SSL-Zertifikate, die nie ablaufen – und immer korrekt konfiguriert sind
Ein abgelaufenes Zertifikat sperrt Kunden aus, kostet Ranking und löst Browser-Warnungen aus. Wir übernehmen Einrichtung, automatische Erneuerung, Monitoring und Mixed-Content-Bereinigung Ihrer HTTPS-Umgebung – als fester Bestandteil der SLA-Wartung ab 199 € pro Monat.
24/7
proaktives Monitoring
30 Tage
Frühwarnung vor Zertifikatsablauf
50+
betreute Zertifikate in Projekten (Projekterfahrung)
0
abgelaufene Zertifikate auf betreuten Systemen (Projekterfahrung)
HTTPS ist heute Pflicht – für das Vertrauen der Kunden, für das Suchmaschinenranking und für die DSGVO-Konformität. Ein fehlendes oder abgelaufenes SSL-Zertifikat zeigt Besuchern eine Browser-Warnseite und bricht den Kaufprozess ab. Moderne Browser markieren Seiten ohne HTTPS als „nicht sicher“, was die Absprungrate messbar erhöht. Unsere SSL-Verwaltung geht weit über die reine Ausstellung eines Zertifikats hinaus: Wir konfigurieren TLS korrekt, prüfen Mixed-Content-Fehler, überwachen Ablaufdaten und betreiben Ihre gesamte HTTPS-Umgebung nach aktuellen Sicherheitsstandards. Damit ergänzt unser SSL-Service die Sicherheitsupdates und das Uptime-Monitoring zu einem ganzheitlichen Schutzpaket – im SLA-Wartungsvertrag ab 199 € pro Monat ist die SSL-Betreuung fester Bestandteil.
Was ein SSL-Zertifikat leistet – und was nicht
Ein SSL/TLS-Zertifikat erfüllt zwei zentrale Funktionen: Es verschlüsselt die Datenübertragung zwischen Browser und Server, sodass niemand Dritter sensible Informationen wie Passwörter, Zahlungsdaten oder Adressdaten mitlesen kann. Und es authentifiziert den Server gegenüber dem Browser: Der Besucher erhält die Gewissheit, tatsächlich mit Ihrer Website und nicht mit einer gefälschten Kopie zu kommunizieren. Das Schloss-Symbol im Browser und das HTTPS-Präfix sind die sichtbaren Zeichen dieser Verschlüsselung.
Was ein SSL-Zertifikat allein nicht leistet: Es schützt nicht vor Schwachstellen in der Webanwendung selbst, vor kompromittierten Benutzerkonten oder vor Malware auf dem Server. Das Schloss-Symbol ist zudem kein Echtheitsbeweis – inzwischen nutzen 85 Prozent (APWG, 2023) aller Phishing-Seiten selbst HTTPS. SSL ist also eine notwendige, aber keine hinreichende Sicherheitsmaßnahme. Deshalb empfehlen wir SSL stets im Verbund mit regelmäßigen Sicherheitsupdates, einem aktiven Monitoring und bei Bedarf einem Backup-Service – als Teil einer mehrschichtigen Verteidigung.
Zertifikatstypen und ihre Einsatzbereiche
Let’s Encrypt (DV)
Domain-validierte Zertifikate, kostenlos und automatisch erneuerbar. Ideal für die meisten Onlineshops. Wir richten Let’s Encrypt mit automatischer 90-Tage-Erneuerung ein und überwachen den Prozess aktiv.
Organisationsvalidiert (OV)
OV-Zertifikate bestätigen neben der Domain auch die rechtliche Existenz des Unternehmens. Empfohlen für Shops mit hohem Bestellvolumen oder B2B-Umfeld, in denen das Vertrauen der Geschäftspartner besonders wichtig ist.
Extended Validation (EV)
Höchste Validierungsstufe mit erweiterter Unternehmensidentifikation. In einigen Branchen und für bestimmte Zielgruppen ein Vertrauenssignal, das über das Standard-Schloss hinausgeht.
Wildcard-Zertifikat
Ein Zertifikat für alle Subdomains einer Domain (*.example.de). Praktisch, wenn Shop, Blog, API und weitere Dienste unter verschiedenen Subdomains laufen. Vereinfacht die Verwaltung erheblich.
Multi-Domain-Zertifikat (SAN)
Deckt mehrere Domains und Subdomains mit einem einzigen Zertifikat ab. Geeignet für Shops mit mehrsprachigen Domains, regionalen Ablegern oder mehreren Marken unter einer Verwaltung.
