- Navigieren Sie zu Systemeinstellungen > Allgemein > Datum & Uhrzeit
- Aktivieren Sie Datum und Uhrzeit automatisch festlegen und wählen Sie einen zuverlässigen NTP-Server (z. B. `time.apple.com`)
Linux (serverseitig):
“`bash
timedatectl set-ntp true
systemctl restart systemd-timesyncd
timedatectl status
“`
Wichtiger Hinweis: Bei virtuellen Maschinen und Containern kann die Gastuhr erheblich vom Host abweichen. Wenn Sie einen VPS verwalten, überprüfen Sie immer die Ausgabe von `timedatectl` nach Neustarts und konfigurieren Sie eine zuverlässige NTP-Quelle wie `pool.ntp.org`.
Lösung 2: Browser-Cache und SSL-Status löschen
Browser speichern Zertifikatsantworten und HSTS-Richtlinien (HTTP Strict Transport Security) aggressiv im Cache. Eine zwischengespeicherte ungültige Zertifikatsantwort kann auch nach der Behebung des zugrunde liegenden Problems bestehen bleiben.
Chrome-Browserdaten löschen:
- Navigieren Sie zu `chrome://settings/clearBrowserData`
- Setzen Sie den Zeitraum auf Gesamte Zeit
- Aktivieren Sie Cookies und andere Websitedaten und Bilder und Dateien im Cache
- Klicken Sie auf Daten löschen
SSL-Status unter Windows löschen (getrennt vom Browser-Cache):
- Öffnen Sie Systemsteuerung > Netzwerk und Internet > Internetoptionen
- Wechseln Sie zur Registerkarte Inhalte
- Klicken Sie auf SSL-Status löschen und bestätigen Sie
HSTS-Cache in Chrome löschen (wird oft übersehen):
- Navigieren Sie zu `chrome://net-internals/#hsts`
- Geben Sie unter „Domänen-Sicherheitsrichtlinien löschen” die Domain ein und klicken Sie auf Löschen
Dieser Schritt ist besonders wichtig, wenn die Domain zuvor einen gültigen HSTS-Header mit einem langen `max-age` hatte. Der Browser erzwingt HTTPS auch dann, wenn das Zertifikat ungültig ist, und der HSTS-Eintrag muss separat gelöscht werden.
Lösung 3: Browser auf die neueste Version aktualisieren
Veraltete Browser werden mit veralteten Root-Zertifikatsspeichern ausgeliefert. Zertifizierungsstellen fügen regelmäßig Root-Zertifikate hinzu, widerrufen und rotieren sie. Wenn der gebündelte Root-Speicher Ihres Browsers die CA, die das Zertifikat des Servers signiert hat, nicht enthält, schlägt die Kettenvalidierung fehl — was sich in einigen Randfällen als `NET::ERR_CERT_DATE_INVALID` manifestieren kann, obwohl `NET::ERR_CERT_AUTHORITY_INVALID` häufiger vorkommt.
Chrome aktualisieren:
- Klicken Sie auf das Drei-Punkte-Menü > Hilfe > Über Google Chrome
- Chrome erkennt ausstehende Updates und wendet sie automatisch an
- Starten Sie den Browser neu, um die Aktualisierung abzuschließen
Warum das technisch wichtig ist: Chrome 117+ erzwingt strengere Anforderungen an die Zertifikatstransparenz (CT). Zertifikate, die nicht in einem anerkannten CT-Protokoll erfasst sind, werden unabhängig von ihren Gültigkeitsdaten abgelehnt. Durch die Aktualisierung des Browsers wird die Kompatibilität mit modernen PKI-Praktiken sichergestellt.
