Zertifikatswarnung "CertificateIsInvalid" bei Verschlüsselte Status Webseiten (Contact Center Status, Rest Server Health Check, ...)
nach ein CAESAR Update auf CAESAR 2024 (17.02) oder neuer erscheint beim Aufruf von Status Seiten eine Zertifikatswarnung bedingt durch ein Certificate Transparency Log check
Die Zertifikatswarnung "CertificateIsInvalid" tritt nach einem Update auf CAESAR 2024 (17.02) oder neuer auf Status-Webseiten auf, weil seit dieser Version Edge WebView2 statt Chromium verwendet wird und dort eine zusätzliche Prüfung gegen das Certificate Transparency Log erfolgt. Schlägt diese CT-Prüfung fehl, zeigt CAESAR eine Zertifikatswarnung an.
[Platzhalter für Bild]
Ursache der Warnung
-
Edge WebView2 prüft, ob das Zertifikat der CA im Certificate Transparency Log veröffentlicht wurde.
-
Fehlt diese Veröffentlichung, wird die Verbindung als unsicher eingestuft und die Warnmeldung erscheint.
-
Dies betrifft gerade interne oder eigene CA-Zertifikate, weil diese oft nicht in öffentlichen CT-Logs erscheinen, jedoch auch einige öffentliche Zertifkatsherausgeber.
Debugging und Anzeige im Browser
-
Über den Debugger können die Statusseiten in einem eigenen Tab geöffnet werden.
-
Dort taucht die Standard-Zertifikatswarnung des Browsers auf, die Grund für die Ablehnung gibt (meist CT-Log fehlt, CA nicht vertrauenswürdig, Ablaufdatum überschritten, etc.).
Lösung für CAESAR Edge WebView2
-
Der offizielle Weg von Microsoft, CT Enforcement für Domains im Edge-Browser zu deaktivieren, funktioniert bei WebView2 nicht.
-
Stattdessen kann ein abgewandelter Registry-Key gesetzt werden, um die CT-Prüfung für bestimmte URLs auszuschalten:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\Webview2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\Webview2\CertificateTransparencyEnforcementDisabledForUrls]
"1"="contoso.de"
"2"=".constoso.de"
-
Die Einträge gelten für die genannten Domains und deren Subdomains. Nach einem Neustart wird für diese Seiten die CT-Prüfung deaktiviert und die Warnung verschwindet.