Du sitzt gemütlich am Rechner, willst ein neues WordPress-Plugin installieren oder ein Update einspielen – und plötzlich knallt dir eine kryptische Fehlermeldung um die Ohren: „Guzzle cURL error: SSL certificate problem: unable to get local issuer certificate“. Herzlichen Glückwunsch, du bist offiziell im Club der WordPress-Admins, die sich mit CA-Bundles, TLS und cURL herumschlagen dürfen! Aber keine Sorge: In diesem Artikel nehmen wir dich an die Hand, erklären dir, was hinter dem Fehler steckt, warum er immer häufiger auftritt, und wie du ihn – Schritt für Schritt – endgültig loswirst. Und das alles mit einer Prise Humor, einer ordentlichen Portion Fachwissen und ganz viel Herzblut aus dem Hause Nakaryu.

Bevor wir in die Tiefen der Serverkonfiguration abtauchen, lass uns kurz klären, was hier eigentlich passiert. Denn: Guzzle ist nicht etwa ein neues Energy-Getränk, sondern eine beliebte PHP-Bibliothek, die von vielen WordPress-Plugins (z.B. WooCommerce, RankMath, WPML, MailPoet, u.v.m.) genutzt wird, um HTTP-Anfragen zu stellen. Und cURL ist das Schweizer Taschenmesser für Webanfragen auf deinem Server. Wenn die beiden sich nicht verstehen, kracht’s – und das meist wegen Problemen mit SSL-Zertifikaten und der CA-Bundle-Konfiguration.

Laut W3Techs läuft mittlerweile über 43% aller Websites weltweit auf WordPress. Die Zahl der Plugins liegt bei über 60.000 (WordPress Plugin Directory). Kein Wunder also, dass immer mehr Admins mit SSL- und cURL-Problemen konfrontiert werden – vor allem, seit die Anforderungen an sichere Verbindungen (TLS 1.2+, aktuelle Zertifikate, vollständige CA-Bundles) durch DSGVO, Google & Co. massiv gestiegen sind.

Doch was genau bedeutet der Fehler, und wie kannst du ihn beheben? Lass uns gemeinsam in die Materie eintauchen!

• Was ist der „Guzzle cURL error“?
  

  Der Fehler tritt auf, wenn ein Plugin (z.B. für Updates, API-Calls oder externe Dienste) eine HTTPS-Verbindung aufbauen will, aber die SSL-Zertifikatskette nicht korrekt validieren kann. Meist lautet die Meldung:
  
  cURL error 60: SSL certificate problem: unable to get local issuer certificate
  
  Das bedeutet: Dein Server kann das Zertifikat der Gegenstelle nicht bis zur vertrauenswürdigen Zertifizierungsstelle (CA) zurückverfolgen, weil das sogenannte CA-Bundle fehlt, veraltet oder falsch eingebunden ist.

• Warum passiert das immer häufiger?
  

  Die Anforderungen an sichere Verbindungen steigen stetig. Viele APIs und Dienste akzeptieren nur noch TLS 1.2 oder höher, und die Browser (sowie Google) bestrafen unsichere Seiten gnadenlos. Hinzu kommt: Viele Hoster aktualisieren ihre Server nicht regelmäßig, oder die PHP/cURL-Konfiguration ist nicht optimal. Das führt dazu, dass Plugins plötzlich keine Verbindung mehr zu externen Diensten aufbauen können – und der „Guzzle cURL error“ ist die Folge.

• Welche Plugins sind betroffen?
  

  Besonders häufig betroffen sind Plugins, die mit externen APIs kommunizieren, z.B.:

  • WooCommerce (Zahlungsanbieter, Versanddienste, Lizenzprüfungen)
  • SEO-Plugins wie RankMath oder Yoast (z.B. für Indexing-APIs)
  • Newsletter-Plugins (MailPoet, Mailchimp, Sendinblue)
  • Backup- und Security-Plugins (UpdraftPlus, Wordfence)
  • Multilingual-Plugins (WPML, Polylang)

  Aber auch Themes und Custom-Integrationen können betroffen sein.

Die gute Nachricht: Mit ein paar gezielten Handgriffen kannst du das Problem meist dauerhaft lösen. Und zwar so:

1. Ursachenanalyse: Wo liegt das Problem?

• Fehlendes oder veraltetes CA-Bundle
  

  Das CA-Bundle ist eine Datei, die alle vertrauenswürdigen Zertifizierungsstellen enthält. cURL nutzt diese Datei, um zu prüfen, ob das SSL-Zertifikat der Gegenstelle echt ist. Ist das Bundle veraltet oder fehlt, schlägt die Prüfung fehl.

• Falsche PHP/cURL-Konfiguration
  

  In der php.ini muss der Pfad zum CA-Bundle korrekt gesetzt sein. Fehlt dieser Eintrag oder zeigt er ins Leere, kann cURL keine Zertifikate prüfen.

