HTTPS einrichten: SSL-Zertifikat installieren und korrekt konfigurieren

Warum HTTPS nicht verhandelbar ist

Ohne HTTPS überträgt Ihr Browser alles im Klartext: Formulardaten, Passwörter, Cookies. Jeder im gleichen Netzwerk kann mitlesen. Das ist kein theoretisches Risiko — in öffentlichen WLANs ist es Alltag.

Aber HTTPS schützt nicht nur vor Lauschern. Es verhindert auch, dass Inhalte auf dem Weg zum Browser manipuliert werden. Internet-Provider, die Werbung in unverschlüsselte Seiten einschleusen? Mit HTTPS nicht möglich. Angreifer, die Ihr Login-Formular auf eine Phishing-Seite umleiten? Mit HTTPS deutlich schwieriger.

Und dann ist da das Vertrauen. Chrome zeigt seit 2018 „Nicht sicher" für alle HTTP-Seiten. Kein Schloss-Symbol. Keine grüne Adressleiste. Stattdessen ein deutlicher Warnhinweis, der Besucher verschreckt — besonders auf Seiten mit Formularen oder Login.

Welches Zertifikat brauche ich?

Kurze Antwort: Let's Encrypt. Kostenlos, automatisch, und von allen Browsern akzeptiert.

Domain-Validierung (DV) — für die meisten Websites

DV-Zertifikate bestätigen, dass Sie die Domain kontrollieren. Die Validierung dauert Sekunden. Let's Encrypt bietet ausschließlich DV-Zertifikate — und das reicht für Blogs, Unternehmensseiten, Online-Shops und praktisch jede andere Website.

Organisation-Validierung (OV) und Extended Validation (EV)

OV- und EV-Zertifikate prüfen zusätzlich die Identität des Unternehmens. Die grüne Adressleiste mit Firmennamen, die EV-Zertifikate einst boten? Von Chrome und Firefox abgeschafft. Der visuelle Unterschied zu einem DV-Zertifikat ist verschwunden. Der Preisunterschied nicht: 100 bis 1.000 Euro pro Jahr gegenüber 0 Euro für Let's Encrypt.

Unsere Empfehlung: Let's Encrypt für alle. OV/EV nur, wenn Compliance-Vorgaben es explizit erfordern.

SSL-Zertifikat bei Hosting-Anbietern einrichten

Die einfachste Methode: Ihr Hosting-Anbieter macht es für Sie. Die meisten bieten Let's Encrypt mit einem Klick.

Die Einrichtung ist bei jedem Anbieter leicht unterschiedlich, folgt aber dem gleichen Muster:

1. Loggen Sie sich in Ihre Hosting-Verwaltung ein
2. Suchen Sie nach „SSL", „HTTPS" oder „Zertifikat"
3. Aktivieren Sie Let's Encrypt für Ihre Domain
4. Aktivieren Sie die automatische Erneuerung
5. Aktivieren Sie die HTTP-zu-HTTPS-Weiterleitung

Bei den meisten Anbietern dauert das unter fünf Minuten. Kein Terminal. Kein SSH. Nur Klicks.

Let's Encrypt manuell installieren (eigener Server)

Wenn Sie einen eigenen Server betreiben, installieren Sie Certbot — den offiziellen Let's Encrypt Client. Certbot erledigt alles: Zertifikat beantragen, installieren und automatisch erneuern.

Apache

# Certbot installieren (Debian/Ubuntu)
sudo apt install certbot python3-certbot-apache

# Zertifikat beantragen und automatisch konfigurieren
sudo certbot --apache -d example.de -d www.example.de

# Automatische Erneuerung testen
sudo certbot renew --dry-run

Nginx

# Certbot installieren (Debian/Ubuntu)
sudo apt install certbot python3-certbot-nginx

# Zertifikat beantragen und automatisch konfigurieren
sudo certbot --nginx -d example.de -d www.example.de

# Automatische Erneuerung testen
sudo certbot renew --dry-run

Certbot richtet automatisch einen Cronjob oder Systemd-Timer für die Erneuerung ein. Let's Encrypt Zertifikate sind 90 Tage gültig — die automatische Erneuerung erneuert sie alle 60 Tage.

HTTP auf HTTPS umleiten — aber richtig

Ein SSL-Zertifikat allein reicht nicht. Wenn Besucher Ihre Website über http:// aufrufen, landen sie immer noch auf der unverschlüsselten Version. Die Weiterleitung muss aktiv eingerichtet werden.

