Zum Inhalt springen
Proaktive Sicherheitsupdates

SSL-Zertifikate, die nie ablaufen – und immer korrekt konfiguriert sind

Ein abgelaufenes Zertifikat sperrt Kunden aus, kostet Ranking und löst Browser-Warnungen aus. Wir übernehmen Einrichtung, automatische Erneuerung, Monitoring und Mixed-Content-Bereinigung Ihrer HTTPS-Umgebung – als fester Bestandteil der SLA-Wartung ab 199 € pro Monat.

SSL im SLA ab 199 € pro Monat Automatische Erneuerung Mixed-Content-Check

24/7

proaktives Monitoring

30 Tage

Frühwarnung vor Zertifikatsablauf

50+

betreute Zertifikate in Projekten (Projekterfahrung)

0

abgelaufene Zertifikate auf betreuten Systemen (Projekterfahrung)

HTTPS ist heute Pflicht – für das Vertrauen der Kunden, für das Suchmaschinenranking und für die DSGVO-Konformität. Ein fehlendes oder abgelaufenes SSL-Zertifikat zeigt Besuchern eine Browser-Warnseite und bricht den Kaufprozess ab. Moderne Browser markieren Seiten ohne HTTPS als „nicht sicher“, was die Absprungrate messbar erhöht. Unsere SSL-Verwaltung geht weit über die reine Ausstellung eines Zertifikats hinaus: Wir konfigurieren TLS korrekt, prüfen Mixed-Content-Fehler, überwachen Ablaufdaten und betreiben Ihre gesamte HTTPS-Umgebung nach aktuellen Sicherheitsstandards. Damit ergänzt unser SSL-Service die Sicherheitsupdates und das Uptime-Monitoring zu einem ganzheitlichen Schutzpaket – im SLA-Wartungsvertrag ab 199 € pro Monat ist die SSL-Betreuung fester Bestandteil.

SSL-Ablauf-Überwachung
Kein Zertifikat läuft unbemerkt ab
Jedes Zertifikat wird gegen feste Warnfenster geprüft — die Erneuerung startet automatisch 30 Tage vorher.
88
Tage Restlaufzeit nach Auto-Erneuerung
Domains überwacht4
TLS-BewertungA+ · 3 von 4
Mixed-Content-Funde0 · 242 Seiten
SSL-Ablauf-Skala · Warnfenster 90 / 30 / 7 Tage
88 T · aktiv
cdn · 16 T
90 Tage30 Tage7 Tage0 Tage
cdn.shop.de erreicht das 30-Tage-WarnfensterErneuerung Do 03:00 geplant
SSL im SLAab 199 € pro Monat
cdn.shop.deErneuerung in 16 Tagen geplant
SSL-Leitstand unseres Managed Service: Zertifikatsablauf, TLS-Bewertung und Mixed-Content-Scan aller Domains auf einen Blick. Beispielhafte Darstellung – Werte illustrativ.

Was ein SSL-Zertifikat leistet – und was nicht

Ein SSL/TLS-Zertifikat erfüllt zwei zentrale Funktionen: Es verschlüsselt die Datenübertragung zwischen Browser und Server, sodass niemand Dritter sensible Informationen wie Passwörter, Zahlungsdaten oder Adressdaten mitlesen kann. Und es authentifiziert den Server gegenüber dem Browser: Der Besucher erhält die Gewissheit, tatsächlich mit Ihrer Website und nicht mit einer gefälschten Kopie zu kommunizieren. Das Schloss-Symbol im Browser und das HTTPS-Präfix sind die sichtbaren Zeichen dieser Verschlüsselung.

Was ein SSL-Zertifikat allein nicht leistet: Es schützt nicht vor Schwachstellen in der Webanwendung selbst, vor kompromittierten Benutzerkonten oder vor Malware auf dem Server. Das Schloss-Symbol ist zudem kein Echtheitsbeweis – inzwischen nutzen 85 Prozent (APWG, 2023) aller Phishing-Seiten selbst HTTPS. SSL ist also eine notwendige, aber keine hinreichende Sicherheitsmaßnahme. Deshalb empfehlen wir SSL stets im Verbund mit regelmäßigen Sicherheitsupdates, einem aktiven Monitoring und bei Bedarf einem Backup-Service – als Teil einer mehrschichtigen Verteidigung.

Zertifikatstypen und ihre Einsatzbereiche

Let’s Encrypt (DV)

Domain-validierte Zertifikate, kostenlos und automatisch erneuerbar. Ideal für die meisten Onlineshops. Wir richten Let’s Encrypt mit automatischer 90-Tage-Erneuerung ein und überwachen den Prozess aktiv.

Organisationsvalidiert (OV)

OV-Zertifikate bestätigen neben der Domain auch die rechtliche Existenz des Unternehmens. Empfohlen für Shops mit hohem Bestellvolumen oder B2B-Umfeld, in denen das Vertrauen der Geschäftspartner besonders wichtig ist.