Lösung 4: HTTPS-Inspektion des Antivirenprogramms vorübergehend deaktivieren
Viele Unternehmens- und Verbraucher-Antivirenprodukte — darunter Kaspersky, ESET, Avast und Bitdefender — führen eine SSL/TLS-Abfangung durch (auch HTTPS-Scanning oder Man-in-the-Middle-Inspektion genannt). Sie tun dies, indem sie ein lokales Root-CA-Zertifikat installieren und den gesamten HTTPS-Datenverkehr neu signieren. Wenn das interne Zertifikat des Antivirenprogramms abgelaufen ist oder es ein Zertifikat mit falschen Gültigkeitsdaten nicht korrekt neu signiert, erhält der Browser ein ungültiges Zertifikat und wirft `NET::ERR_CERT_DATE_INVALID`.
Schritte:
- Deaktivieren Sie vorübergehend die HTTPS-Scanning-Funktion des Antivirenprogramms (nicht das gesamte Antivirenprogramm)
- Testen Sie die betroffene Website
- Wenn der Fehler behoben ist, aktualisieren Sie das Antivirenprogramm auf die neueste Version (die in der Regel das interne CA-Zertifikat erneuert)
- Aktivieren Sie das HTTPS-Scanning nach der Bestätigung der Lösung wieder
Lassen Sie das HTTPS-Scanning nicht dauerhaft deaktiviert. Fügen Sie stattdessen die problematische Domain zur Ausschlussliste des Antivirenprogramms hinzu, wenn die Website vertrauenswürdig ist.
Lösung 5: Browser-Erweiterungen prüfen und deaktivieren
Datenschutzorientierte Erweiterungen (VPNs, Werbeblocker, Skriptblocker) können die Zertifikatsvalidierung beeinträchtigen, indem sie Anfrage-Header ändern oder den Datenverkehr über Proxys mit eigener Zertifikatsinfrastruktur leiten.
Systematischer Isolierungsprozess:
- Öffnen Sie `chrome://extensions/`
- Deaktivieren Sie alle Erweiterungen gleichzeitig
- Testen Sie die betroffene URL
- Wenn der Fehler verschwindet, aktivieren Sie die Erweiterungen nacheinander wieder, um den Verursacher zu identifizieren
- Überprüfen Sie die Einstellungen der problematischen Erweiterung auf Proxy- oder HTTPS-Abfangoptionen
Erweiterungen, die eigenes DNS-over-HTTPS (DoH) oder Proxy-Routing implementieren, sind die häufigsten Verursacher. Der Wechsel zu einem sauberen Browser-Profil (`chrome://settings/manageProfile`) ist eine schnellere Isolierungsmethode als das einzelne Umschalten von Erweiterungen.
Lösung 6: DNS-Cache leeren
Obwohl eine DNS-Cache-Beschädigung keine direkten Zertifikatsvalidierungsfehler verursacht, kann sie den Datenverkehr an eine falsche IP-Adresse leiten — eine, die möglicherweise ein anderes (und ungültiges) Zertifikat für die Domain bereitstellt. Dies ist besonders relevant in CDN-Umgebungen, in denen sich IP-Adressen häufig ändern.
Windows:
“`
ipconfig /flushdns
“`
macOS:
“`bash
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
“`
Linux:
“`bash
sudo systemd-resolve –flush-caches
or for older systems:
sudo service nscd restart
“`
Überprüfen Sie nach dem Leeren, ob Sie die richtige IP mit `nslookup yourdomain.com` oder `dig yourdomain.com` auflösen, und bestätigen Sie, dass die IP mit den Aufzeichnungen Ihres Hosting-Anbieters übereinstimmt.
Lösung 7: TLS-Protokolleinstellungen überprüfen und anpassen
Moderne Browser haben TLS 1.0 und TLS 1.1 als veraltet eingestuft. Wenn ein Server so konfiguriert ist, dass er nur veraltete Protokolle anbietet, kann der Browser die Verbindung vollständig ablehnen. Umgekehrt entfernen einige Unternehmensnetzwerkgeräte TLS 1.3-Header und erzwingen ein Downgrade, das Validierungsfehler auslösen kann.