Code-Signing-Zertifikat
Nicht für HTTPS, sondern für die digitale Signierung von Software und Downloads. Relevant für Shops, die eigene Apps oder Installationsdateien anbieten und deren Echtheit gegenüber Betriebssystemen nachweisen müssen.
Unser SSL-Einrichtungs- und Erneuerungsprozess
Die Einrichtung eines SSL-Zertifikats klingt einfach, birgt in der Praxis aber zahlreiche Fallstricke: falsche Zertifikatsketten, vergessene Subdomains, HTTP-Weiterleitungen, die nicht greifen, oder Mixed-Content-Fehler, die trotz HTTPS-Umstellung verbleiben. Unser Prozess stellt sicher, dass nach der Einrichtung alles reibungslos funktioniert.
Bestandsaufnahme und Zertifikatsaudit
Wir inventarisieren alle Domains, Subdomains und Dienste des Shops. Dabei prüfen wir, welche Zertifikate bereits vorhanden sind, wann sie ablaufen und ob die aktuelle TLS-Konfiguration den aktuellen Sicherheitsempfehlungen entspricht. Das Ergebnis ist ein vollständiges Bild aller Zertifikate unter Ihrer Verwaltung.
Automatische Erneuerung, bevor ein Zertifikat abläuft
Die 90-Tage-Laufzeit von Let’s Encrypt ist kein Risiko, sondern Routine: Wir automatisieren die Erneuerung vollständig und prüfen nach jedem Lauf die Zertifikatskette. Für kostenpflichtige Zertifikate mit Jahreslaufzeit eskalieren wir rechtzeitig an den zuständigen Kontakt. Läuft eine Automatisierung einmal nicht durch, schlägt das Monitoring 30, 14 und 7 Tage vor Ablauf Alarm – lange bevor der Browser eine Warnseite zeigt.
- Vollautomatische Erneuerung mit Ketten- und OCSP-Prüfung nach jedem Lauf
- Ablauf-Alarm 30, 14 und 7 Tage vorher für jedes Zertifikat
- Dokumentiertes Erneuerungsprotokoll mit Zeitstempel und Prüfergebnis
Achtung: Abgelaufenes Zertifikat = sofortiger Shop-Ausfall
TLS-Konfiguration: Mehr als nur ein Zertifikat
Das Zertifikat ist nur eine Komponente einer sicheren HTTPS-Konfiguration. Mindestens genauso wichtig ist, welche TLS-Versionen und Cipher-Suites der Server akzeptiert. Veraltete Protokolle wie TLS 1.0 und TLS 1.1 gelten als unsicher und sollten deaktiviert sein. Bestimmte Cipher-Suites bieten keine Forward Secrecy und ermöglichen es, aufgezeichneten verschlüsselten Traffic im Nachhinein zu entschlüsseln. Unser TLS-Hardening orientiert sich an den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und den OWASP-TLS-Cheat-Sheet-Vorgaben.
TLS-Versions-Management
Aktivierung von TLS 1.2 und TLS 1.3, Deaktivierung veralteter Protokolle (TLS 1.0, TLS 1.1, SSL 3.0). Regelmäßige Überprüfung auf neue TLS-Versionsvorgaben der Browser-Hersteller.
Cipher-Suite-Konfiguration
Priorisierung moderner, sicherer Cipher-Suites mit Perfect Forward Secrecy (ECDHE-basiert). Deaktivierung schwacher Algorithmen wie RC4, 3DES und Export-Cipher-Suites.
HSTS-Header
Konfiguration von Strict-Transport-Security mit langer max-age und includeSubDomains. Optional: Aufnahme in die HSTS-Preload-Liste der Browser für maximale Durchsetzung der HTTPS-Nutzung.
OCSP Stapling
Einrichtung von OCSP Stapling reduziert den Overhead bei der Zertifikatsprüfung und verbessert die Ladezeiten. Der Server liefert den Widerrufsstatus direkt mit, ohne dass der Browser die CA kontaktieren muss.
Sicherheits-Header
Konfiguration ergänzender HTTP-Security-Header: Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options und Referrer-Policy. Diese Header schützen vor einer Reihe clientseitiger Angriffe.
TLS-Performance-Optimierung
Session Resumption, TLS Session Tickets und HTTP/2-Aktivierung verbessern die Verbindungsaufbauzeiten erheblich. Eine gut konfigurierte TLS-Umgebung ist schnell, nicht langsam.
