Defaults.Exposed › Behebungen › Zustand des TLS-Zertifikats

So beheben Sie Zustand des TLS-Zertifikats

Ihr SSL/TLS-Zertifikat ist der digitale Ausweis, der beweist, dass ein Besucher wirklich mit Ihrer Website spricht — nicht mit einem Hochstapler — und das Schloss-Symbol im Browser betreibt. Diese Prüfung betrachtet, ob dieses Zertifikat gültig und vertrauenswürdig ist, nicht kurz vor dem Ablauf steht und mit starker, moderner Kryptografie gebaut ist.

Das Wichtigste für Ihr Unternehmen: Ein defektes oder abgelaufenes Zertifikat ersetzt Ihre Website durch eine bildschirmfüllende rote Warnung 'Ihre Verbindung ist nicht privat' in jedem Browser. Die meisten Besucher gehen sofort und kommen nicht zurück — Online-Verkäufe stoppen, Anmeldungen stoppen, und die Verbindung, die privat sein sollte, kann still und leise abgefangen werden.

Was Sie das kosten kann

• Ihr Zertifikat läuft still und leise über ein Wochenende ab; bis Montag trifft jeder Besucher auf eine bildschirmfüllende Sicherheitswarnung, Ihre Kasse und Kontaktformulare sind tot, und Sie verlieren für jede Stunde Verkäufe, die es dauert, es zu bemerken und zu erneuern.
• Ein Kunde, der über Café- oder Hotel-WLAN zahlt, erhält eine Warnung, dass Ihr Zertifikat nicht zu Ihrer Domain passt — er nimmt an, Ihre Seite sei gefälscht oder gehackt, bricht den Kauf ab und erzählt anderen, sie habe 'zwielichtig ausgesehen'.
• Das IT-Team eines größeren Kunden führt vor Vertragsabschluss einen Sicherheitsscan durch, sieht ein selbstsigniertes oder nicht vertrauenswürdiges Zertifikat und stuft Sie als Risiko ein — das Geschäft stockt wegen etwas, dessen Behebung nichts kostet.
• Ihr Zertifikat nutzt eine veraltete Signaturmethode oder einen schwachen Schlüssel; moderne Browser beginnen, Warnungen dazu zu zeigen, und ein Sicherheitsaudit zieht Sie für Kryptografie herab, die seit Jahren von der Empfehlungsliste gestrichen ist.
• Sie nehmen Kartenzahlungen entgegen, und Ihr Zahlungsanbieter prüft Sie erneut; ein schwacher Schlüssel oder ein abgelaufenes Zertifikat bricht die Zahlungssicherheitsregeln, und Ihre Online-Kasse wird eingefroren, bis es korrigiert ist.

Warum es wichtig ist. Das Zertifikat ist das sichtbarste Einzelstück der Sicherheit Ihrer Website — wenn es gesund ist, ist es unsichtbar, und wenn es bricht, nimmt es Ihre ganze Seite mit einer erschreckenden Warnung herunter, die Kunden direkt zu Wettbewerbern treibt. Zertifikatsablauf ist die Ursache Nummer eins für unerwartete Website-Ausfälle, und er ist vollständig vermeidbar. Ein gültiges Zertifikat zu bekommen ist kostenlos, und es gesund zu halten ist meist nur eine Frage davon, es sich automatisch erneuern zu lassen.

Was das ist, in einfachen Worten

Wenn jemand Ihre Website besucht, müssen zwei Dinge geschehen, damit er sich sicher fühlt, ein Passwort oder eine Kartennummer einzutippen. Erstens muss die Verbindung verschlüsselt sein, damit Fremde sie nicht lesen können. Zweitens — und das ist der Teil, den Menschen vergessen — muss der Browser des Besuchers sicher sein, dass es wirklich Ihre Website am anderen Ende ist und kein Hochstapler, der eine überzeugende Fälschung aufgesetzt hat. Das, was beide Aufgaben erledigt, ist Ihr TLS-Zertifikat (oft „SSL-Zertifikat” genannt).

