NET::ERR_CERT_AUTHORITY_INVALID: So beheben Sie den Fehler (Chrome, Edge, Firefox)
Was ist NET::ERR_CERT_AUTHORITY_INVALID?
NET::ERR_CERT_AUTHORITY_INVALID ist ein Browser-Sicherheitsfehler, der auftritt, wenn Chrome, Edge oder ein anderer Chromium-basierter Browser der Zertifizierungsstelle (CA), die das SSL-Zertifikat der Website signiert hat, nicht vertraut. Der Browser blockiert die Verbindung und zeigt die Warnung "Ihre Verbindung ist nicht sicher" an, um Sie vor potenziell betrügerischen Websites zu schützen.
Im Gegensatz zu ERR_SSL_PROTOCOL_ERROR, bei dem der TLS-Handshake selbst fehlgeschlagen ist, bedeutet ERR_CERT_AUTHORITY_INVALID, dass der Handshake abgeschlossen wurde, aber die Zertifikatsvalidierung fehlschlug. Der Browser hat das Zertifikat empfangen, überprüft und als nicht vertrauenswürdig eingestuft.
Der interne Chromium-Fehlercode ist net::ERR_CERT_AUTHORITY_INVALID (Fehlercode -202). Er gehört zur Familie der Zertifikatsfehler, zu der auch verwandte Fehler wie ERR_CERT_DATE_INVALID und ERR_SSL_VERSION_OR_CIPHER_MISMATCH gehören.
Wie ERR_CERT_AUTHORITY_INVALID in verschiedenen Browsern aussieht
Verschiedene Browser zeigen unterschiedliche Fehlermeldungen für dasselbe zugrunde liegende Problem an. Zu wissen, worauf Sie achten müssen, hilft bei der Diagnose, ob es sich um ein Problem mit der Zertifizierungsstelle oder einen anderen SSL-Fehler handelt.
| Browser | Fehlerseitentitel | Fehlercode |
|---|---|---|
| Chrome | Ihre Verbindung ist nicht sicher | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Ihre Verbindung ist nicht sicher | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Warnung: Potenzielles Sicherheitsrisiko | SEC_ERROR_UNKNOWN_ISSUER oder MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Diese Verbindung ist nicht privat | Kein spezifischer Fehlercode angezeigt |
| Opera | Ihre Verbindung ist nicht sicher | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Ihre Verbindung ist nicht sicher | NET::ERR_CERT_AUTHORITY_INVALID |
Wie SSL-Zertifikatsvertrauen funktioniert (Vertrauenskette)
Um zu verstehen, warum dieser Fehler auftritt, müssen Sie wissen, wie Browser SSL-Zertifikate überprüfen. Jedes Zertifikat ist Teil einer Vertrauenskette, die auf eine Stammzertifizierungsstelle (Root-CA) zurückführt.
Wenn Ihr Browser eine Verbindung zu einer Website über HTTPS herstellt, sendet der Server sein SSL-Zertifikat zusammen mit etwaigen Zwischenzertifikaten. Der Browser durchläuft dann die Kette: Er prüft, ob das Blattzertifikat (das Zertifikat der Website) von einer Zwischen-CA signiert wurde und ob die Zwischen-CA von einer Root-CA signiert wurde, der der Browser bereits vertraut. Moderne Browser und Betriebssysteme werden mit etwa 150 vorinstallierten Root-CA-Zertifikaten von Organisationen wie DigiCert, Let's Encrypt (ISRG Root), Sectigo und GlobalSign ausgeliefert.
Wenn irgendein Glied in dieser Kette gebrochen ist — die Root-CA fehlt, ein Zwischenzertifikat nicht enthalten ist oder die signierende CA nicht erkannt wird — zeigt der Browser ERR_CERT_AUTHORITY_INVALID an. Eine ausführlichere Erklärung finden Sie in unserem Leitfaden Was ist eine SSL-Zertifikatskette.
Root-CA — selbstsigniert, im Vertrauensspeicher des Betriebssystems/Browsers vorinstalliert (~150 vertrauenswürdige Stammzertifikate)
Zwischen-CA — von der Root-CA signiert, muss vom Server während des TLS-Handshakes gesendet werden
Blattzertifikat — das Zertifikat Ihrer Website, von der Zwischen-CA signiert
Validierung — der Browser durchläuft die Kette vom Blatt bis zur Wurzel; jede Signatur muss verifiziert werden
Was verursacht NET::ERR_CERT_AUTHORITY_INVALID?
