Det kan være frustrerende, når besøgende på dit websted får vist en fejlmeddelelse “Kunne ikke etablere et tillidsforhold for SSL/TLS Secure Channel with Authority”. Desuden skaber det en dårlig brugeroplevelse (UX).
Selv om der er måder at omgå denne meddelelse på, f.eks. ved at indstille nye systemdækkende indstillinger, kan disse metoder udsætte dit websted for sikkerhedsrisici. Heldigvis kan du hurtigt løse fejlmeddelelsen og gøre dine sider tilgængelige for alle besøgende.
Typisk afhænger løsningen på problemet af den grundlæggende årsag. Det kan f.eks. være nødvendigt at tilføje dit websteds SSL-certifikat til det betroede lager på din computer. Andre gange kan det være så simpelt som at opdatere din browser.
I dette indlæg introducerer vi dig til fejlmeddelelsen: “Kunne ikke etablere et tillidsforhold for SSL/TLS Secure Channel with Authority”. Derefter vil vi diskutere nogle almindelige årsager til problemet og vise dig, hvordan du kan løse dem. Lad os komme i gang!
En introduktion til fejlen “Kunne ikke etablere et tillidsforhold”
Du kan se mange fejl på dit websted, nogle mere problematiske end andre. F.eks. er en fejl “Connection is not private” ret enkel at løse. Databaseforbindelsesfejl og fejl i forbindelse med sikker forbindelse kræver dog typisk mere fejlfinding.
Fejlen “Kunne ikke etablere et tillidsforhold for SSL/TLS Secure Channel with Authority” betyder, at din browser ikke har tillid til webstedet. Den mest almindelige årsag er, at browseren ikke kan verificere webstedets SSL-certifikat, hvilket betyder, at den ikke kan bekræfte webstedets identitet.
Med denne fejl kan der ikke etableres en sikker, krypteret forbindelse med serveren. Derfor advarer din browser dig muligvis mod at besøge webstedet.
Som besøgende kan det være frustrerende, når du ser denne fejl, fordi du ikke kan få adgang til det indhold, du har brug for. På den anden side kan fejlmeddelelsen på dit eget websted skade din virksomheds omdømme ved at få den til at fremstå upålidelig og upålidelig. Besøgende kan endda tro, at du ikke værdsætter deres sikkerhed.
En oversigt over SSL og TLS
SSL (Secure Sockets Layers) og TLS (Transport Layer Security) er kryptografiske protokoller, der krypterer data og autentificerer sikre forbindelser.
Der er dog forskelle mellem SSL og TLS. Det vigtigste er, at TLS er en nyere version af SSL. Det betyder blot, at TLS retter nogle sårbarheder i de tidligere SSL-protokoller.
Som vi nævnte tidligere, er SSL nødvendigt for at sikre data på dit websted. Når en besøgende forsøger at få adgang til dit websted, vil deres browser kontrollere, om dit SSL-certifikat er gyldigt. Hvis det er tilfældet, oprettes der en krypteret forbindelse mellem webstedet og din server, hvilket muliggør sikker overførsel af data som f.eks. personlige oplysninger eller betalingsoplysninger:
Desuden findes der forskellige typer SSL-certifikater, som du kan installere. For eksempel vil et single-domain certifikat dække ét websted.
I mellemtiden sikrer et wildcard-certifikat et enkelt domæne og eventuelle relaterede underdomæner. Et wildcard-certifikat med flere domæner er dog det bedre valg, hvis du har forskellige websteder med mange underdomæner.
De fleste kvalitetshostingudbydere tilbyder gratis SSL-certifikater med deres abonnementer. Du skal måske blot kontakte din udbyder og bede dem om at aktivere SSL for dig.
Du kan f.eks. få et gratis SSL-certifikat med Kinsta takket være vores Cloudflare-integration, som endda understøtter wildcard-domæner. Det eneste du skal gøre er at købe en hostingpakke, f.eks. administreret WordPress-hosting.
Dit websted kan derefter drage fordel af vores hastighedsorienterede infrastruktur, firewallbeskyttelse og vores gratis APM-værktøj, som er indbygget direkte i MyKinsta-dashboardet.
