Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Mac OS X 10.11 El Capitan: Zertifikatsprobleme stören den Web-Browser

Aufgrund eines abgelaufenen Root-Zertifikats lassen sich viele Websites auf alten Macs nicht mehr besuchen. Ein aktuelles Zertifikat schafft Abhilfe.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 5 Min.
Mac & i
Von
Inhaltsverzeichnis

Besitzer älterer Macs, auf denen Mac OS X 10.11 El Capitan läuft, können auf Probleme beim Surfen stoßen: Seit kurzem zeigen Browser wie beispielsweise Safari, Opera, Vivaldi oder Brave beim Abruf bestimmter Websites die Meldung: "Diese Verbindung ist nicht privat" an – statt wie gewohnt den Inhalt darzustellen. Wer das Zertifikat einblendet, bekommt zu lesen: "Root ist abgelaufen".

Ursache ist ein altes Root-Zertifikat von Let's Encrypt (LE), das schon Ende September seine Gültigkeit verloren hat, weshalb damit signierte Verbindungen vom Browser als unsicher ablehnt werden.

Zahlreiche populäre Websites nutzen Let's Encrypt, um kostengünstig ihre Dienste über eine verschlüsselte Verbindung via HTTPS anbieten zu können. Dazu generieren Sie regelmäßig ein neues Zertifikat, dessen Gültigkeit mit dem Root-Zertifikat "ISRG Root X1" validiert wird. Dieses ist Bestandteil des Betriebssystems, wird von Apple aber erst seit Mac OS X 10.12.1 Sierra in einer neueren Version mitgeliefert. Auch auf anderen alten Betriebssystemen kann es zu entsprechenden Einschränkungen kommen.

Sonderfall Apple Mail

Bei der verschlüsselten Übertragung ist neben den korrekten Zertifikaten auch entscheidend, welche Versionen des TLS-Protokolls (Transport Layer Security) unterstützt werden. TLS 1.0 und TLS 1.1 gelten als antiquiert und einige Mail-Provider wie die Telekom haben die Unterstützung dafür mittlerweile eingestellt. Entsprechend benötigt man einen Mail-Client, der TLS 1.2 oder höher versteht. Obwohl Apple in El Capitan mit dem Update auf 10.11.6 noch TLS 1.2 nachgereicht hat, kann die Mail-App damit nicht umgehen. Das klappt erst ab macOS 10.12 Sierra. Hier bleibt Ihnen nur noch, etwa auf Thunderbird v78.14.0 (kostenlos) zu wechseln, der TLS 1.2 und höher unterstützt. Die Version stammt vom 7.9.2021, neuere laufen nur noch mit macOS 10.12 Sierra und höher.

Aktuelles Root-Zertifikat in macOS installieren

Unterstützt der Mac keine neuere macOS-Version als OS X 10.11 El Capitan, lässt sich das aktuelle Root-Zertifikat selbst installieren – wenn man das nicht mehr mit Sicherheitsupdates versorgte Betriebssystem weiterhin zum Surfen einsetzen will.

Das Root-Zertifikat findet sich auf der Seite letsencrypt.org/certificates. Falls man einen anderen Browser als Firefox verwendet, wird auch diese Seite zunächst abgelehnt. Firefox verlässt sich bei den Root-Zertifikaten nicht auf das Betriebssystem und hat seit Version 50 das neue Root-Zertifikat an Bord. In Safari bekommt man dennoch Zugriff, indem man unter der Fehlermeldung auf "Details einblenden" und dann auf den Link "öffne diese Seite" klickt. Die erneute Warnung muss mit "Website besuchen" bestätigt werden – auch die Eingabe des Admin-Kennwort ist erforderlich.

Aktuelles Root-Zertifikat für Let’s Encrypt in OS X 10.11 installieren (4 Bilder)
Bevor Sie das aktuelle Wurzelzertifikat von letsencrypt.org laden können, müssen Sie der Website letsencrypt.org zunächst Ihr Vertrauen aussprechen, weil die Seite ebenfalls vom abgelaufenen Zertifikat betroffen ist.

Laden Sie dann von letsencrypt.org das Zertifikat "ISRG Root X1, Self-signed" im Format "der" herunter ("pem" wäre ebenfalls möglich). Sicherheitshalber sollten man nach dem Download die SHA-1-Prüfsumme im Terminal überprüfen:

shasum -a 1 ~/Downloads/isrgrootx1.der

Als Ergebnis muss der Wert cabd2a79a1076a31f21d253635cb039d4329a5e8 ausgegeben werden.

Ist das korrekt, öffnen Sie die Datei "isgrootx1.der" per Doppelklick. Daraufhin startet die Schlüsselbundverwaltung und fragt, in welchem Schlüsselbund Sie das Zertifikat importieren möchten. Hier empfiehlt sich die Option "System", damit alle Benutzer-Accounts davon profitieren; "Anmeldung" betrifft nur den aktuellen Benutzer. Wählen Sie nicht "Lokale Objekte" oder "System-Root" aus.

Lesen Sie auch

Falls Sie die Datei versehentlich in "Anmeldung" importiert haben, können Sie es mit der Maus in die Seitenleiste auf "System" ziehen. Übrigens: in neueren Versionen von macOS fehlt der Import-Dialog, das Zertifikat landet automatisch in den gerade in der Seitenleiste ausgewählten Schlüsselbund.

Suchen Sie nun nach "ISRG Root X1" und öffnen das Zertifikat per Doppelklick. Klappen Sie in dem Fenster den Abschnitt "Vertrauen" auf und wählen neben "Bei Verwendung dieses Zertifikats" die Option "Immer vertrauen aus". Nach dem Schließen des Fensters müssen Sie die Änderung mit Ihrem Admin-Kennwort bestätigen. Jetzt sollten per Let’s Encrypt signierte Seiten wieder aufrufbar sein.

Root-Zertifikat per Terminal hinzufügen

Sollten Safari weiterhin bei vereinzelten Websites die Meldung "Safari kann die Seite XYZ nicht öffnen, da Safari keine sichere Verbindung zum Server aufbauen kann." ausspucken, kann man versuchen, das heruntergeladene Wurzelzertifikat über das Terminal zum Schlüsselbund hinzuzufügen:

sudo security -v add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/Downloads/isrgrootx1.der

Mit diesem Kommando vertraut Mac OS X dem Zertifikat automatisch.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten