Register.Domains Register.Domains
Warenkorb

Ansehen

Zur Kasse

Ihr Warenkorb ist leer

Kontaktieren Sie uns

Für Unterstützung per E-Mail: Kontaktieren Sie uns

Service
Domainnamen
E-Mail & Hosting
Domainnamen
E-Mail & Hosting

SSL-Zertifikate: Warum Ihre Website eins braucht

Geschrieben von Sarah Johnson ·

SSL-Zertifikate: Warum Ihre Website eins braucht

🔍 Zusammenfassung:

TL;DR Jede Website braucht ein SSL-Zertifikat, egal wie groß sie ist oder ob Sie Zahlungen annehmen. SSL verschlüsselt die Verbindung zwischen dem Browser Ihres Besuchers und Ihrem Webserver, verhindert Browser-Warnungen wie "Nicht sicher", unterstützt bessere Suchmaschinen-Rankings und ist praktisch nötig für moderne Browser-Funktionen. Oft bekommen Sie kostenlose SSL-Zertifikate über Ihren Domainanbieter oder Hosting-Dienste.

📋 Inhaltsverzeichnis

1. Was ist ein SSL-Zertifikat für eine Website?

Vielleicht haben Sie im Browser schon das Schloss-Symbol gesehen, zusammen mit einer Warnung wie "Nicht sicher" oder "Ihre Verbindung ist nicht privat". Oft müssen Sie dann extra bestätigen, bevor Sie eine Website öffnen. Und meist hat man darauf keine Lust.

Dann fragt man sich: "Brauche ich ein SSL-Zertifikat für meine Website?" Wenn Sie sich das fragen, sind Sie schon auf dem richtigen Weg, Ihre Website sicherer und für Besucher einfacher zu machen.

Ein SSL-Zertifikat ist eine kleine digitale Datei, die auf einem Webserver installiert wird. Sie bestätigt die Identität Ihrer Website und ermöglicht eine verschlüsselte Verbindung. Wenn ein Besucher Ihre Seite öffnet, prüft sein Browser das Zertifikat, bevor Daten übertragen werden. Ist das Zertifikat gültig, ist der gesamte Datenverkehr zwischen Browser und Server vor dem Abfangen geschützt.

Wenn Sie sich fragen: "Wofür steht SSL?" SSL bedeutet "Secure Sockets Layer". Das ist ein Internet-Protokoll aus den 1990er-Jahren, um Kommunikation zu sichern. Die Technik, die die meisten Websites heute nutzen, ist der Nachfolger TLS (Transport Layer Security). TLS ist schneller und deutlich sicherer. Auch wenn heute eigentlich TLS genutzt wird, werden beide Begriffe in der Branche oft gleich benutzt (oft als SSL/TLS).

2. Wie funktioniert ein SSL-Zertifikat?

Jedes SSL/TLS-Zertifikat nutzt ein Paar kryptografischer Schlüssel – einen öffentlichen Schlüssel und einen privaten Schlüssel. Der öffentliche Schlüssel ist im Zertifikat enthalten und wird offen geteilt. Der private Schlüssel bleibt auf Ihrem Webserver und wird nie offengelegt.

Wenn ein Browser sich mit Ihrer Website verbindet, läuft ein Prozess ab, der TLS-Handshake heißt. Er dauert nur Millisekunden und passiert durch das Übertragen kleiner Datenpakete. So funktioniert es:

  1. Der Browser fordert eine sichere Verbindung an und teilt mit, welche Verschlüsselungsarten er unterstützt.
  2. Ihr Server antwortet mit seinem SSL-Zertifikat (mit dem öffentlichen Schlüssel) und seiner bevorzugten Verschlüsselungsart.
  3. Der Browser prüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde.
  4. Beide Seiten nutzen den öffentlichen Schlüssel, um sich auf einen eindeutigen privaten Sitzungsschlüssel zu einigen.
  5. Alle weiteren Daten – wie Formulareingaben, Login-Daten und Zahlungsdetails – werden mit diesem Sitzungsschlüssel verschlüsselt übertragen.
  6. Mit dem (neuesten) Standard TLS 1.3 können Server und Client auch einen Sitzungsschlüssel teilen. So wird Hin-und-her-Kommunikation vermieden, nachdem der erste private Schlüssel erstellt wurde.