Extended Validation (EV)

Höchste Validierungsstufe mit erweiterter Unternehmensidentifikation. In einigen Branchen und für bestimmte Zielgruppen ein Vertrauenssignal, das über das Standard-Schloss hinausgeht.

Wildcard-Zertifikat

Ein Zertifikat für alle Subdomains einer Domain (*.example.de). Praktisch, wenn Shop, Blog, API und weitere Dienste unter verschiedenen Subdomains laufen. Vereinfacht die Verwaltung erheblich.

Multi-Domain-Zertifikat (SAN)

Deckt mehrere Domains und Subdomains mit einem einzigen Zertifikat ab. Geeignet für Shops mit mehrsprachigen Domains, regionalen Ablegern oder mehreren Marken unter einer Verwaltung.

Code-Signing-Zertifikat

Nicht für HTTPS, sondern für die digitale Signierung von Software und Downloads. Relevant für Shops, die eigene Apps oder Installationsdateien anbieten und deren Echtheit gegenüber Betriebssystemen nachweisen müssen.

Unser SSL-Einrichtungs- und Erneuerungsprozess

Die Einrichtung eines SSL-Zertifikats klingt einfach, birgt in der Praxis aber zahlreiche Fallstricke: falsche Zertifikatsketten, vergessene Subdomains, HTTP-Weiterleitungen, die nicht greifen, oder Mixed-Content-Fehler, die trotz HTTPS-Umstellung verbleiben. Unser Prozess stellt sicher, dass nach der Einrichtung alles reibungslos funktioniert.

Automatische Erneuerung, bevor ein Zertifikat abläuft

Die 90-Tage-Laufzeit von Let’s Encrypt ist kein Risiko, sondern Routine: Wir automatisieren die Erneuerung vollständig und prüfen nach jedem Lauf die Zertifikatskette. Für kostenpflichtige Zertifikate mit Jahreslaufzeit eskalieren wir rechtzeitig an den zuständigen Kontakt. Läuft eine Automatisierung einmal nicht durch, schlägt das Monitoring 30, 14 und 7 Tage vor Ablauf Alarm – lange bevor der Browser eine Warnseite zeigt.

  • Vollautomatische Erneuerung mit Ketten- und OCSP-Prüfung nach jedem Lauf
  • Ablauf-Alarm 30, 14 und 7 Tage vorher für jedes Zertifikat
  • Dokumentiertes Erneuerungsprotokoll mit Zeitstempel und Prüfergebnis
Automatische ErneuerungAuto-Erneuerung aktiv
03:00
www.shop.de erneuert
Zertifikatskette geprüft
03:01
api.shop.de erneuert
OCSP Stapling aktiv
03:02
mail.shop.de erneuert
HSTS unverändert
09:15
cdn.shop.de: Ablauf in 16 Tagen
Erneuerungsauftrag erstellt
Erneuerung startet 30 Tage vor Ablaufohne Handgriff Ihrerseits

Achtung: Abgelaufenes Zertifikat = sofortiger Shop-Ausfall

Ein abgelaufenes SSL-Zertifikat zeigt Besuchern eine vollständige Browser-Sperrseite. Kein Kunde kann den Shop aufrufen, bis das Zertifikat erneuert ist. Ohne Monitoring kann dieser Zustand über Stunden oder Tage unbemerkt bleiben.

TLS-Konfiguration: Mehr als nur ein Zertifikat

Das Zertifikat ist nur eine Komponente einer sicheren HTTPS-Konfiguration. Mindestens genauso wichtig ist, welche TLS-Versionen und Cipher-Suites der Server akzeptiert. Veraltete Protokolle wie TLS 1.0 und TLS 1.1 gelten als unsicher und sollten deaktiviert sein. Bestimmte Cipher-Suites bieten keine Forward Secrecy und ermöglichen es, aufgezeichneten verschlüsselten Traffic im Nachhinein zu entschlüsseln. Unser TLS-Hardening orientiert sich an den aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und den OWASP-TLS-Cheat-Sheet-Vorgaben.

TLS-Versions-Management

Aktivierung von TLS 1.2 und TLS 1.3, Deaktivierung veralteter Protokolle (TLS 1.0, TLS 1.1, SSL 3.0). Regelmäßige Überprüfung auf neue TLS-Versionsvorgaben der Browser-Hersteller.

Cipher-Suite-Konfiguration

Priorisierung moderner, sicherer Cipher-Suites mit Perfect Forward Secrecy (ECDHE-basiert). Deaktivierung schwacher Algorithmen wie RC4, 3DES und Export-Cipher-Suites.