Dieser Fehler hat sowohl serverseitige Ursachen (Problem der Website) als auch clientseitige Ursachen (Problem Ihres Gerätes). Wenn der Fehler auf nur einer Website auftritt, ist das Problem fast sicher serverseitig. Wenn er auf mehreren oder allen HTTPS-Websites auftritt, liegt das Problem bei Ihnen.
| Ursache | Seite | Häufigkeit | Schnellprüfung |
|---|---|---|---|
| Selbstsigniertes Zertifikat | Server | Sehr häufig | Zertifikatsaussteller im Browser-Schloss prüfen |
| Fehlendes Zwischenzertifikat | Server | Häufig | DNS Robot SSL Checker zur Kettenprüfung verwenden |
| Abgelaufenes SSL-Zertifikat | Server | Häufig | Zertifikatsdaten im Browser oder SSL Checker prüfen |
| Zertifikat für falsche Domain ausgestellt | Server | Gelegentlich | Zertifikats-CN/SAN mit der URL-Domain vergleichen |
| Falsche Systemdatum/-uhrzeit | Client | Häufig | Geräteuhr prüfen |
| Veraltetes Betriebssystem oder Browser | Client | Häufig | Fehlende neue Root-CAs wie ISRG Root X1 |
| Antivirus-SSL-Interception | Client | Mäßig | Antivirus ersetzt Zertifikat durch eigene CA |
| Unternehmens-Proxy/Firewall | Client | Mäßig | MITM-Proxy injiziert nicht vertrauenswürdiges Zertifikat |
| Zwischengespeichertes veraltetes Zertifikat | Client | Gelegentlich | Altes Zertifikat im Browser-SSL-Cache |
| Browsererweiterungs-Interferenz | Client | Selten | VPN- oder Sicherheitserweiterungen ändern Datenverkehr |
Lösungen für Website-Besucher (Client-Seite)
Wenn Sie NET::ERR_CERT_AUTHORITY_INVALID beim Besuch einer Website sehen, die Sie nicht kontrollieren, probieren Sie diese Lösungen der Reihe nach aus. Beginnen Sie mit den schnellsten Prüfungen — das Problem ist oft einfacher als Sie denken.
Lösung 1: Systemdatum und -uhrzeit prüfen
Eine falsche Systemuhr ist eine der am häufigsten übersehenen Ursachen für Zertifikatsfehler. SSL-Zertifikate haben ein Gültigkeitsfenster (Nicht-vor- und Nicht-nach-Datum). Wenn Ihr Gerät denkt, es ist 2020, obwohl es tatsächlich 2026 ist, erscheint ein 2025 ausgestelltes Zertifikat als \"noch nicht gültig\" und der Browser lehnt es ab.
Diese Lösung dauert 10 Sekunden und behebt das Problem öfter als man erwarten würde — besonders nach einem BIOS-Batteriefehler, einer Wiederherstellung eines VM-Snapshots oder Zeitdrift bei Dual-Boot.
# Windows — Systemzeit prüfen und synchronisieren
w32tm /query /status
w32tm /resync
# macOS — automatische Zeitsynchronisierung aktivieren
sudo sntp -sS time.apple.com
# Linux — mit NTP synchronisieren
sudo timedatectl set-ntp true
timedatectl statusLösung 2: Inkognito-/Privatmodus ausprobieren
Das Öffnen der Website in einem Inkognito-Fenster schließt Browser-Cache, Cookies und Erweiterungsinterferenzen gleichzeitig aus. Wenn die Website im Inkognito-Modus einwandfrei lädt, ist das Problem ein zwischengespeicherter Zertifikatsstatus oder eine fehlerhafte Erweiterung — nicht die Website selbst.
Um den Inkognito-Modus zu öffnen: Drücken Sie Strg+Umschalt+N in Chrome oder Edge, oder Strg+Umschalt+P in Firefox.
Lösung 3: Browser-Cache und Cookies löschen
Browser speichern SSL-Zertifikatsinformationen im Cache, um nachfolgende Verbindungen zu beschleunigen. Wenn eine Website ihr Zertifikat kürzlich erneuert oder ersetzt hat, könnte Ihr Browser noch das alte (ungültige) Zertifikat im Cache halten, was den ERR_CERT_AUTHORITY_INVALID-Fehler verursacht, obwohl der Server jetzt ein gültiges Zertifikat hat.
# Chrome: Cache über Tastenkombination löschen
# Windows/Linux: Strg+Umschalt+Entf
# macOS: Cmd+Umschalt+Entf
# Wählen Sie "Bilder und Dateien im Cache" und "Cookies" → Daten löschen
# Firefox: Cache löschen
# Strg+Umschalt+Entf → wählen Sie "Cache" und "Cookies" → Jetzt löschenLösung 4: SSL-Status löschen (Windows)
Windows verwaltet einen separaten SSL-Zertifikatscache auf Betriebssystemebene, unabhängig von Browser-Caches. Das Löschen dieses Caches zwingt Windows, Zertifikate neu abzurufen und von Grund auf neu zu validieren.