Daher enthält jedes SSL-Zertifikat einen Standardsatz an Feldern, die der Browser in diesem Prozess liest:

  • Common Name (CN): Die Domain, für die das Zertifikat ausgestellt wurde (z. B. example.com).
  • Subject Alternative Names (SAN): Zusätzliche Domains oder Subdomains, die das Zertifikat unter derselben Registrierung abdeckt.
  • Aussteller: Die Zertifizierungsstelle, die das Zertifikat geprüft und signiert hat.
  • Gültigkeitszeitraum: Der Zeitraum, in dem das Zertifikat als vertrauenswürdig gilt, meist ein Jahr.
  • Öffentlicher Schlüssel: Der kryptografische Schlüssel, der offen geteilt wird und die verschlüsselte Sitzung startet.

Die Daten werden dann mit der Verschlüsselungsart und dem bereitgestellten öffentlichen Schlüssel „verschleiert“. Am Ziel werden sie mit dem Sitzungsschlüssel wieder entschlüsselt. Selbst wenn jemand den Datenverkehr abfangen würde, sähe er nur wirre Daten, die ohne den privaten Schlüssel praktisch nicht zu entschlüsseln sind.

3. Warum heute jede Website ein SSL-Zertifikat braucht

Jedes Datenpaket, das Ihre Besucher an Ihre Website senden, wird im Grunde als Klartext übertragen. SSL macht daraus unlesbaren Text, weil es die Verbindung vom Client zum Server und zurück verschlüsselt. Zwar kann grundsätzlich jeder im gleichen Netzwerk (zum Beispiel im Café-WLAN) die Informationen mit verschiedenen Tools mitlesen, aber nur mit dem passenden privaten Schlüssel kann man sie wieder lesbar machen.

Außerdem zeigen alle Browser eine Warnung wie "Nicht sicher" in der Adresszeile an, wenn eine HTTP-Seite ein Formular enthält. Zum Beispiel markiert Chrome mit seinen Sicherheitsanzeigen Nicht-HTTPS-Websites aktiv für Nutzer. Diese Warnung ist oft schon ein Grund, dass Besucher die Seite sofort wieder verlassen.

Ein gültiges Zertifikat zeigt auch, dass Ihr Domainname wirklich von der Person oder Firma kontrolliert wird, die es beantragt hat. So ist es für Angreifer deutlich schwerer, Ihre Website nachzuahmen, weil sie kein Zertifikat für eine Domain bekommen, die sie nicht kontrollieren.

Wann SSL Pflicht ist

Wenn Ihre Website Kreditkarten-Daten sammelt, muss sie meist die PCI-DSS-Regeln einhalten. Diese machen eine durchgehende Verschlüsselung zur Pflicht. SSL ist zwar nicht in jedem Fall ausdrücklich vorgeschrieben, aber es ist das Minimum, um Nutzerdaten zu verschlüsseln. Darum ist es oft das Erste, was kleine Websites einrichten.

Das gilt genauso für Websites, die geschützte Gesundheitsdaten verarbeiten (HIPAA) oder in der EU unter die DSGVO fallen. Selbst Websites ohne Zahlungsabwicklung, die Login-Formulare oder Kontaktformulare haben, setzen Nutzerdaten einem Risiko aus, wenn sie über HTTP laufen.

Außerdem: Wenn Sie moderne APIs nutzen wollen, die den Standort des Nutzers erfassen, oder Push-Benachrichtigungen anbieten möchten, ist dafür oft ein SSL-Zertifikat nötig.

4. SEO- und Business-Gründe für HTTPS

Google hat HTTPS schon 2014 als Ranking-Signal bestätigt. Das heißt: Websites mit SSL-Zertifikat (die Basis für HTTPS) können in den Suchergebnissen bevorzugt werden. Zusammen mit einer guten Domain-Endung für E-Commerce oder Business-Websites ist das eine der wenigen Möglichkeiten, wie die URL das Ranking beeinflussen kann.