Chrome-TLS-Flags überprüfen:
- Navigieren Sie zu `chrome://flags/`
- Suchen Sie nach „TLS” und überprüfen Sie, ob keine experimentellen Flags ein Downgrade erzwingen
Serverseitige TLS-Konfiguration überprüfen (für Website-Betreiber):
Verwenden Sie den SSL Labs Server Test unter `ssllabs.com/ssltest/`, um die Protokollunterstützung Ihres Servers zu prüfen. Ein ordnungsgemäß konfigurierter Server sollte TLS 1.2 und TLS 1.3 unterstützen, wobei TLS 1.0/1.1 explizit deaktiviert ist.
Nginx-Beispiel — Durchsetzung moderner TLS:
“`nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
“`
Apache-Äquivalent:
“`apache
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
“`
Lösung 8: SSL-Zertifikat prüfen und erneuern (Serverbesitzer)
Wenn Sie den Server verwalten, ist dies die direkteste serverseitige Lösung. Ein abgelaufenes Zertifikat ist die einfachste Ursache für `NET::ERR_CERT_DATE_INVALID` auf der Serverseite.
Zertifikat im Browser prüfen:
- Klicken Sie auf das Schloss-Symbol (oder das Warnsymbol) in der Adressleiste
- Wählen Sie Verbindung ist nicht sicher > Zertifikat ist nicht gültig
- Überprüfen Sie die Felder Gültig von und Gültig bis
Prüfung über die Befehlszeile (zuverlässiger):
“`bash
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
“`
Dies gibt die Zeitstempel `notBefore` und `notAfter` direkt aus dem bereitgestellten Live-Zertifikat aus.
Let’s Encrypt-Zertifikat mit Certbot erneuern:
“`bash
certbot renew –force-renewal
systemctl reload nginx # or apache2
“`
Erneuerung automatisieren (die richtige langfristige Lösung):
“`bash
Add to crontab or systemd timer
0 3 * * * certbot renew –quiet –post-hook "systemctl reload nginx"
“`
Let’s Encrypt-Zertifikate laufen alle 90 Tage ab. Die automatische Erneuerung sollte bei der Bereitstellung konfiguriert werden, nicht nach dem ersten Ablauf. Wenn Sie einen VPS mit cPanel betreiben, übernimmt AutoSSL dies automatisch — überprüfen Sie jedoch, ob es aktiviert ist und ob der Erneuerungsauftrag nicht stillschweigend fehlschlägt.
Häufige serverseitige Fallstricke:
- Unvollständige Zertifikatskette: Der Server stellt das Blattzertifikat bereit, aber nicht das Zwischenzertifikat der CA. Browser, die das Zwischenzertifikat nicht im Cache haben, schlagen bei der Validierung fehl. Verketten Sie immer die vollständige Kette: `cat yourdomain.crt intermediate.crt > fullchain.crt`
- Falsches Zertifikat an virtuellen Host gebunden: In Nginx oder Apache mit mehreren virtuellen Hosts kann die falsche `ssl_certificate`-Direktive für die Domain aktiv sein. Überprüfen Sie mit `nginx -T | grep ssl_certificate`
- Zertifikat für falsche Domain ausgestellt: Ein Wildcard-Zertifikat `*.example.com` deckt `example.com` (die Apex-Domain) nicht ab — beide müssen explizit als SANs aufgeführt sein
Wenn Sie Zertifikatsoptionen evaluieren, umfassen SSL-Zertifikate von einem vertrauenswürdigen Anbieter die richtige Kettenkonfiguration und Kompatibilität mit allen gängigen Browsern.
Lösung 9: Im Inkognito-/Privatbrowsing-Modus testen
Der Inkognito-Modus startet eine Browser-Sitzung ohne Erweiterungen, ohne zwischengespeicherte Daten und ohne gespeicherte Cookies. Es ist die schnellste Methode, um festzustellen, ob der Fehler umgebungsbedingt (Cache, Erweiterung) oder strukturell (Serverzertifikat) ist.