Stellen Sie es sich als fälschungssicheren Ausweis für Ihre Domain vor. Eine anerkannte Stelle stellt ihn aus, er ist mit Ihrem Domainnamen und einem Ablaufdatum gestempelt, und er trägt den kryptografischen Schlüssel, der die Verbindung verschlüsselt. Wenn alles stimmt, zeigt der Browser das Schloss-Symbol und Ihre Seite lädt normal. Wenn etwas mit dem Ausweis nicht stimmt, tut der Browser das Gegenteil davon, Ihren Besucher zu beruhigen — er wirft eine bildschirmfüllende Warnung auf, die im Grunde sagt: „diese Seite ist möglicherweise nicht sicher.”

Diese Prüfung betrachtet den Zustand dieses Ausweises über vier Dinge hinweg, die ihn jeweils unabhängig brechen:

• Ist er gültig und vertrauenswürdig? — ausgestellt von einer anerkannten Stelle, passend zu Ihrer exakten Domain, nicht selbstsigniert und nicht abgelaufen.
• Steht er kurz vor dem Ablauf? — denn ein Zertifikat, das verfällt, nimmt Ihre ganze Seite herunter.
• Ist er mit einer starken Methode signiert? — alte Signaturalgorithmen können gefälscht werden.
• Ist sein Schlüssel stark genug? — ein schwacher Schlüssel kann im Prinzip gebrochen werden.

Die gute Nachricht vorweg: Ein gesundes Zertifikat zu bekommen ist kostenlos, und es gesund zu halten dreht sich meist darum, es sich automatisch erneuern zu lassen, sodass kein Mensch sich etwas merken muss.

Was Sie das kosten kann

• Der Wochenend-Ausfall. Ein Zertifikat erreicht still und leise sein Ablaufdatum spät an einem Freitag. Die Erneuerung, die laufen sollte, lief nicht (ein Server zog um, ein Skript brach, niemand bemerkte es). Bis Samstagmorgen sieht jeder Besucher — und jeder Google-Crawler — eine bildschirmfüllende rote Warnung statt Ihrer Startseite. Ihr Laden ist geschlossen, und Sie wissen es nicht einmal. Die technische Behebung dauert Minuten; das verlorene Wochenende an Verkäufen und die Kunden, die entschieden, Sie seien „pleite gegangen”, kommen nicht zurück.

• Die abgebrochene Kasse. Ein Kunde kauft von seinem Handy im Hotel-WLAN. Ihr Zertifikat passt nicht ganz zur Domain, die er getippt hat (es deckt etwa shop.ihrfirma.com ab, aber nicht das nackte ihrfirma.com, das er nutzte). Der Browser warnt ihn, die Seite „imitiere möglicherweise” Ihre. Für einen nicht-technischen Käufer liest sich das als Betrug — er schließt den Tab, und Sie erfahren nie, dass der Verkauf existierte.

• Der ins Stocken geratene Auftrag. Das Sicherheitsteam eines größeren Interessenten führt vor der Unterschrift einen Routine-Scan durch. Er kommt zurück und zeigt ein selbstsigniertes oder nicht vertrauenswürdiges Zertifikat auf einer Ihrer Subdomains. Selbst wenn alles andere in Ordnung ist, verwandelt dieses eine rote Signal eine schnelle Freigabe in ein Hin und Her, das das Geschäft verzögert — wegen eines Problems, dessen Behebung nichts kostet.

• Die Zeitlupen-Warnung. Ihr Zertifikat ist technisch gültig, aber mit SHA-1 signiert, einer alten Methode, die Browser auslaufen lassen. Ein Browser-Update später beginnt ein Teil Ihrer Besucher, Warnungen zu sehen, die Sie auf Ihrer eigenen aktuellen Maschine nicht reproduzieren können. Support-Tickets tröpfeln herein und sagen, die Seite „sehe defekt aus”, und Sie können nicht herausfinden, warum.

