In diesem Fall müssen Sie per Hand das alte Zertifikat in Ihrem Browser löschen.
Ich muss also ein als nicht vertrauenswürdiges Zertifikat manuell irgendwo als vertrauenswürdig definieren ?
Nein, dieser Ausschnitt aus der FAQ hat nichts mit Deinem Problem zu tun. Er bezieht sich nur darauf, dass es gewisse mangelhafte Webbrowser gibt, die veraltete Zertifikate speichern und nicht von selbst löschen. Man muss das dann von Hand machen.
So ein Zertifikate müsste doch unabhängig von der Seite gehändelt werden auf die man drauf will.
Jein. Wenn Du Deinen Web-Browser auf eine Seite schickst, die verschlüsselt übertragen werden soll und bei der die Echtheit des Seitenanbieters geprüft werden muss, dann passiert zweierlei: Dein Browser holt sich das Zertifikat, das für diesen Web-Server definiert ist und prüft ebenso, ob auch der Zertfikatsaussteller ein gültiges Zertifikat hat, sowie dessen Zertifikatsausteller und dessen ... usw. bis er auf einen Stammzertifikatsaussteller trifft, der vom Browser-Hersteller als "echt" eingestuft wurde.
Das unterste Zertifikat darf
nicht unabhängig von der Seite sein, denn es soll ja gerade die Herkunft dieser Seite als "echt" ausweisen. Deshalb ist dieses Zertifikat fest an den Namen des Web-Servers gebunden.
In Deinem Fall hat der Seitenanbieter etwas Dilettantisches gemacht, nämlich ein Zertifikat für einen Server mit einem anderen Namen hinterlegt. Das Zertifikat gilt offensichtlich gar nicht für den Webserver "
www.rechnung-online.telekom.de", sondern für einen anderen. Für welchen genau, müsste angezeigt werden, wenn Du den Pfeil "Details" öffnest.
Was da passiert, wundert mich allerdings, denn wenn ich die Seite öffne, wird mir das korrekte Zertfikat geliefert, und auch der Servername stimmt korrekt überein (siehe Bild unten).
Oder gibt es da eine Instanz wo man schauen kann ob das Zertifikat gültig ist, wobei die Seite der Instanz ja auch gefälscht sein kann. Wie überprüft man das ?
All das übernimmt der Browser in dem Moment für Dich, und zwar vollkommen automatisch. Das ist ja gerade der Sinn von Zertifikaten.
In Deinem Fall wurde das Zertifikat von "Deutsche Telekom CA 5" ausgestellt. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root Sign Partners CA" ausgestellt wurde. Diese Instanz wurde mit einem weiteren Zertifikat beglaubigt, das von "GlobalSign Root CA" ausgestellt wurde. Dieses letzte Zertifikat ist ein Stammzertifikat, das Apple Dir bei der Installation von Mac OS X mitgeliefert hat. Du kannst alle Stammzertifikate, die Apple als beglaubigt ansieht, im Schlüsselbund-Dienstprogramm anzeigen, wenn Du dort die Gruppe "X.509Anchors" öffnest.
Mac OS X kann sogar noch einen Schritt weiter gehen und durch Befragen von dritten Quellen prüfen, ob eines der Zertifikate in der Beglaubigungskette vielleicht inzwischen als nicht mehr gültig zurückgezogen wurde. Hierzu können in den Einstellungen des Schlüsselbund-Dienstprogramms die Features "Online Certificate Status Protocol" und "Certificate Revocation List" aktiviert werden.
Wann bekomme ich denn erstmals ein Zertifikat ?
Es wird beim Öffnen einer gesicherten Web-Seite (dort, wo danach ein Schlosssymbol eingeblendet wird) überprüft.
In meinem Schlüselbund gibt es gar kein t-online Zertifikat.
Das soll so sein. Es gibt keinen Grund, das Zertifikat zu speichern. Es sollte bei jedem Öffnen einer Seite neu geholt und überprüft werden. Damit wird genau das Problem vermieden, das Du in der FAQ gefunden hast.