Aber unabhängig vom Ranking gilt: Vertrauen bringt Verkäufe. Wenn ein Besucher sofort eine große Warnung sieht, dass die Website vielleicht nicht sicher ist, weil kein SSL-Zertifikat vorhanden ist oder kein HTTPS genutzt wird, springt er viel eher ab. Das kleine Schloss-Symbol ist so normal geworden, dass sein Fehlen viele Menschen misstrauisch macht.

Es gibt auch ein paar technische Punkte bei der SSL-Umsetzung:

  • Wenn eine HTTPS-Seite auf eine HTTP-Seite verlinkt, wird der Referrer-Header komplett entfernt. Ihre Analytics werden diesen Traffic und Social-Referrals dann als "direkt" einstufen. So lässt sich der Marketing-ROI nicht genau messen.
  • HTTP/2 beschleunigt stark, wie Browser Seiteninhalte laden, und ist nur über HTTPS verfügbar. Schnellere Ladezeiten verbessern die Nutzererfahrung und sind auch ein Ranking-Faktor für Suchmaschinen.

Checkliste für eine SEO-sichere Umstellung

Der Wechsel von HTTP zu HTTPS kann dazu führen, dass Sie frühere Analyse- oder Ranking-Daten verlieren oder doppelte Seiten entstehen (manche mit HTTPS, manche ohne). Sie müssen:

  • 301-Weiterleitungen von jeder HTTP-URL zur passenden HTTPS-URL einrichten
  • Alle internen Links, Canonical-Tags und XML-Sitemaps aktualisieren
  • Ihre Sitemap in der Google Search Console erneut einreichen.

5. Was Schloss-Symbol und HTTPS garantieren – und was nicht

Das Schloss steht sicher für zwei Dinge:

  1. Die Daten zwischen Server und Client (also dem Browser) können von Dritten nicht sinnvoll gelesen werden.
  2. Die Domain im Zertifikat passt zur besuchten Domain und wird so geprüft.

Trotzdem ist es kein Freifahrtschein. Es heißt nicht, dass die Website kein Betrug ist, die Daten nicht missbraucht oder dass Sie keine Schadsoftware bekommen, wenn Sie dort etwas herunterladen. Da SSL-Zertifikate selbst relativ leicht zu bekommen sind, kann sie technisch gesehen fast jeder erhalten und damit seine Aktivitäten seriöser wirken lassen.

Auch Phishing-Websites können ein SSL-Zertifikat bekommen. Prüfen Sie daher bei Nachrichten und Links immer genau die echte URL.

Es gibt drei typische Meldungen, die beim Aufrufen einer Website erscheinen können. Alle deuten auf mögliche Probleme hin:

  • "Nicht sicher" — Es ist kein Zertifikat installiert, oder die Seite lädt gemischte HTTP/HTTPS-Inhalte.
  • "Zertifikat stimmt nicht überein" — Das Zertifikat wurde für eine andere Domain ausgestellt (z. B. für example.com, aber aufgerufen über www.example.com).
  • "Abgelaufen" — Der Gültigkeitszeitraum des Zertifikats ist vorbei (dadurch wird der Zugriff meist komplett blockiert).

6. Arten von SSL-Zertifikaten erklärt

Es gibt zwei "Einteilungen" bei SSL-Zertifikaten: nach Prüflevel und nach Abdeckungsumfang.

