"Anslutningen är inte privat" - SSL-certifikatfel

Om din webbplats hos WebHotel24.se visar SSL-certifikatfel, d v s "Anslutningen är inte säker" och texten NET::ERR_CERT_DATE_INVALID så kan du behöva uppdatera din dator, surfplatta eller mobiltelefon.

Felet kan också visas vid anslutning till epost-tjänster eller likande.

Bakgrunden är att ett mellanliggande root-certifikat har gått ut och detta hade utgångsdatum 2021-09-30 kl 16.01.15 (svensk tid). Detta root-certifikat ligger i din dator, surpflatta eller mobiltelefon. Felet ligger alltså inte i webb- eller epost-servern. Det är normalt inte så svårt att lösa - läs vidare.

Om du regelbundet har uppdaterat operativsystemet i din dator, surfplatta eller mobiletelefon så uppstår inte detta fel, så orsaken kan vara att du inte har uppdaterat. Om du besöker hemsidan som ger felmeddelande från en annan enhet och detta går bra utan felmeddelande ("grönt hänglås" i webbläsaren) så är detta ett tydligt tecken på att din enhet behöver uppdateras.

Lösning

Windows: Kör Windows update och installera alla väntande uppdateringar. Starta om enheten.

Mac, iPhone och iPad *): Gå till Systeminställningar och välj Programupppdatering, installera väntande uppdateringar. Starta om enheten.

Android **): Gå till Inställningar och välj System, därefter Programuppdatering. Installera väntande uppdateringar. Starta om enheten.

*) För iPhone och iPad krävs minst IOS version 10, så har du en gammal enhet som bara har stöd för IOS 10 så behöver du skaffa en nyare enhet då Apple inte längre uppdaterar IOS < 10.

**) Om du har en äldre Android-enhet som inte längre uppdateras av leverantören så kan du behöva skaffa en nyare enhet då din tillverkare inte längre uppdaterar den.

Servers och Linux/UNIX-baserade system

Servers som t ex gör maskin-till-maskinanrop mot t ex API:er kan också råka ut för detta problem. T ex kan openssl i den anropande servern behöva uppdateras. Problemet är känt för openssl före version 1.1. För att kontrollera vilken version av openssl som körs:

openssl version

Man kan också ansluta som klient med openssl och för en version av openssl som inte är uppdaterad så blir resultatet:

$ openssl s_client -connect whse07.webhotel24.se:443 -servername whse07.webhotel24.se
CONNECTED(00000005)
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
---
Certificate chain
0 s:/CN=whse07.webhotel24.se
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---

De kursiva raderna visar att openssl använder det gamla utgångna mellanliggande root-certfikatet. Efter uppdatering av openssl så ska det se ut så här:

$ openssl s_client -connect whse07.webhotel24.se:443 -servername whse07.webhotel24.se
CONNECTED(00000005)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = whse07.webhotel24.se
verify return:1
---
Certificate chain
0 s:CN = whse07.webhotel24.se
i:C = US, O = Let's Encrypt, CN = R3
1 s:C = US, O = Let's Encrypt, CN = R3
i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
i:O = Digital Signature Trust Co., CN = DST Root CA X3
---