Mixed-Content: Die häufigste Fehlerquelle nach der HTTPS-Umstellung
Mixed Content bezeichnet das Einbetten von HTTP-Ressourcen in eine HTTPS-Seite. Browser behandeln dies unterschiedlich: Aktiver Mixed Content (JavaScript, CSS, iframes) wird in modernen Browsern blockiert und führt zu Funktionsstörungen im Shop. Passiver Mixed Content (Bilder, Audio, Video) wird oft noch angezeigt, aber der Browser markiert die Seite als „nicht vollständig sicher“. In beiden Fällen leidet das Vertrauen der Nutzer – und das Kaufverhalten.
Systematische Ursachenanalyse
Mixed-Content-Fehler entstehen an verschiedenen Stellen: in fest eingebetteten Ressourcen-URLs in Templates, in Datenbankeinträgen mit HTTP-Referenzen, in Plugin-generierten URLs oder in eingebetteten externen Diensten. Wir analysieren systematisch alle Quellen und priorisieren die Behebung nach Auswirkung.
- Template- und Theme-Analyse auf hardcodierte HTTP-URLs
- Datenbankdurchsuchung nach HTTP-Referenzen in Inhalten
- Plugin-spezifische URL-Generierung überprüfen
- Externe Einbettungen (Maps, Videos, Widgets) auf HTTPS-Kompatibilität testen
- Browser-Konsole und Header-Analyse im Live-System
| Quelle | Status |
|---|---|
| Templates und Theme | sauber |
| Datenbank-Inhalte | bereinigt |
| Plugin-generierte URLs | sauber |
| Externe Einbettungen | HTTPS |
SSL-Zertifikatsmonitoring: Kontinuierliche Überwachung
Ein SSL-Zertifikat ist kein Set-and-forget-Element, sondern ein Laufzeitobjekt, das regelmäßige Aufmerksamkeit erfordert. Let’s Encrypt-Zertifikate laufen nach 90 Tagen ab und müssen rechtzeitig erneuert werden. Kommerziell ausgestellte Zertifikate haben typischerweise eine Laufzeit von einem Jahr. Beide Typen erfordern ein proaktives Monitoring, das sicherstellt, dass die Erneuerung nie vergessen wird – unabhängig davon, ob die Automatisierung korrekt funktioniert oder ob ein manueller Schritt nötig ist.
- Ablaufüberwachung: Warnmeldungen 30 Tage, 14 Tage und 7 Tage vor Ablauf jedes Zertifikats
- Zertifikatsketten-Check: Regelmäßige Prüfung auf vollständige und korrekte Zertifikatskette
- Widerrufsstatus-Prüfung: Monitoring auf CRL- und OCSP-Status – widerrufene Zertifikate werden von Browsern nicht akzeptiert
- TLS-Versions-Scan: Quartalsweise Prüfung auf veraltete oder neu als unsicher eingestufte Protokolle
- Cipher-Suite-Audit: Erkennung schwacher Cipher-Suites bei neuen BSI-Empfehlungen
- Erneuerungsprotokoll: Dokumentation jedes Erneuerungsvorgangs mit Zeitstempel und Prüfergebnis
SSL-Betreuung im Wartungsvertrag
- Basis pro Monat – Erstreaktion bis 8 Stunden
- Business 349 € pro Monat – Erstreaktion bis 4 Stunden
- Enterprise 699 € pro Monat – Erstreaktion in 45 Minuten
- SSL-Verwaltung, Updates, Monitoring und Backups in jedem Paket
SSL-Monitoring, automatische Erneuerung und Mixed-Content-Prüfung sind in jeder SLA-Stufe enthalten – ohne separate Beauftragung. Mindestlaufzeit 6 Monate.
Plattformspezifische Besonderheiten
Jede Plattform hat eigene Anforderungen an die SSL/TLS-Konfiguration. Die Shopware-Wartung und die WordPress-Wartung unterscheiden sich in den Detailanforderungen an die HTTPS-Umgebung. Bei Shopware sind insbesondere die Storefront-Konfiguration, die Proxy-Einstellungen und die CDN-Integration zu berücksichtigen. Bei WordPress sind es oft ältere eingebettete Bilder, Plugin-generierte HTTP-Links und die Konfiguration der Site-URL, die Mixed-Content-Probleme verursachen.
Shopware
Sichere Konfiguration der Sales-Channel-URLs, Proxy-Header für Load-Balancer-Setups, CDN-Integration mit SSL-Passthrough und korrekte Storefront-HTTPS-Erzwingung.
WordPress
Anpassung der WordPress- und Site-URL auf HTTPS, Konfiguration des SSL-Erzwingens in wp-config.php, Mixed-Content-Bereinigung in der Datenbank und Plugin-Kompatibilitätsprüfung.