Die erste Kategorie prüft (oder prüft nicht) die rechtliche Einheit hinter dem Zertifikat, um sicherzustellen, dass sie wirklich die ist, die sie vorgibt zu sein:

  • Domain-Validierung verlangt nur, dass die Person oder Firma die Domain besitzt, für die sie registriert. Das geschieht meist über einen einfachen DNS-Eintrag und kann automatisiert werden. Am besten für private Websites oder Blogbeiträge.
  • Organisations-Validierung prüft die rechtliche Adresse oder Kontaktangaben, um zu zeigen, dass die Organisation wirklich existiert. Das ist oft für Business-Blogs nötig.
  • Erweiterte Validierung prüft Daten tiefer, um sicherzustellen, dass das Unternehmen echt ist. In manchen Browsern wird bei dieser Prüfung die URL grün angezeigt oder es erscheint vorne ein "sicher"-Symbol. Wenn Ihr Unternehmen Nutzerdaten oder Profile speichert oder Zahlungen abwickelt, braucht es diese Art der Validierung.

Die zweite Einteilung richtet sich danach, wie viele Domains vom Zertifikat "abgedeckt" sind.

  • Single-Domain-SSL sichert eine Domain (z. B. website.com). Das umfasst alle Seiten dieser Domain (wie "website.com/main", "website.com/blog" usw.).
  • Wildcard-SSL sichert eine Domain und alle Subdomains (*.website.com). Das ist besser für Websites mit Transaktionen, wenn Sie z. B. eine "shop."- oder "app."-Subdomain für Nutzerzugriff oder eine "blog."-Subdomain für Infos hinzufügen.
  • Multi-Domain-SSL (SAN) sichert mehrere verschiedene Domains mit einem Zertifikat.

7. Wer stellt SSL-Zertifikate aus?

Ausstellen, prüfen und widerrufen von SSL-Zertifikaten übernimmt eine Zertifizierungsstelle (Certificate Authority, CA). Browser haben eine eingebaute Liste vertrauenswürdiger CAs. Wenn ein Zertifikat von einer CA aus dieser Liste stammt, zeigen Browser das Schloss. Wenn nicht, erscheint eine Sicherheitswarnung.

Root-Zertifikate werden von CAs selbst signiert und sind in Betriebssystemen und Browsern vorinstalliert. Intermediate-Zertifikate bilden eine Kette vom Root-Zertifikat zum Zertifikat Ihrer Website und schaffen so die Vertrauens-Hierarchie, die Browser prüfen.

Selbstsignierte Zertifikate werden ohne CA erstellt und lösen in allen großen Browsern Sicherheitswarnungen aus. Sie eignen sich für interne Entwicklung (zum Beispiel in großen Firmen, die eine Nutzer-Authentifizierung für Dateiversionsverwaltung brauchen), sind aber für eine öffentliche Website praktisch unbrauchbar.

8. So bekommen Sie ein kostenloses SSL-Zertifikat

Sie können meist Ihren Domainanbieter fragen, ob er kostenlose SSL-Zertifikate (oft DV) anbietet oder mit bestimmten CAs arbeitet. So haben Sie nur wenig Aufwand mit der Pflege Ihres SSL-Zertifikats. Wenn Sie aber eine Domain ohne Hosting registrieren und die Website selbst einrichten, bietet Cloudflare kostenloses SSL für jede Website.

Für die eigentliche Registrierung eines Zertifikats gibt es drei Optionen:

  • E-Mail-Validierung: Die CA sendet einen Bestätigungslink an eine Standard-Admin-Adresse der Domain (z. B. admin@ oder webmaster@). Sie genehmigen die Anfrage per Klick.
  • DNS-Validierung: Sie fügen in den DNS-Einstellungen Ihrer Domain einen von der CA vorgegebenen TXT- oder CNAME-Record hinzu und zeigen so, dass Sie die Domain kontrollieren.
  • HTTP-Datei-Upload (HTTP-01): Sie legen eine bestimmte Token-Datei unter einem festgelegten Pfad auf Ihrem Webserver ab. Die CA prüft, ob sie über HTTP erreichbar ist, und stellt dann das Zertifikat aus.

Kostenloses vs. bezahltes SSL

Kostenlose SSL-Zertifikate (z. B. von Cloudflare) sind für die meisten privaten Websites und Blogs völlig ausreichend, da es oft Single-Domain-DV-Zertifikate sind. Für Unternehmen erlauben bezahlte Zertifikate, sowohl die Abdeckung als auch die Validierung zu erweitern.

