Ohne ein SSL-Zertifikat kann eine Website nicht richtig funktionieren. Wenn Sie keine auf Ihrem Server installiert haben, zeigen die Browser an, dass Ihre Verbindung nicht sicher ist. Das Problem mit SSL-Zertifikaten ist, dass sie eine unknackbare Verschlüsselung bieten, aber anfällig für verschiedene Fehler sind, die auf technische Pannen oder fehlerhafte Konfiguration zurückzuführen sind.
Ein häufiges Problem, das Benutzer plagt, ist der Fehlercode 525 (SSL Handshake Failed). In dieser Anleitung erklären wir, was es ist und wie man den Cloudflare-Fehler 525 behebt.
Doch zunächst wollen wir uns ansehen, was der SSL Handshake ist.
Inhaltsübersicht
- Was ist ein SSL-Handshake?
- Was ist der Cloudflare SSL Handshake Failure Error 525?
- Was ist die Ursache für das Scheitern des SSL-Handshake?
- Wie behebt man den Fehler “SSL Handshake fehlgeschlagen”?
Was ist ein SSL-Handshake?
Ohne näher auf die Funktionsweise von SSL-Zertifikaten einzugehen, ist der SSL-Handshake der erste Schritt beim Aufbau einer sicheren HTTPS-Verbindung zwischen Browsern und Webservern. Wenn Sie eine Website in Ihrem Browser aufrufen, sendet dieser eine Anfrage für eine verschlüsselte Verbindung an den Server.
Der Vorgang läuft im Hintergrund in wenigen Millisekunden ab. Damit die Verbindung erfolgreich hergestellt werden kann, müssen sowohl Ihr Browser als auch der Server der Website eine Reihe von Prüfungen bestehen, z. B. die Version des SSL-Zertifikats, die Cipher Suites, mit denen die Kommunikation verschlüsselt wird, usw.
Ohne den SSL-Handshake können Browser keine HTTPS-Verbindung mit den Servern herstellen. Es ist ein kritischer Teil, der aus verschiedenen Gründen schief gehen kann.
Sehen wir uns an, warum der SSL-Handshake manchmal fehlschlägt.
Was ist der SSL Handshake Failure Error 525?
Der HTTP-Statuscode 525 wird als “SSL Handshake Failed” bezeichnet. Dieser Statuscode zeigt an, dass der SSL/TLS-Handshake-Prozess zwischen dem Server und dem Client, bei dem es sich um einen Webbrowser oder einen Cloud-Dienstanbieter handeln kann, fehlgeschlagen ist.
Beim Versuch, eine Website mit HTTPS zu besuchen, wird ein SSL/TLS-Handshake eingeleitet. Dieses Verfahren dient dazu, eine sichere und verschlüsselte Verbindung zwischen dem Browser des Nutzers und dem Server der Website herzustellen. Treten bei diesem Handshake Probleme auf, kann dies zum Auftreten eines 525-Fehlers führen.
Was verursacht den SSL Handshake Failure Error Code 525?
Wenn Sie die Fehlermeldung SSL-Handshake fehlgeschlagen erhalten, bedeutet dies, dass der Browser und die Server keine sichere Verbindung herstellen konnten. In unserem Fall zeigt der Cloudflare-Fehler 525 an, dass der SSL-Handshake zwischen einer Domain, die das Cloudflare CDN (Content Delivery Network) nutzt, und dem Ursprungsserver fehlgeschlagen ist.
Das Tückische an allen SSL-Fehlern ist, dass sie sowohl auf der Client- als auch auf der Serverseite auftreten können, und der Benutzer, der den Fehler entdeckt, kann ihn nicht immer beheben.
Hier sind einige mögliche Ursachen für den Cloudflare-Fehler 525 auf der Client-Seite:
- Eine Verbindung wurde von einer dritten Partei abgefangen.
- Browser-Konfiguration oder -Version
- Falsches Datum und falsche Uhrzeit auf dem Computer des Kunden.
