Ich nutze seit einiger Zeit den Brave Browser, aber bei der Einrichtung des SSL-Zertifikats für meine Allsky-Kamera (zur Anleitung) war der Browser echt zickig. Während Chrome und Safari mein Let’s-Encrypt-Zertifikat sofort akzeptiert haben, zeigte Brave weiterhin „Broken HTTPS“ an – obwohl der Server korrekt konfiguriert war und openssl eine saubere TLS-Kette bestätigte. Und so löst man das Problem!
*** Anmerkung: Ein freundlicher Leser wies mich darauf hin, dass manchmal ein Neustart von Brave ausreicht. Das konnte ich allerdings nicht verifizieren. Aber vielleicht erstmal probieren, bevor man die folgenden Schritte durchführt! ***
Ich habe zunächst getestet, ob der SSL sauber eingerichtet war:
curl -I https://access.allsky-rodgau.de
Zusätzlich habe ich noch
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
eingerichtet:
sudo nano /etc/apache2/sites-available/indi-allsky.conf
und dann unter folgendes ergänzt:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Nach etwas Analyse war also klar: Das Problem lag nicht beim Raspberry Pi, nicht bei Apache und auch nicht beim Zertifikat, sondern ausschließlich im Brave-Profil. Brave ist offenbar bei HTTPS deutlich strenger als andere Browser und speichert darüber hinaus verschiedene Sicherheitseinstellungen pro Domain, die selbst nach einem normalen Reload oder dem Löschen des Browser-Caches aktiv bleiben.
1. Domain-Einträge für die Seite in Brave löschen
Brave speichert pro Domain eigene Einstellungen (z. B. Mixed-Content-Regeln oder Sicherheitsbewertungen). Um diese zurückzusetzen:
Einfach folgende Adresse in der Adresszeile des Browsers eingeben:
brave://settings/content/all
Dort die eigene Domain suchen und sämtliche Einträge löschen. Dadurch entfernt Brave alle lokal gespeicherten Sicherheitsregeln. Ich habe einfach mal alles gelöscht – aber Achtung: Dadurch wird man von allen Webseiten abgemeldet und der Verlauf wird gelöscht. Mache ich eh öfter, also alles gut.
2. HSTS-Cache löschen
Brave führt einen separaten, persistenten HSTS-Cache. Dieser wird beim normalen Cache-Löschen nicht zurückgesetzt.
Den Cache kann man unter folgender Adresse aufrufen (einfach in der Adresszeile eingeben!):
brave://net-internals/#hsts
Unter „Delete domain security policies“ die eigene Domain eintragen und entfernen. Dadurch verschwinden veraltete oder fehlerhafte HSTS-Einträge, die Brave an einer korrekten HTTPS-Einstufung hindern.
3. DNS- und Socket-Cache zurücksetzen
Damit Brave alle TLS-Informationen vollständig neu lädt, sollten auch die Netzwerk-Caches zurückgesetzt werden.
DNS-Cache löschen:
brave://net-internals/#dns → „Clear host cache“
Socket-Pools leeren:
brave://net-internals/#sockets → „Flush socket pools“
Anschließend den Browser komplett schließen und neu starten.
Fertig!
Die TLS-Konfiguration auf dem Raspberry war korrekt – Brave hatte lediglich veraltete Sicherheitsinformationen gespeichert. Nach dem Zurücksetzen der Domain-bezogenen Einstellungen, des HSTS-Caches und der Netzwerk-Caches akzeptierte Brave das Zertifikat genauso wie Safari und Chrome.