Hast du versucht, dich mit einem Server zu verbinden, der die SSL-Client-Zertifikatsautorisierung verwendet, nur um die Meldung zu erhalten, dass ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED vorliegt?

Die SSL-Client-Zertifikatsautorisierung bietet eine zusätzliche Sicherheitsebene, wenn du dich mit wichtigen Tools und Anwendungen verbindest. Wenn jedoch bei der Authentifizierung etwas schiefgeht, kannst du keine Verbindung herstellen, was zu einigen frustrierenden Situationen führen kann.

In diesem Beitrag erfährst du alles, was du über den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED wissen musst, einschließlich der Schritte, die du zur Behebung des Problems unternehmen kannst.

Was bedeutet ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED?

Die meisten Menschen sind mit SSL-Zertifikaten auf Serverebene vertraut.

Heutzutage verwenden die meisten Webseiten SSL-Zertifikate und HTTPS, um eine verschlüsselte Verbindung zwischen dem Webbrowser einer Person und dem Server herzustellen. Dadurch werden die Daten während der Übertragung verschlüsselt, aber es wird auch überprüft, dass der Server sozusagen „der ist, der er zu sein vorgibt“.

Bei der SSL-Client-Zertifikatsautorisierung verfügt der „Client“ – also der Benutzer, der sich mit dem Server verbindet – ebenfalls über ein eigenes SSL-Zertifikat, um zu überprüfen, ob der Client „derjenige ist, der er vorgibt zu sein“

Wenn du dich also mit einem Server verbinden willst, der eine SSL-Client-Zertifikatsautorisierung verlangt, musst du dein SSL-Client-Zertifikat angeben, um eine Verbindung herzustellen.

Du kannst das SSL-Zertifikat des Clients auf deinem Computer speichern. Du kannst es aber auch auf einem tragbaren Chipkartenlesegerät aufbewahren, wie es viele Unternehmen verwenden.

Diese Methode wird von vielen Unternehmen verwendet. Sie bietet eine zusätzliche Sicherheitsebene, indem sie den Zugang auf eine bestimmte Liste authentifizierter Benutzer/innen beschränkt, was bei vielen Geschäftsanwendungen oder wenn jemand den Zugang zu einem bestimmten Server generell sperren möchte, unerlässlich ist.

Die Fehlermeldung ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED weist darauf hin, dass ein Problem mit dem SSL-Zertifikat des Clients und nicht mit dem SSL-Zertifikat des Servers aufgetreten ist.

Wodurch wird der Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED verursacht?

Der Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED ist ein technischer Fehler, daher sind die meisten Ursachen technisch bedingt.

Eine der häufigsten Ursachen ist eine Störung der Verbindung. Innerhalb dieser Gruppe gibt es viele mögliche Ursachen, die wir im Folgenden näher erläutern. Es könnte eine Antiviren-Software, ein VPN, die macOS Keychain Access App usw. sein.

Eine weitere häufige Ursache ist ein Problem mit der verwendeten TLS-Version, dem Protokoll, das den SSL-Zertifikaten zugrunde liegt.

Es gibt vier Versionen von TLS – 1.0, 1.1, 1.2 und 1.3. TLS 1.0 und 1.1 sind jedoch seit 2022 veraltet.

In manchen Situationen kann die Verwendung einer zu niedrigen oder zu hohen TLS-Version die Meldung ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED auslösen. Wenn deine Smartcard zum Beispiel nur mit TLS 1.2 funktioniert, der Server aber TLS 1.3 verwendet, kann das den Fehler auslösen.

So behebst du den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED

Jetzt wollen wir uns ansehen, wie du den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED beheben kannst. Wir beginnen mit kleineren technischen Lösungen und gehen dann zu den technischeren Lösungen über.

1. Starte deinen Computer neu

„Hast du versucht, ihn aus- und wieder einzuschalten?“

Dieser Tipp hat inzwischen Meme-Status erreicht, aber es ist immer ein guter Anfang, um grundlegende Probleme auszuschließen.

Damit lassen sich zwar nicht alle Probleme lösen, aber wenn es funktioniert, sparst du eine Menge Zeit – es lohnt sich also, es auszuprobieren, bevor du weitermachst.