• Der Compliance-Durchfaller. Sie nehmen Kartenzahlungen entgegen. Bei einer erneuten Prüfung markieren die Kontrollen Ihres Anbieters einen schwachen Schlüssel oder ein abgelaufenes Zertifikat. Die Kartensicherheitsregeln verlangen starke, aktuelle Verschlüsselung — also werden Ihre Online-Zahlungen ausgesetzt, bis Sie neu ausstellen, und frieren den Umsatz im denkbar schlechtesten Moment ein.

Was es eigentlich ist (die vier Teile)

Ein Zertifikat kann auf vier verschiedene Arten ungesund sein, und diese Seite deckt sie alle ab. Jedes ist unter der Haube eine eigene Prüfung, aber für Sie sind sie alle „ist mein Zertifikat in Ordnung?“

1. Gültig und vertrauenswürdig

Das ist der entscheidende — und der einzige Teil des Zertifikatszustands, der eine kritische Prüfung mit höchstem Gewicht ist. Ein Zertifikat ist nur dann „gültig und vertrauenswürdig”, wenn all dies wahr ist:

• Es wurde von einer anerkannten Zertifizierungsstelle ausgestellt, der Browser bereits vertrauen (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon und so weiter).
• Es passt zur exakten Domain, die der Besucher nutzt — einschließlich Subdomains. Ein Zertifikat für www.ihrfirma.com, das nicht auch ihrfirma.com abdeckt, warnt auf der nackten Domain.
• Es ist nicht selbstsigniert — also keines, das Sie sich selbst ausgestellt haben, das verschlüsselt, aber nichts darüber beweist, wer Sie sind.
• Es liegt derzeit innerhalb seines Datumsfensters — nicht abgelaufen und nicht (kurios, aber es passiert) auf einen Start in der Zukunft datiert.
• Seine Vertrauenskette ist intakt — die Stelle, die es signiert hat, ist selbst vertrauenswürdig, den ganzen Weg nach oben.

Wenn auch nur eines davon fehlschlägt, zeigen Browser die gefürchtete Seite „Ihre Verbindung ist nicht privat”, und diese Prüfung fällt hart durch. Gut sieht so aus: ein Zertifikat von einer anerkannten Stelle, das jede Domain und Subdomain abdeckt, die Sie tatsächlich nutzen, komfortabel innerhalb seiner Daten.

2. Steht nicht kurz vor dem Ablauf

Jedes Zertifikat hat ein hartes Enddatum. Kostenlose halten meist 90 Tage; kostenpflichtige oft ein Jahr. Nach dem Datum verdampft das Vertrauen sofort — es gibt keine Schonfrist. Diese Prüfung misst, wie viele Tage übrig sind und wie das mit dem, der es ausgestellt hat, zusammenwirkt:

• Wenn es bereits abgelaufen ist oder in unter 7 Tagen abläuft, wird das als kritisch behandelt — ein Zeichen, dass die Erneuerung fehlgeschlagen ist.
• Wenn es innerhalb von 30 Tagen abläuft und nicht automatisch verwaltet wird, ist das eine Warnung, jetzt zu erneuern.
• Wenn es von einem automatisch erneuernden Anbieter (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL und ähnlich) mit mindestens einer Woche Rest stammt, besteht es — weil erwartet wird, dass es sich vor der Frist selbst erneuert.
• Reichlich Spielraum (90+ Tage oder automatisch verwaltet) ist ein sauberes Bestehen.

Gut sieht so aus: ein automatisch verwaltetes Zertifikat, das sich erneuert, ohne dass jemand es anrührt. Der mit Abstand zuverlässigste Weg, nie einen Ablauf-Ausfall zu haben, ist, eine Maschine, nicht einen Menschen, für die Erneuerung verantwortlich zu machen.