Chrome: `Ctrl + Shift + N` (Windows/Linux) oder `Command + Shift + N` (macOS)
Firefox: `Ctrl + Shift + P`
Edge: `Ctrl + Shift + N`
Ergebnis interpretieren:
- Fehler verschwindet im Inkognito-Modus: Die Ursache ist eine zwischengespeicherte Antwort, eine gespeicherte HSTS-Richtlinie oder eine Browser-Erweiterung. Fahren Sie mit den Lösungen 2 und 5 fort.
- Fehler bleibt im Inkognito-Modus bestehen: Die Ursache ist serverseitig oder netzwerkseitig. Fahren Sie mit den Lösungen 8, 10 und 12 fort.
Lösung 10: In verschiedenen Netzwerken testen
Netzwerkgeräte — Unternehmens-Firewalls, transparente ISP-Proxys und einige Heimrouter — führen SSL-Inspektionen oder DNS-Manipulationen durch, die Zertifikatsfehler verursachen können. Das Testen in verschiedenen Netzwerken isoliert diese Variable.
Testmethodik:
- Testen Sie in Ihrem aktuellen Netzwerk (z. B. Büro-WLAN)
- Testen Sie über mobile Daten (umgeht das lokale Netzwerk vollständig)
- Testen Sie über ein VPN (ändert sowohl den Netzwerkpfad als auch den DNS-Resolver)
- Testen Sie mit einem anderen DNS-Resolver: Setzen Sie Ihr DNS auf `1.1.1.1` (Cloudflare) oder `8.8.8.8` (Google) und testen Sie erneut
Wenn der Fehler nur in einem bestimmten Netzwerk auftritt, liegt das Problem bei der SSL-Inspektion oder DNS-Konfiguration dieses Netzwerks — nicht beim Serverzertifikat oder Ihrem Browser.
Für Website-Betreiber: Wenn Benutzer in Unternehmensnetzwerken diesen Fehler melden, während andere ihn nicht sehen, verwendet Ihr Zertifikat möglicherweise eine CA, die nicht im Unternehmens-Vertrauensspeicher enthalten ist, oder der Unternehmens-Proxy signiert Ihr Zertifikat nicht korrekt neu. Der Wechsel zu einer weit verbreiteten CA (DigiCert, Sectigo, Let’s Encrypt) löst die meisten Probleme mit Unternehmens-Vertrauensspeichern.
Lösung 11: Windows-SSL-Status löschen
Der Windows-SSL-Status ist ein systemweiter Cache, der vom Browser-Cache getrennt ist. Er speichert Sitzungsschlüssel und Zertifikatsinformationen für SSL-Verbindungen. Ein beschädigter Eintrag kann zu anhaltenden Validierungsfehlern führen, selbst nachdem der Browser-Cache geleert wurde.
Schritte:
- Öffnen Sie die Systemsteuerung (suchen Sie im Startmenü danach)
- Navigieren Sie zu Netzwerk und Internet > Internetoptionen
- Klicken Sie auf die Registerkarte Inhalte
- Klicken Sie auf SSL-Status löschen
- Klicken Sie auf OK
- Starten Sie alle Browser-Instanzen neu
Dies betrifft alle Browser, die den Windows-SSL/TLS-Stack verwenden (Internet Explorer, Edge Legacy und einige Chromium-basierte Browser in bestimmten Konfigurationen). Chrome und Firefox pflegen ihre eigenen Zertifikatsspeicher unabhängig, daher ist diese Lösung am relevantesten für Edge- und IE-basierte Unternehmensumgebungen.