2. Chrome aktualisieren

Wenn du eine ältere Version von Chrome verwendest, kann dies den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED auslösen. In der Regel handelt es sich dabei um ein Problem mit der TLS-Version, die Chrome verwendet.

Um dieses Problem auszuschließen, solltest du sicherstellen, dass du die neueste Version von Chrome verwendest, bevor du die Verbindung herstellst.

3. Chrome zurücksetzen

Neben der Aktualisierung von Chrome ist ein weiterer grundlegender Schritt zur Behebung des Fehlers ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED das Zurücksetzen von Chrome auf seine Standardeinstellungen.

Chrome enthält ein eingebautes Tool, das dir dabei hilft – so geht’s:

  1. Gib die folgende Adresse in die Adressleiste deines Browsers ein – chrome://settings/privacy
  2. Scrolle bis zum Ende des Einstellungsbereichs, der angezeigt wird.
  3. Klicke auf die Option Erweitert, um einige zusätzliche Optionen zu öffnen.
  4. Klicke unter dem Abschnitt Wiederherstellen und Bereinigen auf die Option Einstellungen auf die ursprünglichen Standardwerte zurücksetzen.
So stellst du die Standardeinstellungen von Chrome wieder her.
So stellst du die Standardeinstellungen von Chrome wieder her.

4. Deaktiviere deine Firewall oder Antiviren-Software

Manche Firewalls oder Antivirensoftware können den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED auslösen, indem sie die Verbindung zwischen deinem Computer und dem Server stören.

Das können die in deinem Betriebssystem integrierten Firewalls oder eine spezielle Antivirensoftware sein, die du installiert hast.

Um herauszufinden, ob dies der Fall ist, versuche, diese zu deaktivieren und die Verbindung erneut zu testen. Wenn es funktioniert, kannst du versuchen, eine andere Antiviren-Software zu verwenden oder die Firewall-Regeln deiner Software anzupassen.

5. Deaktiviere dein VPN

Wenn du aktiv ein VPN verwendest, während du versuchst, eine Verbindung herzustellen, kann dies den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED verursachen.

Wenn du das VPN unbedingt brauchst (z.B. für dein Unternehmen), versuche, das VPN zu deaktivieren und dich erneut zu verbinden.

6. Keychain Access App anpassen (macOS)

Wenn du macOS benutzt, ist eine häufige Ursache für den Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED ein Problem mit der Schlüsselbund-Zugangs-App. Das ist die native macOS-App, die Apple anbietet, um deine Passwörter und Kontodaten, einschließlich deiner SSL-Client-Zertifikate, zu speichern.

Wenn dies ein Problem ist, kann es sein, dass dein SSL-Client-Zertifikat in Safari noch funktioniert, aber in anderen Webbrowsern wie Chrome oder Firefox nicht mehr.

Hier erfährst du, wie du das Problem beheben kannst:

  1. Öffne die App Keychain Access.
  2. Finde dein SSL-Client-Zertifikat – es sollte unter Anmeldung > Meine Zertifikate erscheinen.
  3. Klicke mit der rechten Maustaste auf den privaten HTTPS-Schlüssel, der nicht funktioniert.
  4. Öffne die Registerkarte Zugriffskontrolle.
  5. Wähle die Option Allen Anwendungen den Zugriff auf dieses Element erlauben. Möglicherweise ist sie bereits ausgewählt. Auch wenn das der Fall ist, klicke darauf, um sie erneut auszuwählen.
  6. Speichere deine Änderungen.

Wenn du das nächste Mal versuchst, dich mit einem Server zu verbinden, der eine Client-Authentifizierung erfordert, solltest du aufgefordert werden, dein Schlüsselbund-Passwort einzugeben. Tu das und wähle dann Immer zulassen.

Das Problem sollte nun behoben sein.

7. Ändere die TLS-Konfiguration deines Webbrowsers

Eine weitere häufige Ursache für diesen Fehler ist ein Problem mit der Konfiguration der TLS-Version – entweder weil sie zu hoch oder zu niedrig ist.

Das häufigste Problem ist, dass dein Betriebssystem oder dein Chipkartenlesegerät nicht mit TLS 1.2 oder 1.3 funktioniert. Eine vorübergehende Abhilfe besteht darin, deinen Webbrowser auf die Verwendung von TLS 1.1 zu beschränken.

