{ freetool24 }
Network Tools

SSL/TLS-Zertifikate erklärt (ohne Fachjargon)

Was HTTPS-Zertifikate leisten, warum Browser Sie warnen und wie Sie Ablaufdaten und Kettenprobleme bei Ihren eigenen Domains prüfen.

7 Min. Lesezeit

Security lock concept

Wenn Sie das Schloss im Browser sehen, verschlüsselt TLS (oft noch SSL genannt) den Datenverkehr zwischen Ihnen und dem Server. Ein Zertifikat verknüpft einen öffentlichen Schlüssel mit einem Hostnamen (und manchmal einer Unternehmensidentität), damit Ihr Browser sicherstellen kann, dass Sie wirklich mit der echten Website kommunizieren – und nicht mit einem Angreifer im selben WLAN.

Was das Zertifikat tatsächlich beweist

  • Domain Validation (DV) — Sie kontrollieren die Domain; Besucher erhalten Verschlüsselung, aber nur einen eingeschränkten Identitätsnachweis.
  • Organization Validation (OV) / Extended Validation (EV) — Strengere Prüfung der juristischen Person; EV zeigte früher eine grüne Adressleiste, ist in modernen Browsern aber weniger prominent.

Für die meisten Websites reichen kostenlose DV-Zertifikate von Let's Encrypt aus: Verschlüsselung und automatische Verlängerung inklusive.

Die Zertifikatskette

Browser vertrauen Root-CAs, die im Betriebssystem enthalten sind. Ihr Server sendet Leaf-Zertifikat + Zwischenzertifikate; der Browser baut die Kette bis zu einem vertrauenswürdigen Root auf. Fehlt ein Zwischenzertifikat, zeigen manche Clients „Zertifikat nicht vertrauenswürdig" an – auch wenn OpenSSL auf Ihrem Rechner einwandfrei funktioniert.

Konfigurieren Sie Ihren Server immer so, dass er die vollständige Kette ausliefert, wie sie Ihre CA dokumentiert.

Ablauf und Verlängerung

Zertifikate laufen ab. Let's Encrypt stellt kurzlebige Zertifikate (90 Tage) aus, um Automatisierung zu fördern. Richten Sie ACME-Erneuerung ein (Certbot, Caddy, Traefik oder das Panel Ihres Hosters) und überwachen Sie Fehler.

Abgelaufene Zertifikate beeinträchtigen:

  • HTTPS für Nutzer
  • APIs, die TLS pinnen oder strenge Clients verwenden
  • Webhooks, wenn Ihr Empfänger ausgehendes TLS unzureichend validiert

Hostname-Mismatch

Ein Zertifikat für www.example.com deckt möglicherweise nicht example.com ab – es sei denn, SAN-Einträge umfassen beide, oder Sie verwenden einen Wildcard *.example.com (der die nackte Apex-Domain nicht abdeckt).

Nutzen Sie unseren SSL Checker, um Ablaufdatum, Aussteller und Hostname-Abdeckung aus Sicht des öffentlichen Internets zu prüfen.

DNS vor TLS

TLS setzt voraus, dass Clients die richtige IP erreichen. Überprüfen Sie nach Migrationen die A/AAAA/CNAME-Einträge mit dem DNS Lookup, bevor Sie Zeit mit der Fehlersuche bei Cipher Suites verbringen.

Wenn HTTP-Weiterleitungen nicht korrekt funktionieren, hilft der HTTP Status Checker dabei, 301/302-Ketten von httphttps zu überprüfen.

Praktische Checkliste

  • HTTPS überall aktivieren; HTTP per 301 weiterleiten
  • HSTS erst ausliefern, wenn Sie sicher sind, dass alle Subdomains HTTPS unterstützen
  • Verlängerung automatisieren und bei < 14 Tagen bis zum Ablauf alarmieren
  • Tests aus Mobilfunknetzen und Unternehmens-Proxys durchführen, nicht nur aus dem Büro

HTTPS ist eine Grundvoraussetzung für SEO, Sicherheit und Nutzervertrauen – und die Behebung von Ketten- oder Hostname-Problemen geht in der Regel schneller, als es zunächst scheint, wenn man einmal weiß, worauf man achten muss.

Zurück zu allen ArtikelnTools durchsuchen