# Methode 1: Über Internetoptionen
# Internetoptionen öffnen (inetcpl.cpl) → Registerkarte Inhalt → Schaltfläche "SSL-Status löschen"
# Methode 2: Über die Eingabeaufforderung
# Eingabeaufforderung als Administrator öffnen:
certutil -URLcache * deleteLösung 5: Browsererweiterungen deaktivieren
Sicherheitserweiterungen, VPN-Erweiterungen, Werbeblocker und Datenschutztools können SSL-Verbindungen stören. Einige Erweiterungen fungieren als lokaler Proxy, der HTTPS-Datenverkehr abfängt und Zertifikate ersetzt — was ERR_CERT_AUTHORITY_INVALID auslöst.
Deaktivieren Sie testweise alle Erweiterungen: Gehen Sie zu chrome://extensions/ und schalten Sie jede einzelne aus, laden Sie dann die Website neu. Wenn der Fehler verschwindet, aktivieren Sie die Erweiterungen nacheinander wieder, um den Verursacher zu finden.
Lösung 6: Betriebssystem und Browser aktualisieren
Root-CA-Zertifikate werden über Betriebssystem- und Browser-Updates verteilt. Wenn Ihr Betriebssystem veraltet ist, enthält Ihr Vertrauensspeicher möglicherweise keine neueren Root-CAs. Beispielsweise wurde das ISRG Root X1-Zertifikat (von Let's Encrypt verwendet) älteren Android- und Windows-Versionen erst durch Updates hinzugefügt. Geräte mit Android 7.0 oder älter haben dieses Stammzertifikat möglicherweise gar nicht.
Chrome und Edge verwenden unter Windows und macOS den Vertrauensspeicher des Betriebssystems, während Firefox seinen eigenen mitbringt. Wenn Sie sowohl Ihr Betriebssystem als auch Ihren Browser aktuell halten, stellen Sie sicher, dass Sie die neuesten vertrauenswürdigen Stammzertifikate haben.
Lösung 7: Antivirus-SSL/HTTPS-Prüfung deaktivieren
Antivirensoftware wie Kaspersky, Avast, ESET und Bitdefender enthält oft eine \"HTTPS-Prüfung\" oder \"SSL-Interception\"-Funktion. Diese Funktion arbeitet als Man-in-the-Middle: Sie entschlüsselt Ihren HTTPS-Datenverkehr mit ihrem eigenen Zertifikat, prüft ihn und verschlüsselt ihn erneut. Wenn das CA-Zertifikat des Antivirus nicht im Vertrauensspeicher Ihres Browsers installiert ist, zeigt jede HTTPS-Website ERR_CERT_AUTHORITY_INVALID an.
Zum Testen: Deaktivieren Sie vorübergehend die HTTPS-Prüfungsfunktion in Ihren Antivirus-Einstellungen (nicht das gesamte Antivirus — nur die SSL-/Web-Prüfungskomponente). Wenn der Fehler verschwindet, können Sie entweder die Prüfung deaktiviert lassen oder das Antivirus-Stammzertifikat in Ihrem Browser neu installieren.
Lösung 8: DNS-Cache leeren
In seltenen Fällen kann ein veralteter DNS-Cache Ihren Browser zur falschen IP-Adresse leiten — eine, die ein anderes (ungültiges) SSL-Zertifikat ausliefert. Das Leeren des DNS stellt sicher, dass Ihr Gerät die Domain zum richtigen Server auflöst. Eine vollständige Anleitung finden Sie unter So leeren Sie den DNS-Cache.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Interner Chrome-DNS-Cache
# Navigieren Sie zu: chrome://net-internals/#dns → "Clear host cache"Lösung 9: Anderes Netzwerk ausprobieren
Unternehmensnetzwerke, Schul-WLAN und einige öffentliche Hotspots verwenden transparente Proxys, die HTTPS-Verbindungen abfangen. Diese Proxys ersetzen das SSL-Zertifikat der Website durch ihr eigenes, was ERR_CERT_AUTHORITY_INVALID verursacht. Der Wechsel zu mobilen Daten oder einem anderen WLAN-Netzwerk bestätigt, ob das Netzwerk das Problem ist.