Wir empfehlen dies nicht als langfristige Lösung, da es immer besser ist, moderne TLS-Protokolle zu verwenden, insbesondere weil TLS 1.0 und 1.1 veraltet sind. In dringenden Fällen kann dies jedoch eine praktikable kurzfristige Lösung sein.

Hier erfährst du, wie du Chrome so konfigurierst, dass er eine ältere TLS-Version verwendet:

  1. Klicke mit der rechten Maustaste auf die Chrome-Verknüpfung auf deinem Desktop und wähle Eigenschaften. Das ist die Verknüpfung, auf die du klickst, um den Chrome-Browser zu öffnen.
  2. Finde die Einstellung Ziel in der Registerkarte Verknüpfung (die standardmäßig geöffnet sein sollte).
  3. Füge den folgenden Text außerhalb des bestehenden Ziels ein: ssl-version-max=tls1.1 (setze ein Leerzeichen zwischen den Text und das letzte Anführungszeichen).
  4. Klicke auf OK, um deine Änderungen zu speichern.
So zwingst du Chrome, eine andere TLS-Version zu verwenden.
So zwingst du Chrome, eine andere TLS-Version zu verwenden.

Wenn du Chrome über diese Verknüpfung öffnest, verwendet er nun diese TLS-Version.

In Firefox kannst du die Konfiguration der TLS-Version in den Einstellungen von Firefox ändern:

  1. Öffne Firefox.
  2. Gib about:config in die Adresszeile des Browsers ein.
  3. Suche nach TLS.
  4. Passe security.tls.version.min und security.tls.version.max nach deinen Wünschen an. Mehr dazu erfährst du in diesem Hilfeartikel.
So änderst du die TLS-Version in Firefox.
So änderst du die TLS-Version in Firefox.

8. Ändere deine Server-TLS-Konfiguration

Oben haben wir darüber gesprochen, wie du versuchen kannst, diesen Fehler zu beheben, indem du die TLS-Version änderst, die dein Browser verwendet.

Wenn du jedoch Zugriff auf den Server hast, kannst du vielleicht auch bestimmte Probleme beheben, indem du die Serverkonfiguration anpasst.

Wenn du zum Beispiel das SSL-Client-Zertifikat auf einem Chipkartenlesegerät speicherst, funktionieren manche Chipkartenlesegeräte nur mit TLS v1.2.

Um dies zu beheben, kannst du mit der Serverkonfiguration herumspielen.

Ein Benutzer hatte zum Beispiel seinen Server zunächst so konfiguriert, dass er TLS min v.1.0 verwendet, und konnte den Fehler beheben, indem er ein weiteres Flag hinzufügte, um die maximale Version auf 1.2 zu setzen.

9. Windows aktualisieren

Ein letzter Tipp zur Fehlerbehebung ist, die Windows-Software zu aktualisieren, wenn alles andere fehlschlägt. Oft wird der Fehler ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED von älteren Windows-Versionen verursacht.

Wenn möglich, aktualisiere dein System auf die neueste Version (oder zumindest auf eine modernere Version).

Zusammenfassung

Die Meldung ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED ist ein Fehler, der erscheint, wenn bei der Autorisierung des SSL-Client-Zertifikats etwas schief läuft.

Möglicherweise hast du ein SSL-Client-Zertifikat auf deinem Computer oder einem Smartcard-Lesegerät, das du aufgrund dieser Fehlermeldung nicht verwenden kannst.

Es gibt zwei große Gruppen von Strategien, die das Problem beheben können:

  1. Du kannst überprüfen, ob etwas die Verbindung stört, z. B. eine Firewall, die macOS Keychain Access App, ein VPN usw.
  2. Du kannst prüfen, ob es ein Problem mit der TLS-Version gibt, die du verwendest, da sie für deinen speziellen Anwendungsfall zu niedrig oder zu hoch sein könnte.

Wenn du Hilfe bei der Behebung anderer SSL-Fehler brauchst, findest du hier einen allgemeinen Leitfaden zur Behebung von SSL-Verbindungsfehlern. Wir haben auch spezielle Anleitungen zur Behebung verschiedener serverseitiger oder clientseitiger SSL-Fehler: