Für Ihre Website haben Sie sich ein SSL-Zertifikat gekauft, das mit einer Schlüssellänge von 8192 bit oder mehr verschlüsselt. Häufiger hören Sie von Ihren Websitebesuchern, dass eben dieses Zertifikat vom Browser nicht korrekt erkannt wird. In aller Regel dürften das Mac OS-Nutzer sein, die Ihre Seite über Chrome/ Chromium oder Safari ansteuern. Genau genommen trifft es jeden Browser, der das native Crypto-Stack von Mac OS X verwendet. Es handelt sich dabei um keinen Bug, deshalb kann Apple den Fehler nicht fixen. Es gibt allerdings einen sehr simplen Ausweg.
Woher kommt der Fehler?
Der Fehler stammt aus dem 2006-007 Security Update. Seither geben Browser Fehlermeldungen aus, wenn Webseiten Zertifikate verwenden, die mit 8192 bit oder größeren Schlüssellängen verschlüsseln. Zertifikate mit 4096-bit-Schlüsseln oder weniger führen zu keinen Problemen.
So beheben Sie den Fehler
Unter Mac OS Mountain Lion (10.8) oder niedriger überschreiben Sie in der Kommandozeile „/Library/Preferences/com.apple.crypto RSAMaxKeySize -int <size>“ die Default-Größe auf die Schlüsselgröße, die Sie benötigen. Verwenden Sie Mac OS Mavericks (10.9) oder höher, gehen Sie in die Kommandozeile „/Library/Preferences/com.apple.crypto RSAMaxKeySize -int <size>“ und setzen die Größe wieder individuell. Die Zeilen unterscheiden sich lediglich darin, dass es bis Version 10.8 noch „/com.apple.crypto“ heißt, bei höheren Versionen heißt es „/com.apple.security“.
Unter opensource.apple.com können Sie sich das mit entsprechenden Hinweisen genau anschauen. Mit 8192 bit-Zertifikaten muss es dann so aussehen:
sudo defaults write /Library/Preferences/com.apple.crypto RSAMaxKeySize -int 8192
beziehungsweise:
sudo defaults write /Library/Preferences/com.apple.security RSAMaxKeySize -int 8192
Möchten Sie zukunftssicher agieren, können Sie die Schlüssellänge auch größer angeben, sodass Sie sich diesen Vorgang bei der nächsten Installation Ihrer SSL-Zertifikate mit eventuell größerer Schlüssellänge sparen können. Andere Funktionen beeinflussen Sie mit dem Setzen der Schlüssellänge nicht.
Für diesen wertvollen Tipp möchten wir uns ganz herzlich beim Herrn Keller bedanken!