Zum Inhalt springen
Frei ab Juli
Domain

SSL-Zertifikat: Was steckt dahinter – und worauf kommt es wirklich an?

JFM · 5 min · 0 Kommentare Permalink

„Ihre Verbindung ist nicht sicher.“ Dieser Satz im Browser reicht aus, um potenzielle Kunden zu verlieren – noch bevor sie eine einzige Zeile deiner Website gelesen haben. Dabei ist ein gültiges SSL-Zertifikat heute kein Luxus mehr, sondern Grundausstattung. Was dahintersteckt und worauf du bei der Einrichtung achten musst, erkläre ich hier.

Was ist ein SSL-Zertifikat?

Wenn du eine Website ohne SSL aufrufst, werden alle Daten im Klartext zwischen Browser und Server übertragen. Jeder, der sich im gleichen Netzwerk befindet – etwa im offenen WLAN eines Cafés – könnte theoretisch mitlesen. Passwörter, Formulardaten, alles.

Ein SSL-Zertifikat verschlüsselt diese Verbindung. Erkennbar am https:// in der Adresszeile und dem Schloss-Symbol im Browser. Technisch gesehen heißt der Standard heute TLS, aber der Begriff SSL hat sich im Sprachgebrauch gehalten.

Für die meisten Websites reicht ein kostenloses Let’s Encrypt-Zertifikat vollständig aus. Es wird von praktisch allen modernen Hostern angeboten und automatisch ausgestellt. Bezahlte Zertifikate sind nur in Ausnahmefällen nötig – etwa wenn ein grüner Firmenname in der Adressleiste erscheinen soll (Extended Validation), was heute ohnehin kaum noch eine Rolle spielt.

HTTP auf HTTPS umleiten

Das Zertifikat ist installiert – aber die Website ist trotzdem noch über http:// erreichbar. Das sollte nicht so bleiben. Wer die unverschlüsselte Adresse aufruft, muss automatisch auf HTTPS weitergeleitet werden.

Das passiert in der Regel über die .htaccess-Datei:

apache

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Viele Hoster bieten die Umleitung auch direkt im Hosting-Backend per Klick an. In WordPress selbst gibt es Plugins wie Really Simple SSL, die das übernehmen – für den Einstieg praktisch, langfristig ist eine saubere Servereinstellung aber die bessere Lösung.

www und nicht-www: Beide Varianten müssen funktionieren

Ein Fehler, der mir bei Kundenprojekten regelmäßig begegnet: Das Zertifikat gilt nur für www.beispiel.de, aber nicht für beispiel.de – oder umgekehrt. Wer dann die falsche Variante aufruft, bekommt eine Browser-Warnung, obwohl das Zertifikat technisch vorhanden ist.

Was zu prüfen ist:

  • Rufe sowohl https://beispiel.de als auch https://www.beispiel.de auf
  • Beide sollten ohne Fehlermeldung laden
  • Im Idealfall leitet eine Variante auf die andere weiter – damit es immer nur eine kanonische URL gibt

Das Zertifikat muss beide Varianten abdecken. Bei Let’s Encrypt lässt sich das beim Ausstellen einfach einstellen. Wer unsicher ist: Tools wie SSL Labs zeigen detailliert, für welche Domains ein Zertifikat ausgestellt wurde.

Mixed Content: Das versteckte Problem

Ein häufiges Phänomen nach der Umstellung auf HTTPS: Die Seite läuft, aber im Browser erscheint trotzdem ein Warnsymbol oder das Schloss ist durchgestrichen. Der Grund ist fast immer Mixed Content.

Das bedeutet: Die Seite selbst wird über HTTPS ausgeliefert, aber einzelne Ressourcen – Bilder, Schriften, Skripte – werden noch über HTTP nachgeladen. Der Browser blockiert das oder zeigt eine Warnung, weil die Verbindung damit nicht vollständig verschlüsselt ist.

In WordPress passiert das besonders häufig, wenn Bilder oder Links mit absoluter HTTP-URL in der Datenbank gespeichert sind. Das Tool Better Search Replace hilft dabei, alle alten HTTP-URLs in der Datenbank zu ersetzen. Alternativ erledigt das Plugin Really Simple SSL einen Großteil davon automatisch.

Zum Prüfen: Im Browser mit F12 die Entwicklertools öffnen, Reiter „Console“. Dort werden Mixed-Content-Warnungen direkt angezeigt, inklusive der betroffenen Datei.

WordPress-Einstellungen nicht vergessen

Nach der SSL-Aktivierung müssen die URLs in WordPress selbst angepasst werden. Unter Einstellungen → Allgemein finden sich zwei Felder:

  • WordPress-Adresse (URL)
  • Website-Adresse (URL)

Beide müssen auf https:// beginnen. Wird das vergessen, kann es zu Weiterleitungsschleifen kommen – oder Teile der Website laden weiterhin unverschlüsselt.

Das Ablaufdatum im Blick behalten

Let’s Encrypt Zertifikate sind 90 Tage gültig und werden von den meisten Hostern automatisch erneuert. „Meistens“ ist aber nicht „immer“. Die automatische Erneuerung kann fehlschlagen – zum Beispiel wenn sich DNS-Einstellungen geändert haben oder der Hoster ein Problem hat.

Das Ablaufdatum lässt sich schnell prüfen: Im Browser auf das Schloss-Symbol klicken → „Verbindung ist sicher“ → „Zertifikat ist gültig“. Dort steht das genaue Ablaufdatum.

Wer mehrere Websites betreut, kann Tools wie SSL Shopper oder Monitoring-Dienste nutzen, die automatisch warnen, wenn ein Zertifikat in Kürze abläuft.

Was Kunden oft nicht verstehen

Wenn ein Kunde anruft und sagt „meine Website zeigt eine Sicherheitswarnung“, bedeutet das nicht zwingend, dass etwas gehackt wurde. Es kann verschiedene Ursachen haben:

  • Das Zertifikat ist abgelaufen
  • Es gilt nicht für die aufgerufene Domain-Variante
  • Es liegt Mixed Content vor
  • Der Browser des Kunden ist veraltet

Der erste Schritt ist immer: Die genaue Fehlermeldung ansehen. Browser sind da inzwischen sehr präzise. „Das Zertifikat ist abgelaufen“ ist eine andere Baustelle als „Die Verbindung ist nicht privat“ wegen eines ungültigen Zertifikats.

Schnell-Checkliste für die SSL-Einrichtung

  • Zertifikat ausgestellt und aktiv
  • Zertifikat gilt für www und nicht-www
  • HTTP leitet auf HTTPS um (301)
  • WordPress-URLs auf HTTPS umgestellt
  • Kein Mixed Content (Konsole prüfen)
  • Ablaufdatum bekannt, automatische Erneuerung aktiv

Etwas stimmt nicht?

SSL-Probleme sehen von außen oft gleich aus, haben aber unterschiedliche Ursachen. Wenn du nicht sicher bist, wo bei dir der Haken liegt, helfe ich dir bei der Analyse – und sorge dafür, dass deine Website sauber und sicher erreichbar ist.

Zur Freelance-Seite

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Markdown erlaubt · keine Anmeldung nötig