ERR_CERT_DATE_INVALID: So beheben Sie den Fehler "Zertifikat abgelaufen"

ERR_CERT_DATE_INVALID (vollständig NET::ERR_CERT_DATE_INVALID) ist eine Sicherheitswarnung, die ein Browser anzeigt, wenn er ein Problem mit den Gültigkeitsdaten des SSL/TLS-Zertifikats einer Website findet. Meist erscheint dazu die Überschrift "Ihre Verbindung ist nicht privat" und ein Hinweis wie "Das Zertifikat ist abgelaufen". Anders als andere Zertifikatsfehler dreht sich dieser ganz um die Zeit: Entweder deckt der Gültigkeitszeitraum des Zertifikats das heutige Datum nicht ab, oder die Uhr Ihres Geräts ist falsch. Diese Anleitung behebt den Fehler aus Sicht von Besuchern und Website-Betreibern.

Die zwei Ursachen

Jedes SSL-Zertifikat hat ein Start- und ein Enddatum. Beim Laden einer Seite vergleicht der Browser Ihre Geräteuhr mit diesem Zeitraum. ERR_CERT_DATE_INVALID tritt in zwei Fällen auf:

  • (A) Datum/Uhrzeit Ihres Geräts sind falsch. Die häufigste Ursache. Geht die Uhr vor oder nach, erscheint selbst ein gültiges Zertifikat als "abgelaufen" oder "noch nicht gültig".
  • (B) Das Zertifikat der Website ist tatsächlich abgelaufen. Hat der Betreiber nicht rechtzeitig erneuert, ist das Enddatum überschritten und alle Besucher sehen die Warnung.

So erkennen Sie schnell, auf welcher Seite das Problem liegt: Öffnen Sie dieselbe Website über ein anderes Gerät in einem anderen Netzwerk. Erscheint der Fehler auch dort, liegt es an der Website (B). Sehen nur Sie ihn, liegt es fast sicher an Ihrem Gerät (A).

Wenn Sie Besucher sind (Geräteuhr)

Sehen nur Sie den Fehler, prüfen Sie zuerst Ihr eigenes Gerät:

  1. Datum und Uhrzeit automatisch einstellen. Unter Windows: Einstellungen > Zeit und Sprache > Datum und Uhrzeit, dort "Uhrzeit automatisch festlegen" und "Zeitzone automatisch festlegen" aktivieren. Unter macOS unter Systemeinstellungen > Allgemein > Datum & Uhrzeit die automatische Einstellung aktivieren. Auf Smartphones "Vom Netzwerk bereitgestellte Zeit" einschalten.
  2. Datum, Uhrzeit und Zeitzone prüfen. Schon eine Abweichung von einem Tag oder Jahr löst den Fehler aus. Korrekte Werte setzen und erneut versuchen.
  3. Browser-Cache leeren oder ein Inkognito-/privates Fenster öffnen. So wird kein alter Zertifikatseintrag erneut verwendet.
  4. Mit einem anderen Gerät oder Browser testen. Probieren Sie Ihr Handy über mobile Daten. Funktioniert es dort, sind Uhr oder Browser Ihres Hauptgeräts schuld.
  5. VPN/Proxy vorübergehend deaktivieren und das Gerät neu starten. Manche VPNs oder die HTTPS-Prüfung von Antivirenprogrammen verfälschen das Zertifikatsdatum.

Wenn Sie der Website-Betreiber sind (abgelaufenes Zertifikat)

Sehen Besucher diesen Fehler, ist Ihr Zertifikat höchstwahrscheinlich abgelaufen. So beheben Sie es schnell:

  1. Gültigkeitsdaten prüfen. Klicken Sie im Browser auf das Schloss und zeigen Sie das Zertifikat an, oder führen Sie im Terminal aus: 
    openssl s_client -connect ihredomain.de:443 -servername ihredomain.de 2>/dev/null | openssl x509 -noout -dates
    Liegt das notAfter-Datum in der Vergangenheit, ist Ihr Zertifikat abgelaufen.
  2. Zertifikat sofort erneuern. Die einzige Lösung für ein abgelaufenes Zertifikat ist ein neues. Mit unser kostenloser SSL-Assistent erstellen Sie in Minuten ein frisches, 90 Tage gültiges Zertifikat und laden es als ZIP herunter — ohne Registrierung.
  3. Neues Zertifikat auf dem Server installieren. Alte Dateien ersetzen und Ihren Webserver (Nginx, Apache, IIS) neu starten.
  4. Kette und Zwischenzertifikat prüfen. Nur das Leaf-Zertifikat zu installieren, führt bei manchen Clients zu Problemen. Stellen Sie sicher, dass Sie die vollständige Kette (fullchain) ausspielen.
Tipp: Bleibt ERR_CERT_DATE_INVALID nach der Erneuerung bestehen, schließen Sie den Browser ganz und öffnen ihn neu oder testen Sie in einem privaten Fenster — das alte Zertifikat liegt eventuell noch im Cache.

So diagnostizieren Sie den Fehler

Zur eindeutigen Bestimmung: Klicken Sie in der Adressleiste auf das Schloss- (oder Warn-)Symbol > "Verbindung ist (nicht) sicher" > Zertifikat-Details. Im Dialog sehen Sie den Gültigkeitszeitraum (Gültig ab / Gültig bis). Liegt "Gültig bis" vor heute, ist das Zertifikat abgelaufen (Ursache B). Liegt das Datum noch in der Zukunft, der Fehler bleibt aber, ist Ihre Geräteuhr falsch (Ursache A). Diese eine Prüfung zeigt, worauf Sie sich konzentrieren müssen.

Wiederholung verhindern (Auto-Erneuerung/Erinnerungen)

Ein abgelaufenes Zertifikat ist die häufigste Ursache vermeidbarer Ausfälle für Betreiber. So verhindern Sie eine Wiederholung:

  • Automatische Erneuerung einrichten. Unterstützt Ihr Server einen ACME-Client, lassen Sie das Zertifikat vor Ablauf automatisch erneuern.
  • Erinnerungssystem nutzen. Auto-Erneuerung ist nicht in jeder Umgebung möglich. Ein Zertifikat aus unser kostenloser SSL-Assistent kommt mit einer E-Mail-Erinnerung vor Ablauf, damit Sie keine Erneuerung verpassen.
  • Kalendernotiz hinzufügen. Bei 90-Tage-Zertifikaten setzen Sie eine Erinnerung um Tag 60-75.

Zusammenfassung

ERR_CERT_DATE_INVALID entsteht entweder durch eine falsche Geräteuhr oder ein tatsächlich abgelaufenes Zertifikat. Als Besucher stellen Sie die Uhr automatisch ein und testen ein privates Fenster; als Betreiber prüfen Sie das Enddatum und erneuern das Zertifikat. Um ein abgelaufenes Zertifikat in Minuten, kostenlos und ohne Registrierung zu erneuern, nutzen Sie unser kostenloser SSL-Assistent — und dank E-Mail-Erinnerung vor Ablauf sehen Sie diesen Fehler nie wieder.