TYPO3 und weitere CMS
HTTPS-Konfiguration in der site-Konfiguration, Bereinigung von hardcodierten Ressourcen-URLs in Templates und Extensions sowie Überprüfung der Caching-Layer auf korrekte HTTPS-Verarbeitung.
SSL selbst verwalten oder betreuen lassen
| Aspekt | In Eigenregie | Im Managed Service |
|---|---|---|
| Erneuerung | Manuell, leicht vergessen | Automatisiert mit Ketten-Prüfung |
| Ablaufwarnung | Oft erst die Browser-Sperrseite | Alarm 30, 14 und 7 Tage vorher |
| TLS-Konfiguration | Standard des Hosters, selten gehärtet | Härtung nach BSI- und OWASP-Empfehlung |
| Mixed Content | Fällt erst bei Kundenbeschwerden auf | Systematischer Scan nach jeder Änderung |
| Ausfallrisiko | Shop-Sperre bei abgelaufenem Zertifikat | Frühwarnung schließt das Risiko aus |
| Kosten | Unklar, Aufwand im Notfall | Planbar ab 199 € pro Monat im SLA |
SSL und SEO: Was Suchmaschinen wirklich bewerten
Führende Suchmaschinen werten eine verschlüsselte Verbindung seit Jahren als positives Signal, und moderne Browser markieren alle HTTP-Seiten als „nicht sicher“ – was die Absprungrate erhöht und indirekt das Ranking beeinflusst. Für Onlineshops kommt hinzu, dass Safe-Browsing-Warnungen bei unsicheren oder kompromittierten Seiten nicht nur das Ranking schädigen, sondern den Shop für Besucher vollständig blockieren können. Eine korrekt konfigurierte HTTPS-Umgebung ist daher kein optionaler SEO-Faktor, sondern Grundvoraussetzung für eine stabile Sichtbarkeit.
Zu berücksichtigen ist außerdem der kanonische HTTPS-Redirect: Wenn HTTP und HTTPS parallel erreichbar sind, entsteht Duplicate Content, der das Ranking verwässert. Wir stellen sicher, dass HTTP-URLs konsequent auf HTTPS weitergeleitet werden und dass Canonical-Tags, Sitemap-Einträge und interne Links alle auf die HTTPS-Variante zeigen. Diese Konsistenz ist besonders wichtig nach einer Neumigration von HTTP auf HTTPS, wenn Suchmaschinen noch ältere HTTP-Versionen indexiert haben.
SSL als Teil des SLA-Wartungsvertrags
DSGVO und SSL: Datenschutzrechtliche Anforderungen
Die DSGVO verlangt in Artikel 32 technische Maßnahmen zum Schutz personenbezogener Daten während der Übertragung. Eine verschlüsselte Verbindung via HTTPS ist dabei die Mindestanforderung für alle Shops, die personenbezogene Daten verarbeiten – also praktisch jeden Shop, der Bestellungen entgegennimmt. Das Fehlen von HTTPS kann im Rahmen einer Datenschutzprüfung als Verstoß gewertet werden und zu Bußgeldern führen. Darüber hinaus schreiben viele Zahlungsdienstleister HTTPS als technische Voraussetzung für die Nutzung ihrer Zahlungsschnittstellen vor.
Wir dokumentieren die SSL-Konfiguration und die Erneuerungsvorgänge so, dass diese Dokumentation bei Datenschutzprüfungen als Nachweis technischer Schutzmaßnahmen dienen kann. Ergänzend empfehlen wir die regelmäßige Überprüfung der Datenschutzerklärung auf Konformität mit aktuellen Anforderungen – ein Thema, das unser DSGVO-Update-Service abdeckt.
Das Wichtigste in Kürze
- SSL-Betreuung ist im SLA-Wartungsvertrag ab 199 € pro Monat enthalten – Monitoring, automatische Erneuerung und Mixed-Content-Prüfung ohne separate Beauftragung
- Ablauf-Alarm 30, 14 und 7 Tage vor jedem Zertifikat – der häufigste Grund für Shop-Sperren wird konsequent ausgeschlossen
- TLS-Härtung nach BSI- und OWASP-Empfehlung: aktuelle Protokolle, Forward Secrecy, HSTS und OCSP Stapling
- Für die meisten Shops ist Let’s Encrypt die richtige Wahl – kostenlos, automatisch erneuerbar, von allen Browsern akzeptiert
- Systematische Mixed-Content-Bereinigung in Templates, Datenbank und Einbettungen nach jeder HTTPS-Umstellung