Im Folgenden sind einige serverseitige Probleme aufgeführt:
- Eine nicht übereinstimmende Cipher Suite.
- Ein vom Client verwendetes Protokoll, das vom Server nicht unterstützt wird.
- Ein unvollständiges (z. B. ein fehlendes Zwischenzertifikat), ungültiges oder abgelaufenes Zertifikat.
Wie behebt man den Fehler “SSL Handshake fehlgeschlagen”?
Es gibt keine allgemeingültige Lösung für diesen speziellen Fehler, da er an verschiedenen Stellen auftreten kann. Die Lösung besteht darin, mehrere Methoden auszuprobieren, bis Sie das Problem gelöst haben.
Im Folgenden stellen wir einige mögliche schnelle Lösungen vor.
1. Prüfen Sie die Gültigkeit Ihres SSL-Zertifikats
SSL-Zertifikate sind ein Jahr lang gültig. Wenn Sie sie nicht vor dem Ablaufdatum erneuern, können die Browser den SSL-Handshake nicht herstellen und stufen Ihre Website als nicht sicher ein.
Die Erneuerung eines SSL-Zertifikats ist ähnlich wie die Beantragung eines neuen Zertifikats. Sie müssen eine CSR (Certificate Signing Request) an die Zertifizierungsstelle übermitteln und den Überprüfungsprozess bestehen. Um den Status Ihres Zertifikats zu überprüfen, klicken Sie auf das Vorhängeschloss-Symbol neben der URL Ihrer Website und sehen Sie sich die Zertifikatsdetails an. Sie werden sehen, wann sie abläuft.
Alternativ können Sie ein kostenloses externes Tool verwenden, um Ihr Zertifikat auf mögliche Fehler und Schwachstellen zu überprüfen. Ein Tiefenscan kann andere potenzielle Probleme innerhalb Ihrer Konfiguration aufdecken. Wenn Ihr Zertifikat nicht mehr gültig ist oder widerrufen wurde, sollte eine Erneuerung das Problem beheben.
2. Stellen Sie sicher, dass Ihr Server SNI unterstützt.
SNI steht für Server Name Indication, eine Erweiterung des TLS-Protokolls (Transport Layer Security). Es ist Teil des SSL-Handshake-Prozesses und stellt sicher, dass Client-Geräte das richtige SSL-Zertifikat für die Website sehen können, die sie zu erreichen versuchen. Die SNI ermöglicht es einem Webserver, mehrere TLS-Zertifikate für eine IP-Adresse zu hosten.
Nicht-technische Benutzer können dasselbe SSL-Tool verwenden, das wir für die vorhergehende Methode erwähnt haben, um festzustellen, ob eine Website SNI benötigt oder nicht. Wenn es heißt, dass “Ihre Website nur in Browsern mit SNI-Unterstützung funktioniert”, sollten Sie Ihren Hosting-Anbieter um Unterstützung bitten.
Eine technischere Methode besteht darin, das Dienstprogramm Open SSL zu verwenden und in der erweiterten Kopfzeile nach dem Feld “server_name” zu suchen, um zu sehen, ob die richtigen Zertifikate angezeigt werden. Sie können openssl s_client mit und ohne die Option -servername verwenden:
Ohne SNI
$ openssl s_client -connect host:port
SNI verwenden
$ openssl s_client -connect host:port -servername host
Wenn die Ausgabe zwei verschiedene Zertifikate mit demselben Namen ist, ist die SNI aktiviert, und der Schuldige für das Scheitern des SSL-Handshakes liegt woanders. Wenn der Anruf ohne SNI jedoch keine SSL-Verbindung aufbauen kann, ist SNI entweder deaktiviert oder nicht richtig konfiguriert. Um dieses Problem zu beheben, können Sie Ihren Server wechseln oder zu einer dedizierten IP-Adresse wechseln.
