Download fehlgeschlagen. SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Vor kurzem hatte ich ein Problem mit dem Aktualisieren von Themes oder Plugins auf meiner Multisiteinstallation von WordPress. Anscheinend ist kein gültiges SSL-Zertifikat hinterlegt und es erscheint die obige Fehlermeldung beim Update.

Bei der Suche nach einer Lösung, fand ich einen Beitrag im Netz, in dem dazu geraten wird, die SSL-Verifikation in der upgrade.php einfach abzustellen (übersteht aber nicht zukünftige upgrades, da die upgrade.php jedesmal überschrieben wird). Für den Moment löst diese Vorgehensweise auf jedenfall das Problem und man kann upgraden, wenn es dringend ist. Doch auf der Hand liegt, dass man damit eben auch eine wichtige interne Funktion von WordPress abstellt (sofern man SSL zB auf der Admin-Seite benutzen will). Wem es also reicht, den Hafen zu umschiffen, der greift auf diese Lösung zurück.

Um aber einen tieferen Blick zu wagen, habe ich weiter gesucht und eine Lösung gefunden, die die Funktion repariert, anstatt sie abzustellen. Somit erhalte ich die interne Funktion von WordPress, bin zukünftig frei, SSL zu benutzen (bzw. das jeweilige Zertifikat zu verifizieren) und kann ohne Probleme aktualisieren. Aber nun zur Lösung:

Wenn Du, wie ich, in letzter Zeit mit dem Server, oder dem Root des Webspace umgezogen bist und Du diese Fehlermeldung bekommst, wird wahrscheinlich die Datei ca-bundle.crt (internes WordPress SSL-Zertifikat) unter /wp-includes/certificate/ korrupt sein und muss ersetzt werden (warum auch immer!). Dazu kannst Du den Inhalt dieser Seite kopieren und eine Datei ca-bundle.crt auf dem Desktop erstellen. In diese fügst Du nun den Inhalt mit dem Notepad ein, speicherst und lädst die Datei nun auf den Server, wodurch die ursprüngliche Datei auf dem Server ersetzt wird. Bei mir hat dies das Problem nachhaltig gelöst und die SSL-Verifikation ist nach wie vor intakt.

Ein Gedanke dazu noch: ich kann überhaupt nicht einschätzen, inwieweit man die Quellen für die ca-bundle.crt auf ihre Seriösität überprüfen muss. Ich kann mir gut vorstellen, dass es ein Sicherheitsrisiko sein könnte eine komprommitierte Datei zu verwenden. Aus diesem Beispiel benutze ich das ca-bundle.crt vom Webspace von GitHub.