Ellers kan du købe et brugerdefineret SSL-certifikat fra en betroet certifikatudstedende myndighed som Comodo eller DigiCert:
Derefter skal du installere dit SSL-certifikat og kontrollere, at det fungerer korrekt. Hvis du har fået dit certifikat fra et andet sted end fra din hostingudbyder, kan du også overføre dit certifikat fra en anden server.
Almindelige årsager til fejlmeddelelsen “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority” (kunne ikke etablere et tillidsforhold for SSL/TLS Secure Channel with Authority)
Her er de vigtigste årsager til meddelelsen “Kunne ikke etablere et tillidsforhold for SSL/TLS Secure Channel with authority”:
- Selv-signerede certifikater: Disse certifikater genereres ofte gratis. De giver dog ikke lige så stor tillid som kommercielle certifikater.
- Udløbne certifikater: De fleste SSL-certifikater er kun gyldige i et år. Derfor skal du forny dit certifikat, når det nærmer sig sin udløbsdato.
- Certifikater, der ikke er underskrevet af en betroet certifikatudstedende myndighed (CA): Ligesom selv-signerede certifikater er det muligt, at en mindre kendt certifikatudbyder ikke har tillid til alle browsere.
- Gratis SSL-certifikater: Der findes et par gratis CA’er, men nogle gange skal deres root-certifikater importeres manuelt til din browser for at fjerne fejlen.
- Certifikater, der mangler et kæde-/intermediærcertifikat: De fleste pålidelige certifikater beder dig om at installere mindst ét andet kæde-/intermediærcertifikat for at knytte dit SSL-certifikat til en pålidelig kilde. Denne proces afhænger dog af den browser, du bruger. Internet Explorer kan f.eks. automatisk downloade mellemliggende certifikater, men det kan Mozilla Firefox ikke.
Fejlen “Kunne ikke etablere et tillidsforhold” betyder ofte, at dit SSL-certifikat er ugyldigt. Derfor kan du overveje at foretage et hurtigt SSL-tjek.
Qualys SSL Labs er helt gratis og giver dig mulighed for nemt at verificere dit certifikat. Du skal blot indtaste dit domænenavn i feltet Hostname (hostnavn) og klikke på Submit (indsend):
Qualys vil tage et øjeblik til at scanne dit websteds SSL/TLS-konfiguration på din webserver. Derefter får du en servervurdering mellem A og F. Desuden kan du se en forklaring på fejl og advarsler og finde ud af, hvordan du kan rette dem.
Normalt kan du finde måder at omgå fejlen “Could not establish trust relationship for the SSL/TLS secure channel with authority” (Kunne ikke etablere et tillidsforhold for den sikre SSL/TLS-kanal med autoritet). Dette er dog ikke altid den sikreste løsning for dit websted, da det kan udsætte dig for sikkerhedstrusler. Derfor anbefaler vi, at du lærer, hvordan du løser problemet ved at tage fat på den grundlæggende årsag.
Sådan løser du fejlen Could Not Establish Trust Relationship Error (i 3 trin)
Nu hvor du kender de almindelige årsager til fejlen “Could not establish trust relationship for the SSL/TLS Secure Channel with Authority”, lad os diskutere tre trin til at løse den!
Trin 1: Kontroller certifikatfejlene
For det første skal du finde årsagen til fejlen. Denne proces vil være forskellig afhængigt af den browser, du bruger til at få adgang til webstedet.
I Safari kan du f.eks. klikke på Vis detaljer for at finde ud af, hvad der ligger bag advarselsmeddelelsen. Derefter kan du gå videre til webstedet eller se dets certifikat:
Hvis du vælger sidstnævnte mulighed, vil du nogle gange se den grundlæggende årsag til problemet. I eksemplet nedenfor kan du se, at webstedet bruger et selvsigneret certifikat, som ikke er blevet verificeret af en tredjepart:
I Chrome er denne proces dog lidt anderledes. I stedet skal du gå til advarslen Not Secure (Ikke sikker) i søgelinjen:
Klik på advarselsmeddelelsen for at identificere det generelle problem (selv om du sandsynligvis ikke finder den grundlæggende årsag på dette tidspunkt). Her kan du blot se, at webstedets certifikat ikke er gyldigt:
Hvis du klikker på Certifikat er ikke gyldigt, vises en popup, hvor du kan få flere oplysninger om fejlen. Du kan f.eks. se udstedelses- og udløbsdatoer samt finde den CA, der har verificeret certifikatet.