HSTS-Header

Konfiguration von Strict-Transport-Security mit langer max-age und includeSubDomains. Optional: Aufnahme in die HSTS-Preload-Liste der Browser für maximale Durchsetzung der HTTPS-Nutzung.

OCSP Stapling

Einrichtung von OCSP Stapling reduziert den Overhead bei der Zertifikatsprüfung und verbessert die Ladezeiten. Der Server liefert den Widerrufsstatus direkt mit, ohne dass der Browser die CA kontaktieren muss.

Sicherheits-Header

Konfiguration ergänzender HTTP-Security-Header: Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options und Referrer-Policy. Diese Header schützen vor einer Reihe clientseitiger Angriffe.

TLS-Performance-Optimierung

Session Resumption, TLS Session Tickets und HTTP/2-Aktivierung verbessern die Verbindungsaufbauzeiten erheblich. Eine gut konfigurierte TLS-Umgebung ist schnell, nicht langsam.

Mixed-Content: Die häufigste Fehlerquelle nach der HTTPS-Umstellung

Mixed Content bezeichnet das Einbetten von HTTP-Ressourcen in eine HTTPS-Seite. Browser behandeln dies unterschiedlich: Aktiver Mixed Content (JavaScript, CSS, iframes) wird in modernen Browsern blockiert und führt zu Funktionsstörungen im Shop. Passiver Mixed Content (Bilder, Audio, Video) wird oft noch angezeigt, aber der Browser markiert die Seite als „nicht vollständig sicher“. In beiden Fällen leidet das Vertrauen der Nutzer – und das Kaufverhalten.

Systematische Ursachenanalyse

Mixed-Content-Fehler entstehen an verschiedenen Stellen: in fest eingebetteten Ressourcen-URLs in Templates, in Datenbankeinträgen mit HTTP-Referenzen, in Plugin-generierten URLs oder in eingebetteten externen Diensten. Wir analysieren systematisch alle Quellen und priorisieren die Behebung nach Auswirkung.

  • Template- und Theme-Analyse auf hardcodierte HTTP-URLs
  • Datenbankdurchsuchung nach HTTP-Referenzen in Inhalten
  • Plugin-spezifische URL-Generierung überprüfen
  • Externe Einbettungen (Maps, Videos, Widgets) auf HTTPS-Kompatibilität testen
  • Browser-Konsole und Header-Analyse im Live-System
Seiten geprüft242vollständiger Crawl
Aktiver Mixed Content03 behoben
Fundquellen und Status
QuelleFundeStatus
Templates und Theme0sauber
Datenbank-Inhalte3 → 0bereinigt
Plugin-generierte URLs0sauber
Externe Einbettungen0HTTPS

SSL-Zertifikatsmonitoring: Kontinuierliche Überwachung

Ein SSL-Zertifikat ist kein Set-and-forget-Element, sondern ein Laufzeitobjekt, das regelmäßige Aufmerksamkeit erfordert. Let’s Encrypt-Zertifikate laufen nach 90 Tagen ab und müssen rechtzeitig erneuert werden. Kommerziell ausgestellte Zertifikate haben typischerweise eine Laufzeit von einem Jahr. Beide Typen erfordern ein proaktives Monitoring, das sicherstellt, dass die Erneuerung nie vergessen wird – unabhängig davon, ob die Automatisierung korrekt funktioniert oder ob ein manueller Schritt nötig ist.

  • Ablaufüberwachung: Warnmeldungen 30 Tage, 14 Tage und 7 Tage vor Ablauf jedes Zertifikats
  • Zertifikatsketten-Check: Regelmäßige Prüfung auf vollständige und korrekte Zertifikatskette
  • Widerrufsstatus-Prüfung: Monitoring auf CRL- und OCSP-Status – widerrufene Zertifikate werden von Browsern nicht akzeptiert
  • TLS-Versions-Scan: Quartalsweise Prüfung auf veraltete oder neu als unsicher eingestufte Protokolle
  • Cipher-Suite-Audit: Erkennung schwacher Cipher-Suites bei neuen BSI-Empfehlungen
  • Erneuerungsprotokoll: Dokumentation jedes Erneuerungsvorgangs mit Zeitstempel und Prüfergebnis

SSL-Betreuung im Wartungsvertrag

ab 199 € pro Monat netto
  • Basis pro Monat – Erstreaktion bis 8 Stunden
  • Business 349 € pro Monat – Erstreaktion bis 4 Stunden
  • Enterprise 699 € pro Monat – Erstreaktion in 45 Minuten
  • SSL-Verwaltung, Updates, Monitoring und Backups in jedem Paket

SSL-Monitoring, automatische Erneuerung und Mixed-Content-Prüfung sind in jeder SLA-Stufe enthalten – ohne separate Beauftragung. Mindestlaufzeit 6 Monate.