3. Sicherstellen, dass die Cipher Suites übereinstimmen
Eine SSL-Chiffre oder eine SSL-Chiffre-Suite ist eine Reihe von Algorithmen oder Anweisungen, die Browsern und Webservern helfen, eine sichere Verbindung zueinander herzustellen. Eine Verschlüsselungsfehlanpassung tritt auf, wenn der Browser keine sichere Verbindung mit einem Webserver herstellen kann, der HTTPS und SSL verwendet. In unserem Fall unterstützen die Cipher Suites, die Ihr Server verwendet, nicht die von Cloudflare verwendeten, was zu dem “SSL Handshake Failed Error” führt.
Eine mögliche Ursache für die Nichtübereinstimmung der Chiffrierung könnte die inzwischen veraltete RC4-Chiffrierungssuite sein. Sie wurde in der Chrome-Version 48 entfernt, kann aber in größeren Unternehmenssystemen, bei denen die Aktualisierung länger dauert, weiterhin auftreten.
Um zu prüfen, welche Chiffren das Problem verursachen, empfehlen wir den Server-Test von QualySSL. Führen Sie einfach einen Schnellscan durch und suchen Sie im Abschnitt Cipher Suites nach den Verschlüsselungsdetails. Wenn einige Chiffren die Kennzeichnung “WEAK” tragen, müssen Sie sie möglicherweise ersetzen oder die Lösungen ausprobieren, die wir in diesem Leitfaden bereits vorgestellt haben.
4. Aktualisieren Sie das Datum und die Uhrzeit auf Ihrem Gerät
Wenn das Datum und die Uhrzeit auf Ihrem Computer nicht mit dem globalen Internet-Zeitserver synchronisiert sind, zeigt Ihr Browser möglicherweise die Fehlermeldung “SSL Handshake Failed Error” an. Hier erfahren Sie, wie Sie Ihr Datum und Ihre Uhrzeit aktualisieren können:
Unter Windows:
- Klicken Sie auf die Windows-Taste und öffnen Sie die Systemsteuerung
- Uhr und Region auswählen
- Wählen Sie unter Datum und Uhrzeit die Option Uhrzeit und Datum einstellen
- Öffnen Sie die Registerkarte Internet-Zeit
- Wenn Ihr Computer nicht so eingestellt ist, dass er automatisch nach einem bestimmten Zeitplan synchronisiert wird, klicken Sie auf Einstellungen ändern, und aktivieren Sie das Kontrollkästchen Mit einem Internet-Zeitserver synchronisieren.
Wenn Sie einen Mac verwenden:
- Wählen Sie Apple Menü > Systemeinstellungen und klicken Sie dann auf Datum und Uhrzeit.
- Klicken Sie auf das Schlosssymbol in der Ecke des Fensters und geben Sie dann Ihr Administratorkennwort ein, um die Einstellungen zu entsperren.
- Vergewissern Sie sich, dass im Bereich Datum und Uhrzeit die Option Datum und Uhrzeit automatisch einstellen aktiviert ist und Ihr Mac mit dem Internet verbunden ist.
Schlussfolgerung
SSL-Fehler sind kein schöner Anblick, und zu allem Überfluss kann es eine Weile dauern, bis Sie herausfinden, was sie auslöst. In dieser Hinsicht ist der Fehlercode 525 “SSL Handshake Failure” keine Ausnahme. Um das Problem zu beheben, müssen Sie Ihr SSL-Zertifikat mit einem SSL-Scanner-Tool auf mögliche Schwachstellen untersuchen und eine der in diesem Leitfaden beschriebenen Methoden ausprobieren.
Weitere Informationen zur Fehlerbehebung bei SSL-Fehlern finden Sie in unseren ausführlichen Tutorials zur Behebung verschiedener SSL-Fehler.
Wenn Sie Ungenauigkeiten finden oder Details zu dieser SSL-Anleitung hinzufügen möchten, können Sie uns gerne Ihr Feedback an [email protected] senden. Wir freuen uns über Ihren Beitrag! Ich danke Ihnen.
Internet-Illustrationen von Storyset
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10