Nedenfor kan du se, at SSL-certifikatet er udløbet:
Hvis du skifter til fanen Detaljer, kan du se certifikatets serienummer, signaturalgoritmen og oplysningerne om den offentlige nøgle.
Uanset hvilken browser du bruger, er det vigtigt at identificere fejlens root-årsag, før du går videre til næste trin. Ellers risikerer du at spilde din tid på ineffektive fejlfindingsmetoder.
Trin 2: Prøv generelle tips til fejlfinding
Før du tackler fejlen med mere specifikke foranstaltninger, anbefaler vi, at du først prøver nogle generelle tips til fejlfinding. Det er nemt at overse enkle ting, som du måske ikke er klar over påvirker din browser eller dit system. Faktisk er der nogle nemme måder at rette fejlmeddelelser på forskellige browsere og platforme.
Du kan f.eks. kontrollere, at dato og klokkeslæt på dit system er korrekte. Hvis dine indstillinger ikke er korrekte, kan de medføre, at et helt gyldigt SSL-certifikat bliver ugyldigt på din enhed.
På Mac skal du gå til dine Systemindstillinger og derefter vælge Dato og tid:
Hvis du vil foretage ændringer, kan du trykke på låseikonet nederst i popup-vinduet:
Du kan enten vælge din tidszone ved hjælp af et kort eller manuelt indtaste de korrekte oplysninger på denne side.
Et andet almindeligt problem er, at din browser eller dit system ikke er blevet opdateret. Hvis du kører gammel software, kan det forårsage fejl. Desuden kan det gøre dit websted mere sårbart over for sikkerhedsbrud.
Du kan kontrollere, om din Mac er opdateret, ved at gå til Systemindstillinger. Klik derefter på Softwareopdatering:
Du kan også kontrollere, om din browser er opdateret. Du kan finde disse oplysninger i Google Chrome ved at klikke på de tre prikker i din browser. Hold derefter musen over Hjælp for at få adgang til rullemenuen, og klik på Om Google Chrome:
Chrome vil automatisk begynde at kontrollere, om der er opdateringer:
Genstart derefter browseren for at afslutte opdateringen. Husk, at denne proces vil være lidt anderledes, hvis du arbejder med en anden browser end Chrome.
Trin 3: Identificer den bedste løsning på din fejl
Løsningen på din fejl afhænger af den årsag, du identificerede i det første trin i denne vejledning. Her er fire almindelige scenarier!
Dit domænenavn stemmer ikke overens med navnet på certifikatet
Dette sker typisk, når det almindelige navn på SSL-certifikatet ikke passer til domænet/URL’en i din browsers søgelinje. Du kan finde certifikatets fælles navn (hostnavn) ved at få vist certifikatet og udvide afsnittet Detaljer:
Under Common Name skal du kontrollere, at navnet passer til den URL, du bruger til at besøge webstedet. Nogle gange kan det være så simpelt som at der mangler “www”.
Mange websteder inkluderer deres domænenavne både med og uden “www”, så browsere ikke straffer brugere, der skriver adressen anderledes. Du skal dog bruge et certifikat, der kan rumme flere domæner.
Hvis du finder en uoverensstemmelse mellem navnene og i øjeblikket har et SSL-certifikat med et enkelt domæne, skal du få udstedt et nyt certifikat. Hvis du har et certifikat med flere domæner, kan du imidlertid tilføje/fjernede Subject Alternative Names (SAN’er) til dit certifikat.
Dit certifikat er udløbet
Hvis du bruger et certifikat, der er udløbet, er dine besøgende og dit websted mere sårbare over for angreb. Faktisk kan en hacker drage fordel af denne situation ved at udgive sig for at være dit websted og stjæle fra besøgende, der lander på det.
