Defaults.Exposed › Berichte
Abgelaufen, selbstsigniert, ungültig: Der Zertifikatsfehler-Report (2026)
Veröffentlicht 2026-06-29
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über die 197 Millionen Domains, die ein TLS-Zertifikat vorweisen. „Ungültig“ = das Zertifikat besteht die Validierung nicht (abgelaufen, selbstsigniert, falscher Hostname oder nicht vertrauenswürdige Kette). Siehe wie wir bewerten.
Ein Zertifikat zu haben ist nicht dasselbe wie ein gültiges zu haben: 8,57% der Zertifikate im Web bestehen die Validierung nicht. Von 197 Millionen Domains, die ein TLS-Zertifikat vorweisen, haben 16.920.535 eines, dem Browser nicht vertrauen — und jede einzelne zeigt Besuchern eine ganzseitige Sicherheitswarnung statt der Website. Im Zeitalter kostenloser, sich automatisch erneuernder Zertifikate ist ein defektes Zertifikat fast immer ein behebbarer Fehler und kein Kostenproblem.
Was an diesen Zertifikaten tatsächlich falsch ist
Ein Zertifikat besteht die Validierung aus einer Handvoll Gründen nicht — abgelaufen, selbstsigniert, für einen anderen Hostnamen ausgestellt oder aus einer nicht vertrauenswürdigen Kette. Die eindeutig am besten identifizierbare Kategorie im Zensus ist selbstsigniert:
| Problem | Domains |
|---|---|
| Zertifikat vorhanden, aber ungültig (beliebiger Grund) | 16.920.535 (8,57%) |
| — davon selbstsigniert | 3.378.080 (20,0% der ungültigen) |
Ein selbstsigniertes Zertifikat ist eines, das die Domain sich selbst ausgestellt hat — es verschlüsselt den Datenverkehr, beweist aber nichts, weshalb Browser es ablehnen. Es kommt häufig bei Geräten, internen Tools und Staging-Umgebungen vor, die versehentlich dem öffentlichen Internet ausgesetzt wurden. Die übrigen ungültigen Zertifikate sind meist abgelaufen oder haben einen Hostname-Konflikt.
Warum ein defektes Zertifikat schlimmer ist als kein HTTPS
Eine Website ohne HTTPS erhält ein dezentes Label „Nicht sicher“. Eine Website mit einem defekten Zertifikat erhält ein ganzseitiges rotes Interstitial — „Ihre Verbindung ist nicht privat“ — an dem die meisten Besucher nicht vorbeiklicken. Es ist das härteste Vertrauenssignal, das ein Browser anzeigt, und es erscheint, bevor Ihre Inhalte geladen werden. Für ein Unternehmen ist das eine geschlossene Tür im Moment des Erstkontakts.
Es ist außerdem vermeidbar: Da kostenlose CAs und automatisierte Erneuerung inzwischen die große Mehrheit der Zertifikate ausstellen, kostet ein gültiges Zertifikat nichts und erneuert sich selbst. Die 8,57% mit defekten Zertifikaten sind fast alle Konfigurationslücken, keine Budgetprobleme.
So beheben Sie einen Zertifikatsfehler
- Abgelaufen? Automatisieren Sie die Erneuerung (ACME / Let’s Encrypt), damit es nie wieder verfällt. Zertifikatsfehler beheben.
- Selbstsigniert? Ersetzen Sie es durch ein kostenloses, von einer CA ausgestelltes Zertifikat — selbstsignierte Zertifikate werden in Browsern immer eine Warnung auslösen.
- Falscher Hostname? Stellen Sie es neu aus und decken Sie genau die Namen ab, die Sie bedienen (einschließlich
www). - Überprüfen Sie, ob die Kette vollständig und vertrauenswürdig ist, und bestätigen Sie es anschließend mit einer erneuten Prüfung.
Häufig gestellte Fragen
Warum wird ein Zertifikat ungültig? Am häufigsten ist es abgelaufen, selbstsigniert, wurde für einen anderen Hostnamen ausgestellt oder stammt aus einer nicht vertrauenswürdigen Kette. Mit Stand 2026-06-29 bestehen 8,57% der Zertifikate die Validierung aus einem dieser Gründe nicht.
Was ist ein selbstsigniertes Zertifikat? Eines, das der Server sich selbst ausgestellt hat, statt es von einer vertrauenswürdigen CA zu beziehen. Es verschlüsselt, beweist aber keine Identität, weshalb Browser es ablehnen. 3.378.080 Domains weisen ein solches vor.
Ist ein defektes Zertifikat schlimmer als kein HTTPS? Ja — ein defektes Zertifikat löst eine ganzseitige Browserwarnung aus, die die Website blockiert, während reines HTTP nur ein milderes Inline-Label „Nicht sicher“ erhält.
Wie viel kostet die Behebung? Nichts. Gültige Zertifikate sind kostenlos (Let’s Encrypt und andere) und erneuern sich automatisch. Es ist eine Konfigurationskorrektur.
Prüfen Sie, ob Ihr Zertifikat gültig ist
Ein Zertifikat, das Browser ablehnen, kostet Sie genau jetzt Besucher. Prüfen Sie Ihres kostenlos und vertraulich.
Domain prüfen → · Zertifikatsfehler beheben → · Wer stellt die Zertifikate des Webs aus? → · Warum sagt meine Website „Nicht sicher“? → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.