• Veraltete cURL- oder OpenSSL-Version
  

  Ältere Versionen unterstützen neue Verschlüsselungsstandards (TLS 1.2/1.3) nicht oder haben Bugs bei der Zertifikatsprüfung.

• Serverseitige Firewall/Proxy-Probleme
  

  Manchmal blockiert eine Firewall oder ein Proxy die Verbindung zu bestimmten Ports oder IPs. Das ist seltener, aber nicht unmöglich.

2. Schritt-für-Schritt-Anleitung zur Behebung

• CA-Bundle aktualisieren
  

  Lade das aktuelle CA-Bundle von der offiziellen cURL-Website herunter:
  
  https://curl.se/docs/caextract.html
  
  Speichere die Datei (meist cacert.pem) an einem sicheren Ort auf deinem Server, z.B. /etc/ssl/certs/cacert.pem.

• php.ini anpassen
  

  Öffne die php.ini (meist unter /etc/php/7.x/cli/php.ini oder /etc/php/7.x/apache2/php.ini) und suche nach:
  
  curl.cainfo und openssl.cafile
  
  Setze beide auf den Pfad zu deiner cacert.pem:
  
  curl.cainfo = "/etc/ssl/certs/cacert.pem"
openssl.cafile = "/etc/ssl/certs/cacert.pem"
  
  Speichere die Datei und starte den Webserver neu (sudo systemctl restart apache2 oder sudo systemctl restart php-fpm).

• cURL und OpenSSL updaten
  

  Stelle sicher, dass du aktuelle Versionen verwendest. Prüfe die Versionen mit:
  
  curl --version und php -i | grep "OpenSSL"
  
  Aktualisiere ggf. mit sudo apt update && sudo apt upgrade curl openssl (Debian/Ubuntu) oder yum update curl openssl (CentOS).

• WordPress-Plugin-Workarounds (nur im Notfall!)
  

  Manche Plugins erlauben es, die Zertifikatsprüfung temporär zu deaktivieren (z.B. mit 'verify' => false in Guzzle-Requests). Das ist aber unsicher und sollte nur zum Testen genutzt werden!

• Server-Cache und PHP-Cache leeren
  

  Nach Änderungen an der php.ini oder am CA-Bundle solltest du alle Caches leeren und ggf. den Server neu starten.

3. Typische Stolperfallen und Troubleshooting

• Shared Hosting: Kein Zugriff auf php.ini?
  

  Viele Hoster erlauben keine Anpassung der php.ini. Hier kannst du versuchen, eine php.ini oder .user.ini im Webroot anzulegen. Alternativ hilft oft der Support des Hosters weiter.

• Mehrere PHP-Versionen installiert?
  

  Achte darauf, dass du die php.ini der aktiven PHP-Version anpasst (z.B. php7.4 vs. php8.1).

• Windows-Server: Pfadangaben beachten!
  

  Unter Windows müssen Pfade mit doppeltem Backslash angegeben werden, z.B. C:\xampp\php\extras\ssl\cacert.pem.

• Let’s Encrypt-Zertifikate und Zwischenzertifikate
  

  Seit 2021 gab es Änderungen bei Let’s Encrypt (Quelle), die zu Problemen mit alten CA-Bundles führen können. Immer das neueste Bundle verwenden!

4. Beispiel: So sieht eine korrekte Konfiguration aus

5. Sicherheit geht vor: Warum du die Zertifikatsprüfung nie dauerhaft deaktivieren solltest

Es mag verlockend sein, die Zertifikatsprüfung einfach abzuschalten – aber das öffnet Tür und Tor für Man-in-the-Middle-Angriffe und gefährdet die Sicherheit deiner Website und deiner Nutzer. Immer das CA-Bundle korrekt einbinden und aktuell halten!

6. Fazit: Mit ein bisschen Know-how zum SSL-Glück

Der „Guzzle cURL error“ ist nervig, aber kein Hexenwerk. Mit aktuellem CA-Bundle, sauberer PHP-Konfiguration und regelmäßigen Updates bist du auf der sicheren Seite. Und falls du mal nicht weiterkommst – oder einfach keine Lust auf Serverbastelei hast – gibt’s ja uns von Nakaryu!

Wie Nakaryu dir helfen kann

Wir bei Nakaryu sind nicht nur Webdesign-Nerds, sondern echte Technik-Freaks mit Herz und Humor. Ob WordPress-Fehlerbehebung, Plugin-Optimierung oder Server-Security – wir bringen deine Website wieder auf Kurs. Und falls du eine neue, sichere und blitzschnelle Website willst, schau dir unsere Webdesign-Flatrate an. Individuell, flexibel, monatlich kündbar – und immer mit persönlichem Ansprechpartner. Aus Nürnberg, für ganz Deutschland und darüber hinaus!

Quellen

• W3Techs: WordPress Usage Statistics
• WordPress Plugin Directory
• cURL: CA Certificates Extract
• Let’s Encrypt: DST Root CA X3 Expiration
• PHP Manual: curl_setopt
• SSL Labs: SSL Server Test