Problem
Es kommt mal vor, das Zertifikate ablaufen. Tausch der Admins das Zertifikat dann auch, anstatt ein bestehendes zu verlängern, passiert es gerne das Edge/Chrome/Firefox die Verbindung verweigern.
Lösung
HSTS (HTTP Strict Transport Security) ist ein krasser Schutz für HTTPS-Verbindungen. Dabei wird dem Browser der HTTP Response Header „Strict-Transport-Security“ vom Server gesendet. Dies veranlasst den Browser zukünftig nur verschlüsselte Verbindungen zu dieser Domain aufzubauen. An sich eine nette Erfindung die „Fallback man in the middle“ Attacken verhindert.
Die meisten Browser speichern zusätzlich zu dem Flag für die Domain(s) auch noch den Thumprint der Certifikates. Ändert sich der Fingerabdruck, läuft man in diesen unumgänglichen Fehler.
Firefox
- Alle Tabs und Fenster schließen, bis auf eins
- Bibliothek > Chronik > gesammte Chronik anzeigen
- Nach der betroffenen Seitenadresse suchen
- Rechte MT und „Gesamte Webseite vergessen“ wählen
- Einen Moment warten, Firefoxy neu starten, geht.
Chrome
Chrome ist leider etwas umständlicher zu bedienen:
- Öffne chrome://net-internals/#hsts
- Unter „Query HSTS/PKP domain“ nach der Domain suchen. Achtung, das ist FQDN-Sensitiv. Wenn die Domain auftaucht …
- Ganz unten unter „Delete domain security policies“ den FQDN eintragen
- „Delete“ löscht die zugehörigen Einträge
- Chrome neu starten, fertig