Hvis du finder ud af, at dit SSL-certifikat er udløbet, skal du derfor installere et gyldigt certifikat for at bevare autenticiteten og tilliden til dit websted. Vi anbefaler også, at du indstiller en fremtidig påmindelse om at forny certifikatet, inden det udløber.
Din certifikatrodsmyndighed kan ikke være pålidelig
Hvis der ikke kan stoles på certifikatmyndigheden, skal du tilføje certifikatet til det betroede lager i din browser.
I Safari kan du gøre dette for hvert enkelt websted ved at klikke på Vis certifikatet. Udvid derefter afsnittet Tillid i popup-vinduet, og rul ned til den del, hvor der står Når du bruger dette certifikat:
Her skal du bruge dropdown-boksen til at vælge Altid tillid.
Du kan også ændre alle certifikater på dit Mac-system ved at klikke på ikonet med spørgsmålstegnet i dette popup-vindue. Tryk derefter på Åbn adgang til nøglering for mig:
Under System Roots skal du navigere til Certifikater:
Her kan du se dine certifikater og administrere tillidsindstillingerne ved at højreklikke på det relevante certifikat og vælge Get Info
Hvis du bruger Windows, skal du gå til søgemenuen og skrive “mmc” for at åbne Microsoft Management Control. Derefter skal du gå til Fil > Tilføj/fjern snap-in:
Vælg Certifikater, og klik derefter på Tilføj:
Marker feltet for Computerkonto, og tryk derefter på Næste. I den følgende popup-meddelelse skal du vælge Lokal computer og derefter klikke på Afslut:
På det næste skærmbillede skal du klikke på OK for at afslutte.
Dobbeltklik nu på Certifikater, og find Trusted Root Certification Authorities. Højreklik her, hold musen hen over Alle opgaver, og vælg Import:
Dette vil åbne guiden Import af certifikatimport. Klik på Næste , og derefter kan du indtaste det filnavn, du vil importere, eller finde certifikatet på din computer:
Hvis du vil afslutte tilføjelsen af et SSL-certifikat til de betroede rodcertificeringsmyndigheder på din computer, skal du blot trykke på Næste.
Du bruger et selvsigneret certifikat
Et selvsigneret certifikat er ikke signeret af en CA. Der er visse scenarier, hvor det giver mening at bruge et selv-signeret certifikat, f.eks. i softwareudviklingsfaserne.
Det kan dog også give anledning til sikkerheds- og tillidsproblemer med browsere, da det ikke er blevet verificeret af en autoritet, som man har tillid til. Desuden kan selv-signerede certifikater ikke tilbagekaldes, hvilket udsætter dit websted og dine brugere for større risiko. Når et CA-signeret certifikat er kompromitteret, kan certifikatet tilbagekaldes af CA’en for at forhindre yderligere brug.
Hvis du bruger et selvsigneret certifikat (ikke til test eller interne formål), blokerer du sandsynligvis i det mindste en del af trafikken fra at få adgang til dit websted. Den eneste måde at gøre dit websted tilgængeligt og sikkert for alle internetbrugere på er at få udstedt et nyt certifikat fra en betroet CA.
Opsummering
Det kan være frustrerende at se fejlen “Could not establish trust relationship for the SSL/TLS secure channel with authority”. Den blokerer dig for adgang til det ønskede indhold, da der ikke kan etableres en krypteret forbindelse. Desuden kan denne meddelelse som ejer af et websted få dit websted til at virke utroværdigt på besøgende.
At identificere den grundlæggende årsag til fejlen er dog det første skridt til at rette den. Måske er dit SSL-certifikat udløbet, eller måske bruger du et certifikat, der ikke er blevet underskrevet af en betroet CA. Så kan du løse problemet ved at få udstedt et nyt certifikat, eller du kan måske tilføje SSL-certifikatet til det betroede lager på din computer.
En af de nemmeste måder at identificere og løse problemer på dit websted på er med værktøjer til overvågning af ydeevne som Kinsta APM. Vores specialudviklede værktøj opsamler data om dine PHP-processer, databaseforespørgsler, HTTP-kald og meget mere. Endnu bedre er det, at vores APM er gratis i alle vores abonnementer. Tjek vores hostingpakker i dag for at finde den rigtige løsning til dit websted!