Lösung 12: An den Website-Administrator eskalieren
Wenn alle clientseitigen Lösungen ausgeschöpft wurden und der Fehler auf mehreren Geräten und Netzwerken weiterhin besteht, ist das Problem definitiv serverseitig. Der Website-Betreiber muss mit spezifischen technischen Details benachrichtigt werden, um die Lösung zu beschleunigen.
Was in Ihren Bericht aufgenommen werden sollte:
- Der genaue Fehlercode (`NET::ERR_CERT_DATE_INVALID`)
- Die Zertifikatsdetails aus dem Browser-Inspektor (Aussteller, Gültigkeitsdaten, SANs)
- Ausgabe von `openssl s_client -connect domain.com:443`, falls Sie es ausführen können
- Ob der Fehler auf mehreren Browsern und Geräten auftritt
- Ob der Fehler konsistent oder intermittierend ist (intermittierende Fehler weisen oft auf einen Load Balancer hin, der mehrere Zertifikate bereitstellt, von denen nur einige abgelaufen sind)
Für Website-Administratoren, die solche Berichte erhalten: Überprüfen Sie, ob Ihre Zertifikatserneuerungs-Automatisierung funktioniert. Ein häufiges Fehlermuster ist eine Certbot-Erneuerung, die erfolgreich ist, aber der Webserver nicht neu geladen wird, sodass er weiterhin das alte abgelaufene Zertifikat aus dem Speicher bereitstellt. Koppeln Sie die Erneuerung immer mit einem Server-Reload-Hook.
Wenn Sie einen Dedicated Server oder eine VPS-Umgebung verwalten, richten Sie Überwachungsalarme für den Zertifikatsablauf mit Tools wie `check_ssl_cert`, Nagios-Plugins oder einem Dienst wie dem SSL-Monitoring von UptimeRobot ein — der 30, 14 und 7 Tage vor dem Ablauf Alarme sendet.
Serverseitiges Zertifikatsmanagement: Best Practices für Website-Betreiber
Für Administratoren, die ihre eigene Infrastruktur verwalten, ist die reaktive Zertifikatserneuerung ein Risiko. Die folgenden Praktiken eliminieren `NET::ERR_CERT_DATE_INVALID` als wiederkehrendes Problem.
Proaktives Zertifikatslebenszyklusmanagement:
- Erneuerung automatisieren: Verwenden Sie Certbot mit einem systemd-Timer oder Cron-Job. Für kommerzielle Zertifikate verwenden Sie ACME-Clients, die mit der API Ihrer CA kompatibel sind
- Ablaufdaten überwachen: Integrieren Sie Zertifikatsablaufprüfungen in Ihren Monitoring-Stack. Prometheus mit dem `blackbox_exporter` kann TLS-Ablaufmetriken erfassen
- Zertifikate mit längerer Gültigkeit für kritische Infrastruktur verwenden: Während der 90-Tage-Zyklus von Let’s Encrypt für die meisten Anwendungsfälle geeignet ist, reduzieren OV- und EV-Zertifikate mit 1-jähriger Gültigkeit die Erneuerungshäufigkeit für hochwertige Domains
- Die vollständige Kette validieren: Führen Sie nach jeder Erneuerung `openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt -untrusted intermediate.crt yourdomain.crt` aus, um die Kettenintegrität zu bestätigen
- Aus externer Perspektive testen: Verwenden Sie `curl -v https://yourdomain.com` von einem Gerät, das nicht Ihr Server ist, um zu simulieren, was Browser sehen
Für Umgebungen mit VPS-Kontrollpanels: Die meisten modernen Kontrollpanels (cPanel, Plesk, DirectAdmin) umfassen integriertes SSL-Management mit AutoSSL oder ähnlichem. Überprüfen Sie, ob die AutoSSL-Aufgabe geplant ist, und überprüfen Sie monatlich deren Protokolle.