Apache (.htaccess)

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Nginx

server {
    listen 80;
    server_name example.de www.example.de;
    return 301 https://$server_name$request_uri;
}

Wichtig: Verwenden Sie einen 301-Redirect (permanent), nicht einen 302-Redirect (temporär). Google überträgt den SEO-Wert nur bei 301-Weiterleitungen auf die HTTPS-Version. Ein 302-Redirect teilt Google mit, dass die HTTP-Version die eigentliche Seite ist — das Gegenteil von dem, was Sie wollen.

HSTS aktivieren — der nächste Schritt nach HTTPS

HTTPS mit Weiterleitung ist gut. HSTS ist besser. Denn die Weiterleitung schützt nicht den allerersten Request — der geht immer noch unverschlüsselt über HTTP.

HSTS löst dieses Problem: Nach dem ersten erfolgreichen HTTPS-Besuch merkt sich der Browser, dass Ihre Website nur über HTTPS erreichbar ist. Alle folgenden Aufrufe gehen direkt über HTTPS — ohne den Umweg über HTTP und die Weiterleitung.

# Apache
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Mehr zu HSTS und den anderen Security Headers in unserem Ratgeber zu HTTP Security Headers.

TLS-Version: Warum 1.0 und 1.1 abgeschaltet gehören

TLS 1.0 und 1.1 haben bekannte Sicherheitslücken und werden von allen modernen Browsern seit 2020 nicht mehr unterstützt. Trotzdem akzeptieren manche Server diese veralteten Versionen noch.

Die Lösung ist einfach:

# Apache — nur TLS 1.2 und 1.3 erlauben
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

# Nginx — nur TLS 1.2 und 1.3 erlauben
ssl_protocols TLSv1.2 TLSv1.3;

TLS 1.3 ist die aktuelle Version und bietet die beste Kombination aus Sicherheit und Performance. Wenn Ihr Server TLS 1.3 unterstützt — und das tun alle aktuellen Versionen von Apache und Nginx — sollten Sie es aktivieren.

Häufige Fehler bei der HTTPS-Einrichtung

• Mixed Content — HTTPS ist aktiv, aber einzelne Bilder, Skripte oder CSS-Dateien laden noch über HTTP. Browser blockieren aktiven Mixed Content (Skripte) und zeigen Warnungen bei passivem Mixed Content (Bilder). Lösung: Alle internen URLs auf HTTPS umstellen oder relative URLs (//example.de/bild.jpg) verwenden.
• Fehlende www-Weiterleitung — Das Zertifikat gilt für example.de, aber nicht für www.example.de (oder umgekehrt). Lösung: Zertifikat für beide Varianten beantragen (-d example.de -d www.example.de).
• Kein automatisches Renewal — Let's Encrypt Zertifikate laufen nach 90 Tagen ab. Ohne automatische Erneuerung zeigt Ihre Website plötzlich eine Sicherheitswarnung. Lösung: sudo certbot renew --dry-run ausführen und prüfen, ob der Timer läuft.
• Weiterleitung als 302 — Ein temporärer Redirect (302) statt permanent (301). Google behandelt die HTTP-Version weiter als Hauptseite. Lösung: Immer 301 verwenden.
• HSTS vergessen — HTTPS und Weiterleitung sind aktiv, aber kein HSTS-Header. Der erste Request jeder Session bleibt unverschlüsselt. Lösung: HSTS-Header setzen (siehe oben).
• Hardcodierte HTTP-URLs in der Datenbank — Bei CMS-Systemen wie WordPress stehen oft noch http://-URLs in der Datenbank (Beiträge, Seiten, Widget-Inhalte). Diese erzeugen Mixed Content. Lösung: Datenbank-weites Suchen-und-Ersetzen (z. B. mit Better Search Replace für WordPress).

SSL-Zertifikat prüfen

So prüfen Sie, ob Ihr Zertifikat korrekt eingerichtet ist:

# Zertifikat-Details anzeigen
openssl s_client -connect example.de:443 2>/dev/null | openssl x509 -noout -dates -subject

# TLS-Version prüfen
openssl s_client -connect example.de:443 -tls1_2 2>/dev/null | head -5

Oder einfacher: Nutzen Sie unser Audit. Wir prüfen Zertifikat, TLS-Version, HSTS, HTTP-Weiterleitung und Mixed Content automatisch — in einem Durchlauf.

Jetzt Ihre HTTPS-Konfiguration prüfen

Weiterführende Artikel

• HTTP Security Headers: Welche Ihre Website wirklich braucht
• Häufigste Datenschutz-Verstöße auf deutschen Websites
• Glossar: HTTPS / SSL / TLS
• Glossar: HSTS