Wenn der Fehler nur in Ihrem Arbeits- oder Schulnetzwerk auftritt, wenden Sie sich an den Netzwerkadministrator — möglicherweise muss das Stammzertifikat des Proxys auf Ihrem Gerät installiert oder die Domain von der SSL-Inspektion ausgenommen werden.
Lösungen für Website-Betreiber (Server-Seite)
Wenn Besucher ERR_CERT_AUTHORITY_INVALID auf Ihrer Website melden, liegt das Problem an Ihrer SSL-Zertifikatskonfiguration. Hier sind die serverseitigen Lösungen, geordnet von der häufigsten bis zur seltensten Ursache.
Lösung 1: Zertifikat von einer vertrauenswürdigen CA installieren
Selbstsignierte Zertifikate sind die Ursache Nr. 1 für ERR_CERT_AUTHORITY_INVALID bei Website-Betreibern. Wenn Sie Ihr eigenes Zertifikat mit OpenSSL oder einem ähnlichen Tool erstellt haben, werden Browser ihm niemals vertrauen — die signierende Stelle (Sie) befindet sich nicht im Vertrauensspeicher eines Browsers.
Die Lösung besteht darin, ein Zertifikat von einer öffentlich vertrauenswürdigen Zertifizierungsstelle zu installieren. Let's Encrypt bietet kostenlose, automatisierte Zertifikate, denen alle gängigen Browser vertrauen. Für kommerzielle Websites bieten kostenpflichtige Zertifikate von DigiCert, Sectigo oder GlobalSign erweiterte Validierung (EV) und längere Gültigkeitszeiträume.
# Let's Encrypt-Zertifikat mit Certbot installieren (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Let's Encrypt-Zertifikat mit Certbot installieren (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Installiertes Zertifikat überprüfen
sudo certbot certificatesLösung 2: Vollständige Zertifikatskette installieren
Ein fehlendes Zwischenzertifikat ist die zweithäufigste serverseitige Ursache. Ihr SSL-Zertifikat mag völlig gültig sein, aber wenn der Server das Zwischen-CA-Zertifikat nicht mitsendet, kann der Browser die Vertrauenskette nicht verifizieren und zeigt ERR_CERT_AUTHORITY_INVALID an.
Verwenden Sie den SSL Checker von DNS Robot, um Ihre Zertifikatskette zu überprüfen. Eine gesunde Kette zeigt drei Zertifikate: Root-CA > Zwischen-CA > Ihr Zertifikat. Wenn das Zwischenzertifikat fehlt, müssen Sie Ihren Server so konfigurieren, dass er die vollständige Kette sendet.
# Zertifikatskette mit OpenSSL prüfen
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Erwartete Ausgabe (3 Zertifikate in der Kette):
# s:CN = example.com (Ihr Zertifikat)
# i:CN = R11 (Zwischenzertifikat - Let's Encrypt)
# s:CN = R11
# i:CN = ISRG Root X1 (Root-CA)
# Nginx — vollständige Kette konfigurieren
# ssl_certificate sollte auf die fullchain-Datei zeigen, nicht nur auf das Zertifikat:
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — vollständige Kette konfigurieren
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemLösung 3: Abgelaufenes Zertifikat erneuern
Abgelaufene Zertifikate werden von allen Browsern sofort abgelehnt. Chrome zeigt in einigen Fällen speziell ERR_CERT_AUTHORITY_INVALID (nicht ERR_CERT_DATE_INVALID) an, wenn die Zwischen-CA des abgelaufenen Zertifikats ebenfalls rotiert wurde. Überprüfen Sie das Ablaufdatum Ihres Zertifikats mit dem SSL Checker oder über die Kommandozeile.
# Ablaufdatum des Zertifikats prüfen
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Ausgabe:
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Apr 1 00:00:00 2026 GMT
# Verlängerung mit Certbot erzwingen
sudo certbot renew --force-renewal
# Webserver nach Verlängerung neu starten
sudo systemctl reload nginx # Nginx
sudo systemctl reload apache2 # ApacheLösung 4: Sicherstellen, dass das Zertifikat zur Domain passt
Ein SSL-Zertifikat wird für bestimmte Domainnamen ausgestellt, die in den Feldern Common Name (CN) und Subject Alternative Name (SAN) aufgeführt sind. Wenn Ihre Website über www.example.com aufgerufen wird, das Zertifikat aber nur example.com abdeckt, oder wenn Sie auf eine nicht im SAN enthaltene Subdomain zugreifen, kann Chrome ERR_CERT_AUTHORITY_INVALID anzeigen.