3. Starker Signaturalgorithmus

Jedes Zertifikat wird mit einem kryptografischen Algorithmus „signiert”, der Browsern erlaubt, Manipulation zu erkennen. Alte Algorithmen — MD5 und SHA-1 — haben sich als fälschbar erwiesen, was bedeutet, dass ein Angreifer im Prinzip ein betrügerisches Zertifikat herstellen könnte, das legitim wie Ihres aussieht. Diese Prüfung besteht, wenn das Zertifikat eine starke, moderne Signatur verwendet: SHA-256 oder stärker (SHA-384, SHA-512), modernes ECDSA oder Ed25519/Ed448. MD5 und SHA-1 fallen durch. Gut sieht so aus: SHA-256 oder besser — was der Standard auf jedem kostenlosen und modernen Zertifikat ist, sodass dies bei allem, was in den letzten Jahren ausgestellt wurde, selten ein Problem ist.

4. Starker Schlüssel

Das Zertifikat trägt einen kryptografischen Schlüssel, der die eigentliche Verschlüsselung erledigt. Wenn dieser Schlüssel zu kurz ist, kann moderne Rechenleistung ihn — mit genügend Ressourcen — brechen, sodass ein Angreifer Ihre Seite imitieren oder den Verkehr entschlüsseln kann. Die akzeptierten Mindestwerte sind 2048-Bit-RSA oder 256-Bit-Elliptische-Kurve (EC). Diese Prüfung besteht bei diesen Größen oder darüber und fällt darunter durch. Gut sieht so aus: 2048-Bit (oder 4096-Bit) RSA oder ein 256-Bit-EC-Schlüssel wie P-256 — wieder der Standard auf modernen kostenlosen Zertifikaten.

Eine Anmerkung zu den letzten drei: gültig-und-vertrauenswürdig ist der kritische, der die Warnseite auslöst. Signatur- und Schlüsselstärke drehen sich um Zukunftssicherheit und Audits — ein aktuelles kostenloses Zertifikat besteht sie fast immer automatisch, aber es sind die Dinge, die eine Sicherheitsprüfung kontrolliert, also lohnt es sich, sie richtig zu haben.

So beheben Sie es (kostenlos, ~15 Minuten)

Geben Sie diesen Abschnitt an die Person weiter, die Ihre Website oder Ihr Hosting betreibt — die Behebung ist kostenlos. Ein gültiges, starkes, automatisch erneuerndes Zertifikat kostet nichts über Let’s Encrypt oder jeden modernen Hoster. Wir berechnen nur die Überwachung, dass es über die Zeit gesund bleibt, nicht die Behebung. Wenn Sie keinen IT-Menschen haben, bringen die Plattform-Hinweise unten die meisten Inhaber ans Ziel.

Schritt 1 — Holen (oder ersetzen) Sie das Zertifikat durch ein kostenloses, vertrauenswürdiges. Dieser eine Schritt behebt Gültigkeit, Signatur und Schlüsselstärke auf einmal, weil moderne kostenlose Zertifikate standardmäßig SHA-256 und starke Schlüssel nutzen.

• Cloudflare: Stellen Sie in SSL/TLS → Overview den Modus auf Full (Strict). Cloudflare stellt ein vertrauenswürdiges Edge-Zertifikat aus und erneuert es für Sie automatisch; stellen Sie sicher, dass Ihr Origin-Server ebenfalls ein gültiges Zertifikat hat, damit „Strict” funktioniert.
• Webhosting oder jeder cPanel-Host: Suchen Sie nach SSL/TLS Status und führen Sie AutoSSL aus. Es stellt kostenlose Zertifikate bereit und erneuert sie automatisch.
• Website-Baukästen (Squarespace, Wix, Shopify, moderne WordPress-Hoster): SSL ist meist standardmäßig an — bestätigen Sie, dass es in Ihren Domain-/Sicherheitseinstellungen aktiviert ist und dass es sowohl ihrfirma.com als auch www.ihrfirma.com abdeckt.
• Ihr eigener Linux-Server (Nginx/Apache): Installieren Sie Let’s Encrypt mit Certbot — sudo certbot --nginx -d ihrfirma.com -d www.ihrfirma.com (oder --apache). Für einen modernen EC-Schlüssel fügen Sie --key-type ecdsa hinzu. Listen Sie jeden Hostnamen, den Sie ausliefern, mit -d auf, damit das Zertifikat zu allen passt.