Außerdem bieten bezahlte SSL-Dienste oft Extras wie festen Support, Verwaltung durch den Anbieter und automatische Verlängerungen. Das heißt: Solange Sie Ihre Website nicht grundlegend umbauen, sollte Ihr SSL-Zertifikat praktisch dauerhaft laufen.

Zum Beispiel bietet Register.Domains Comodo-SSL-Zertifikate zu fairen Preisen an, von DV bis EV, und unterstützt von einer der am weitesten vertrauten CAs der Branche.

9. So installieren Sie ein SSL-Zertifikat und leiten HTTP auf HTTPS um

  1. Installieren Sie das Zertifikat auf Ihrem Webserver. Die meisten modernen Hosting-Control-Panels (inkl. Plesk und cPanel) bieten eine SSL-Installation per Klick. Bei Register.Domains Shared Hosting ist die SSL-Konfiguration direkt im Einrichtungsprozess enthalten.
  2. Richten Sie eine 301-Weiterleitung von HTTP auf HTTPS ein. Fügen Sie die Weiterleitung in Ihrer .htaccess-Datei (Apache) oder in der Server-Konfiguration (Nginx) hinzu. Eine 301 zeigt Suchmaschinen, dass der Umzug dauerhaft ist, und überträgt die Link-Power vollständig.
  3. Beheben Sie Mixed-Content-Fehler. Jede Seite, die HTTP-Ressourcen — Bilder, Scripts, Stylesheets — über eine HTTPS-Verbindung lädt, löst Browser-Warnungen aus. Aktualisieren Sie alle Asset-URLs auf HTTPS oder nutzen Sie protocol-relative URLs.
  4. Aktualisieren Sie interne Links, Canonical-Tags und XML-Sitemaps, damit sie die HTTPS-Versionen aller URLs referenzieren. In WordPress geht das effizient mit einem Suchen-und-Ersetzen-Tool in der Datenbank.
  5. (Optional) HSTS hinzufügen. HTTP Strict Transport Security weist Browser an, für Ihre Domain immer HTTPS zu nutzen, selbst wenn ein Nutzer manuell http:// eingibt. Testen Sie vor dem Aktivieren gründlich, denn falsch konfiguriertes HSTS kann Besucher aussperren.

10. So prüfen Sie, ob Ihre Website bereits SSL hat

Geben Sie einfach Ihre Domain mit https:// davor ein. Wenn Sie eine Fehlermeldung bekommen oder auf HTTP umgeleitet werden, haben Sie kein SSL-Zertifikat.

Wenn Sie ein SSL-Zertifikat eingerichtet haben, rufen Sie http://ihredomain.com auf. Wenn das Zertifikat funktioniert, sollten Sie automatisch zur HTTPS-Version umgeleitet werden. Nutzen Sie dann einen Redirect-Checker, um sicherzustellen, dass es eine dauerhafte 301-Weiterleitung ist.

Außerdem können Sie auf das Schloss klicken und den tatsächlichen Status des Zertifikats prüfen. Für eine gründlichere Prüfung bietet SSL Labs eine kostenlose, detaillierte Bewertung Ihrer Zertifikats-Konfiguration, inkl. Cipher-Stärke und Gültigkeit der Zertifikatskette.

11. Wie lange gilt ein SSL-Zertifikat und was passiert beim Ablauf?

SSL/TLS-Zertifikate haben eine maximale Gültigkeit von 397 Tagen, durchgesetzt von allen großen Browsern. Das wurde von zwei Jahren reduziert, damit Domaininhaber die Sicherheit ihrer Website regelmäßig pflegen. In der Praxis gelten kostenlose oder DV-Zertifikate aber oft nur 90 Tage bis ein halbes Jahr. Bezahlte SSL-Zertifikate gelten meist etwa ein Jahr.

Wenn ein Zertifikat abläuft, zeigen Browser sofort eine Fehlermeldung im Vollbild, die Besucher daran hindert, Ihre Website zu öffnen. Auch Suchmaschinen-Crawler melden abgelaufene Zertifikate, und der organische Traffic kann innerhalb weniger Tage stark sinken.