Wildcard-Zertifikate (*.example.com) decken alle Subdomains ab, aber nicht die Root-Domain, es sei denn, sie ist explizit als SAN aufgeführt. Fügen Sie beim Erstellen eines Wildcard-Zertifikats immer sowohl example.com als auch *.example.com hinzu.
Lösung 5: Server-TLS-Konfiguration prüfen
Falsch konfigurierte TLS-Einstellungen können Zertifikatsvertrauensprobleme verursachen, selbst mit einem gültigen Zertifikat. Stellen Sie sicher, dass Ihr Server TLS 1.2 und TLS 1.3 unterstützt — ältere Protokolle wie TLS 1.0 und 1.1 wurden seit 2020 von allen großen Browsern als veraltet eingestuft. Überprüfen Sie auch, ob Ihr Server die Zertifikate in der richtigen Reihenfolge sendet (Blatt zuerst, dann Zwischenzertifikate).
# Empfohlene TLS-Konfiguration für Nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# TLS-Konfiguration testen
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3ERR_CERT_AUTHORITY_INVALID auf Localhost (Entwickler)
Entwickler stoßen häufig auf diesen Fehler beim Betrieb lokaler HTTPS-Server für die Entwicklung. Da localhost-Zertifikate immer selbstsigniert sind, blockiert Chrome sie standardmäßig. Es gibt mehrere Möglichkeiten, damit umzugehen.
mkcert — die einfachste Lösung. Installieren Sie
mkcert, führen Siemkcert -installaus, um eine lokale CA zu Ihrem Vertrauensspeicher hinzuzufügen, dann generieren Sie Zertifikate:mkcert localhost 127.0.0.1 ::1. Automatisch vertrauenswürdig in Chrome, Firefox und EdgeChrome-Bypass — tippen Sie
thisisunsafeauf der Fehlerseite (kein Eingabefeld — einfach auf der Tastatur tippen). Dies umgeht die Warnung nur für die aktuelle SitzungChrome-Flag — navigieren Sie zu
chrome://flags/#allow-insecure-localhostund aktivieren Sie es. Dies unterdrückt Zertifikatsfehler nur fürlocalhostVite/Next.js/Webpack — die meisten Entwicklungsserver unterstützen
--https-Flags, die selbstsignierte Zertifikate generieren. Kombinieren Sie dies mit mkcert für ein vertrauenswürdiges lokales Setup
# mkcert installieren (macOS)
brew install mkcert
mkcert -install
# Localhost-Zertifikat generieren
mkcert localhost 127.0.0.1 ::1
# Erstellt: localhost+2.pem und localhost+2-key.pem
# Mit Node.js verwenden
const https = require('https');
const fs = require('fs');
https.createServer({
cert: fs.readFileSync('localhost+2.pem'),
key: fs.readFileSync('localhost+2-key.pem')
}, app).listen(3000);Verwandte SSL-Zertifikatsfehler
NET::ERR_CERT_AUTHORITY_INVALID ist nur einer von mehreren SSL-Zertifikatsfehlern, denen Sie begegnen können. Jeder Fehler deutet auf ein anderes Problem im Zertifikatsvalidierungsprozess hin.
| Fehlercode | Bedeutung | DNS Robot Anleitung |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Zertifikat nicht von vertrauenswürdiger CA signiert | Dieser Artikel |
| ERR_SSL_PROTOCOL_ERROR | TLS-Handshake vor Zertifikatsprüfung fehlgeschlagen | [Behebungsanleitung](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Keine gemeinsame TLS-Version oder Cipher Suite | [Behebungsanleitung](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Zertifikat abgelaufen oder noch nicht gültig | Zertifikatsdaten prüfen |
| ERR_CERT_COMMON_NAME_INVALID | Zertifikats-Domain stimmt nicht mit URL überein | SAN/CN-Felder prüfen |
| NET::ERR_CERT_REVOKED | Zertifikat von der ausstellenden CA widerrufen | Zertifikat neu ausstellen |
Prüfen Sie jetzt Ihre SSL-Zertifikatskette
Verwenden Sie den kostenlosen SSL Checker von DNS Robot, um Ihre Zertifikatskette, Ablaufdaten und TLS-Konfiguration zu überprüfen. Erkennen Sie sofort fehlende Zwischenzertifikate, abgelaufene Zertifikate und Domain-Unstimmigkeiten.
Try SSL CheckerFrequently Asked Questions
Es bedeutet, dass Ihr Browser der Zertifizierungsstelle, die das SSL-Zertifikat der Website signiert hat, nicht vertraut. Das Zertifikat könnte selbstsigniert sein, von einer unbekannten CA ausgestellt worden sein oder eine fehlende Zwischenzertifikatskette haben.