Zertifikatsfehler bei Facebook trifft Safari-Nutzer

Safari-Nutzer sind in den letzten Tagen häufig beim Besuch von Seiten mit Facebook-Links auf einen Fehler gestoßen. Sie erhielten eine Nachricht, das Zertifikat für die Verbindung mit der URL „static.ak.facebook.com“ sei ungültig. Der Browser riet aus diesem Grund, die Verbindung zu terminieren, und bot dafür Optionen an.

Der Fehler schien zufällig auf Seiten mit Facebook-Elementen wie dem Like-Button aufzutreten. Es wird vermutet, dass irgendeine kleine Änderung am Facebook-Code ausschließlich Safari-Nutzer betraf. Jedenfalls stimmt die im Zertifikat genannte URL nicht mit der tatsächlich genutzten überein.

Es handelt sich um eine wichtige Überprüfung, die verhindern soll, dass abgesicherte Verbindungen per HTTPS entführt werden. Allerdings deutet die beschriebene Fehlermeldung nicht immer auf eine Sicherheitslücke hin. Sie kann beispielsweise auch auftreten, wenn ein User eine verkürzte URL nutzt, etwa facebook.com statt www.facebook.com. Ähnlich in diesem Fall: Von „static.ak.facebook.com“ soll ein 16 mal 16 Pixel großes PNG-Bild geladen werden, das in manchen Fällen aber letztlich von einer anderen URL kommt (a248.e.akamai.net), für die das Zertifikat nicht gilt. Akamai ist ein beliebter Hosting-Dienst.

Solche kleinen Bilder laden meistens ohne Zertifikat. Die zu der Fehlermeldung führende Änderung könnte in den Hosting-Einstellungen von Akamai erfolgt sein. In vielen Fällen wäre ein solcher nur sporadisch auftretender Fehler wohl gar nicht bemerkt worden. Eingebettete Facebook-Dienste sind aber inzwischen so häufig, dass sich die Berichte im Web und auf Twittter sowie auf Facebook selbst summierten.

Inzwischen scheint Akamai den Fehler behoben zu haben. Eine offizielle Bestätigung durch Facebook oder Akamai liegt nicht vor.

[mit Material von Topher Kessler, News.com]