Die meisten Hosting-Plattformen und Zertifikatsanbieter unterstützen aber automatische Verlängerung. Sie können das aktivieren und prüfen, ob es klappt, indem Sie sich nach Ablauf des ersten SSL-Zertifikats benachrichtigen lassen. Verlassen Sie sich aber nicht nach dem Motto „einrichten und vergessen“, denn automatische Verlängerungen können scheitern, wenn Ihre Zahlungsmethode abläuft, sich DNS-Records ändern oder die Validierung nicht mehr funktioniert.

12. Häufige SSL-Mythen, die Website-Betreiber vom Handeln abhalten

"Meine Website ist zu klein für SSL."

Browser-Warnungen unterscheiden nicht zwischen kleinen privaten Blogs und großen E-Commerce-Plattformen. Jede HTTP-Website bekommt dasselbe Label bzw. dieselbe Warnung „Nicht sicher“.

"SSL macht meine Website langsam."

Der TLS-Handshake kostet beim ersten Verbindungsaufbau nur ein paar Millisekunden und kann die Verbindung sogar schneller machen, weil dadurch HTTP/2-Multiplexing möglich wird und mehrere Seiten-Ressourcen gleichzeitig laden. Außerdem beschleunigt modernes TLS das Handling, indem Sitzungsdaten in Cookies gespeichert werden und so Teile des Hin und Her im Handshake entfallen.

"Ich nehme keine Zahlungen an, also brauche ich das nicht."

Jedes Formular auf Ihrer Website überträgt Nutzerdaten. Ohne SSL werden diese Daten im Klartext übertragen. Auch eine rein informative Website profitiert von SSL: bessere Suchmaschinen-Rankings, genauere Analytics-Zuordnung und keine Browser-Sicherheitswarnungen, die das Vertrauen der Besucher schwächen.

Besucher schützen und Vertrauen aufbauen

Schützen Sie Besucher und bauen Sie Vertrauen auf – mit einem Comodo-SSL-Zertifikat von Register.Domains.

Holen Sie sich Ihr SSL-Zertifikat noch heute

13. FAQs

Wie können Sie prüfen, ob ein SSL-Zertifikat aktiv ist?

Am schnellsten: Öffnen Sie https://ihredomain.com und achten Sie auf das Schloss-Symbol in der Adressleiste des Browsers.

Kann eine Website mit HTTPS trotzdem unsicher sein oder für Betrug genutzt werden?

Ja, denn HTTPS garantiert nur, dass die Verbindung zwischen Ihrem Browser und dem Server sicher ist. Phishing-Seiten können trotzdem ein Zertifikat bekommen und so seriös wirken, aber weiterhin falsche Checkouts oder Weiterleitungen nutzen.

Wie viel kostet ein SSL-Zertifikat pro Jahr?

Kostenlose DV-SSL-Zertifikate gibt es über Anbieter wie Let's Encrypt und Cloudflare und sie sind oft in Hosting-Paketen enthalten. Bezahlte DV-Zertifikate von kommerziellen CAs starten meist bei etwa 10–30 US-Dollar pro Jahr und bieten zusätzlich Garantie und festen Support. Register.Domains listet alle Comodo-SSL-Optionen mit klaren Preisen, damit Sie Tarife ohne versteckte Gebühren vergleichen können.

Wenn ich meine Website zu einem neuen Hosting-Anbieter umziehe, wird mein SSL-Zertifikat automatisch übertragen?

SSL-Zertifikate werden nicht automatisch zwischen Hosting-Anbietern übertragen, da sie an den Webserver gebunden sind, auf dem die Domain installiert wurde. Beim Umzug können Sie das Zertifikat und den privaten Schlüssel vom alten Host exportieren und auf dem neuen Server neu installieren (wenn das Zertifikat noch gültig ist) oder ein neues Zertifikat beim neuen Anbieter holen.

Weitere Artikel

Weitere Artikel