Überlegungen zu Multi-Domain- und Wildcard-Zertifikaten:
- Wildcard-Zertifikate (`*.example.com`) decken die Apex-Domain (`example.com`) nicht ab, es sei denn, sie wird explizit als SAN hinzugefügt
- Multi-Domain-Zertifikate (SAN) müssen neu ausgestellt — nicht nur erneuert — werden, wenn neue Subdomains hinzugefügt werden
- Certificate Pinning (HPKP) ist veraltet und sollte nicht verwendet werden; es kann zu einer dauerhaften Sperrung führen, wenn das gepinnte Zertifikat abläuft
Vergleich: Clientseitige vs. serverseitige Lösungen auf einen Blick
| Lösung | Gilt für | Schwierigkeit | Zeit zur Lösung |
|---|
| — | — | — | — |
|---|
| Systemuhr synchronisieren | Client | Trivial | Unter 2 Minuten |
|---|
| Browser-Cache + HSTS löschen | Client | Einfach | Unter 5 Minuten |
|---|
| Browser aktualisieren | Client | Einfach | Unter 5 Minuten |
|---|
| Antivirus-HTTPS-Scanning deaktivieren | Client | Mittel | 5–10 Minuten |
|---|
| Erweiterungen deaktivieren/prüfen | Client | Einfach | 5–10 Minuten |
|---|
| DNS-Cache leeren | Client/Netzwerk | Einfach | Unter 2 Minuten |
|---|
| TLS-Protokolleinstellungen anpassen | Client/Server | Mittel | 10–20 Minuten |
|---|
| SSL-Zertifikat erneuern/ersetzen | Server | Mittel | 15–60 Minuten |
|---|
| Im Inkognito-Modus testen | Diagnose | Trivial | Unter 1 Minute |
|---|
| In einem anderen Netzwerk testen | Diagnose | Einfach | Unter 5 Minuten |
|---|
| Windows-SSL-Status löschen | Client (Windows) | Einfach | Unter 5 Minuten |
|---|
| Website-Administrator kontaktieren | Eskalation | N/A | Variabel |
|---|
Entscheidungsmatrix und technische Checkliste
Verwenden Sie diese Checkliste, um `NET::ERR_CERT_DATE_INVALID` systematisch statt durch zufälliges Anwenden von Lösungen zu beheben.
Schritt 1 — Umfang isolieren:
- [ ] Erscheint der Fehler im Inkognito-Modus?
- [ ] Erscheint der Fehler auf einem zweiten Gerät (Telefon, ein anderer Computer)?
- [ ] Erscheint der Fehler bei mobilen Daten?
Schritt 2 — Wenn nur clientseitig (Fehler verschwindet auf anderen Geräten):
- [ ] Systemuhr überprüfen und synchronisieren (NTP)
- [ ] Browser-Cache, Cookies und HSTS-Einträge löschen
- [ ] Windows-SSL-Status löschen (nur Windows)
- [ ] Alle Erweiterungen deaktivieren und erneut testen
- [ ] Antivirus-HTTPS-Scanning deaktivieren und erneut testen
- [ ] DNS-Cache leeren
Schritt 3 — Wenn serverseitig (Fehler bleibt auf allen Geräten/Netzwerken bestehen):
- [ ] `openssl s_client -connect domain.com:443` ausführen und `notAfter` überprüfen
- [ ] Überprüfen, ob die vollständige Zertifikatskette bereitgestellt wird (nicht nur das Blattzertifikat)
- [ ] Bestätigen, dass das richtige Zertifikat an den richtigen virtuellen Host gebunden ist
- [ ] Zertifikat erneuern und Webserver neu laden
- [ ] Überprüfen, ob SANs alle erforderlichen Hostnamen enthalten (Apex + www + Subdomains)
- [ ] SSL Labs-Test ausführen, um nach der Erneuerung eine A- oder A+-Bewertung zu bestätigen
Schritt 4 — Wiederholung verhindern:
- [ ] Automatische Zertifikatserneuerung mit einem Server-Reload-Hook konfigurieren
- [ ] Externes Zertifikatsablauf-Monitoring mit Alarmen 30/14/7 Tage vor Ablauf einrichten
- [ ] Zertifikatserneuerungsverfahren im Runbook dokumentieren
Für Teams, die mehrere Domains verwalten, sollten Domain-Registrierung und Zertifikatsmanagement unter einer einzigen Verwaltungsoberfläche zentralisiert werden, um zu verhindern, dass einzelne Domain-Zertifikate unbemerkt ablaufen.