Schritt 2 — Machen Sie die Erneuerung automatisch, damit es nie wieder abläuft. Das ist der Schritt, der das Wochenend-Ausfall-Szenario verhindert.

• Bestätigen Sie auf einem Let’s-Encrypt-Server, dass der Erneuerungs-Timer aktiv ist, und testen Sie ihn: sudo certbot renew --dry-run. Certbot installiert normalerweise einen automatischen Timer; falls nicht, fügen Sie einen täglichen Cron-Job hinzu: 0 3 * * * certbot renew --quiet.
• Bei Cloudflare, cPanel AutoSSL und Managed-/Baukasten-Hostern wird die Erneuerung für Sie erledigt — es gibt nichts zu planen.

Schritt 3 — Stellen Sie sicher, dass es die richtigen Namen abdeckt. Die häufigste „gültig, aber Warnung”-Ursache ist eine Namensabweichung. Das Zertifikat muss jeden Hostnamen abdecken, den Kunden tatsächlich nutzen — die nackte Domain, www und alle Subdomains wie shop. oder app.. Wenn Sie ein Zertifikat erzeugen, schließen Sie jeden ein (ein Wildcard wie *.ihrfirma.com deckt alle Subdomains auf einmal ab).

Schritt 4 — Wenn nur Signatur oder Schlüsselstärke markiert ist, stellen Sie einfach neu aus. Sie müssen nichts kaufen: Erzeugen Sie ein frisches Zertifikat (Schritt 1), und das neue nutzt automatisch SHA-256 und einen starken Schlüssel. Auf Ihrem eigenen Server können Sie einen modernen Schlüssel explizit festlegen — z. B. openssl ecparam -genkey -name prime256v1 -out server.key für EC oder openssl genrsa -out server.key 4096 für RSA — und dann neu ausstellen.

Schritt 5 — Verifizieren, dann hier erneut prüfen. Bestätigen Sie Daten, Aussteller und Schlüssel mit einem kurzen Befehl — echo | openssl s_client -servername ihrfirma.com -connect ihrfirma.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — und führen Sie dann diese Prüfung erneut aus.

Häufige Fehler

• „Wir haben SSL einmal installiert” als erledigt behandeln. Zertifikate laufen nach der Uhr ab. Ohne automatische Erneuerung ist die Frage nicht ob es verfällt, sondern wann — meist im unbequemsten Moment.
• www abdecken, aber nicht die nackte Domain (oder umgekehrt). Beide müssen auf dem Zertifikat sein, sonst wirft eine davon eine Namensabweichungs-Warnung. Dieselbe Falle erwischt später hinzugefügte neue Subdomains.
• Ein selbstsigniertes Zertifikat auf einer „Test”-Subdomain lassen, die eigentlich öffentlich ist. Es verschlüsselt, also fühlt es sich sicher an — aber Browser (und Sicherheitsscanner) behandeln es als nicht vertrauenswürdig, und es ist ein klassisches rotes Audit-Signal.
• Annehmen, kostenpflichtig bedeute sicherer. Ein kostenloses Let’s-Encrypt-Zertifikat ist genauso vertrauenswürdig und verschlüsselt wie ein teures. Mehr zu zahlen macht kein stärkeres Schloss-Symbol.
• Das Zertifikat erneuern, aber vergessen, den Server neu zu laden. Ein neues Zertifikat auf der Festplatte bewirkt nichts, bis der Webserver neu geladen wird, um es aufzunehmen — eine überraschend häufige Ursache für „ich habe es erneuert, aber es zeigt immer noch abgelaufen.”
• Automatische Erneuerung, die still fehlschlug. Ein Erneuerungs-Job kann brechen (eine verschobene Datei, eine DNS-Änderung, ein blockierter Port) und still weiter „gelingen”. Das Ablaufdatum zu überwachen — nicht nur den Erneuerungs-Job — ist es, was das tatsächlich erwischt, bevor es zubeißt.

FAQ