FAQ
F: Kann NET::ERR_CERT_DATE_INVALID auftreten, auch wenn das Zertifikat nicht abgelaufen ist?
Ja. Dieser Fehler wird ausgelöst, wenn die TLS-Bibliothek des Browsers das Zeitfenster des Zertifikats nicht validieren kann — was passiert, wenn Ihre Systemuhr auf ein Datum außerhalb des `notBefore`–`notAfter`-Bereichs des Zertifikats eingestellt ist, auch wenn das Zertifikat selbst technisch gültig ist. Eine Uhr, die zwei Jahre in der Zukunft eingestellt ist, lässt ein aktuell gültiges Zertifikat als abgelaufen erscheinen.
F: Warum erscheint der Fehler in einem Browser, aber nicht in einem anderen auf demselben Gerät?
Chrome, Firefox und Edge pflegen teilweise unabhängige Zertifikatsspeicher und TLS-Stacks. Firefox verwendet seine eigene NSS-Bibliothek und seinen eigenen Root-Speicher, während Chrome den Betriebssystem-Zertifikatsspeicher unter Windows und macOS verwendet. Eine in einem Browser installierte Erweiterung oder eine zwischengespeicherte HSTS-Richtlinie im Speicher eines Browsers kann dazu führen, dass der Fehler nur in einem Browser auftritt, während andere normal funktionieren.
F: Ist es sicher, auf „Trotzdem fortfahren” zu klicken, wenn dieser Fehler auftritt?
Nein. Im Gegensatz zu einigen anderen Zertifikatsfehlern weist `NET::ERR_CERT_DATE_INVALID` auf einen echten Fehler in der kryptografischen Vertrauenskette hin. Das Fortfahren bedeutet, dass Ihre Verbindung nicht verifiziert ist — Sie können nicht bestätigen, dass Sie mit dem legitimen Server kommunizieren, und die Verbindung könnte abgefangen werden. Fahren Sie nur fort, wenn Sie der Website-Betreiber sind und Ihren eigenen Server während eines Wartungsfensters testen.
F: Wie verhindere ich den SSL-Zertifikatsablauf auf einem von mir verwalteten Server?
Konfigurieren Sie die automatische Erneuerung mit Certbot oder einem gleichwertigen ACME-Client und fügen Sie einen Post-Renewal-Hook hinzu, der Ihren Webserver neu lädt. Richten Sie zusätzlich externes Monitoring ein (UptimeRobot, Datadog oder ein benutzerdefiniertes `check_ssl_cert`-Skript), das Sie 30 Tage vor dem Ablauf benachrichtigt. Das Verlassen auf manuelle Erneuerung ist betrieblich unzuverlässig — Automatisierung ist die einzige zuverlässige Lösung.
F: Beeinflusst dieser Fehler SEO-Rankings?
Direkt und indirekt. Googlebot indiziert keine HTTPS-Ressourcen, die mit einem ungültigen Zertifikat bereitgestellt werden, was diese Seiten vollständig aus dem Index entfernt. Wenn Ihre Website außerdem HSTS konfiguriert hat, weigern sich Browser, sie über HTTP als Fallback zu laden, was die Website für Benutzer und Crawler vollständig unzugänglich macht, bis das Zertifikat behoben ist. Die Zertifikatsgesundheit ist eine Voraussetzung für die Aufrechterhaltung der Suchsichtbarkeit, keine optionale Überlegung.