Plattformspezifische Besonderheiten

Jede Plattform hat eigene Anforderungen an die SSL/TLS-Konfiguration. Die Shopware-Wartung und die WordPress-Wartung unterscheiden sich in den Detailanforderungen an die HTTPS-Umgebung. Bei Shopware sind insbesondere die Storefront-Konfiguration, die Proxy-Einstellungen und die CDN-Integration zu berücksichtigen. Bei WordPress sind es oft ältere eingebettete Bilder, Plugin-generierte HTTP-Links und die Konfiguration der Site-URL, die Mixed-Content-Probleme verursachen.

Shopware

Sichere Konfiguration der Sales-Channel-URLs, Proxy-Header für Load-Balancer-Setups, CDN-Integration mit SSL-Passthrough und korrekte Storefront-HTTPS-Erzwingung.

WordPress

Anpassung der WordPress- und Site-URL auf HTTPS, Konfiguration des SSL-Erzwingens in wp-config.php, Mixed-Content-Bereinigung in der Datenbank und Plugin-Kompatibilitätsprüfung.

TYPO3 und weitere CMS

HTTPS-Konfiguration in der site-Konfiguration, Bereinigung von hardcodierten Ressourcen-URLs in Templates und Extensions sowie Überprüfung der Caching-Layer auf korrekte HTTPS-Verarbeitung.

SSL selbst verwalten oder betreuen lassen

AspektIn EigenregieIm Managed Service
ErneuerungManuell, leicht vergessenAutomatisiert mit Ketten-Prüfung
AblaufwarnungOft erst die Browser-SperrseiteAlarm 30, 14 und 7 Tage vorher
TLS-KonfigurationStandard des Hosters, selten gehärtetHärtung nach BSI- und OWASP-Empfehlung
Mixed ContentFällt erst bei Kundenbeschwerden aufSystematischer Scan nach jeder Änderung
AusfallrisikoShop-Sperre bei abgelaufenem ZertifikatFrühwarnung schließt das Risiko aus
KostenUnklar, Aufwand im NotfallPlanbar ab 199 € pro Monat im SLA

SSL und SEO: Was Suchmaschinen wirklich bewerten

Führende Suchmaschinen werten eine verschlüsselte Verbindung seit Jahren als positives Signal, und moderne Browser markieren alle HTTP-Seiten als „nicht sicher“ – was die Absprungrate erhöht und indirekt das Ranking beeinflusst. Für Onlineshops kommt hinzu, dass Safe-Browsing-Warnungen bei unsicheren oder kompromittierten Seiten nicht nur das Ranking schädigen, sondern den Shop für Besucher vollständig blockieren können. Eine korrekt konfigurierte HTTPS-Umgebung ist daher kein optionaler SEO-Faktor, sondern Grundvoraussetzung für eine stabile Sichtbarkeit.

Zu berücksichtigen ist außerdem der kanonische HTTPS-Redirect: Wenn HTTP und HTTPS parallel erreichbar sind, entsteht Duplicate Content, der das Ranking verwässert. Wir stellen sicher, dass HTTP-URLs konsequent auf HTTPS weitergeleitet werden und dass Canonical-Tags, Sitemap-Einträge und interne Links alle auf die HTTPS-Variante zeigen. Diese Konsistenz ist besonders wichtig nach einer Neumigration von HTTP auf HTTPS, wenn Suchmaschinen noch ältere HTTP-Versionen indexiert haben.

SSL als Teil des SLA-Wartungsvertrags

Unser SLA-Wartungsvertrag umfasst das kontinuierliche SSL-Monitoring und die Erneuerung als festen Bestandteil. Kein separates Beauftragen, keine Überraschungen beim Ablaufdatum.

DSGVO und SSL: Datenschutzrechtliche Anforderungen

Die DSGVO verlangt in Artikel 32 technische Maßnahmen zum Schutz personenbezogener Daten während der Übertragung. Eine verschlüsselte Verbindung via HTTPS ist dabei die Mindestanforderung für alle Shops, die personenbezogene Daten verarbeiten – also praktisch jeden Shop, der Bestellungen entgegennimmt. Das Fehlen von HTTPS kann im Rahmen einer Datenschutzprüfung als Verstoß gewertet werden und zu Bußgeldern führen. Darüber hinaus schreiben viele Zahlungsdienstleister HTTPS als technische Voraussetzung für die Nutzung ihrer Zahlungsschnittstellen vor.

Wir dokumentieren die SSL-Konfiguration und die Erneuerungsvorgänge so, dass diese Dokumentation bei Datenschutzprüfungen als Nachweis technischer Schutzmaßnahmen dienen kann. Ergänzend empfehlen wir die regelmäßige Überprüfung der Datenschutzerklärung auf Konformität mit aktuellen Anforderungen – ein Thema, das unser DSGVO-Update-Service abdeckt.

Das Wichtigste in Kürze

  • SSL-Betreuung ist im SLA-Wartungsvertrag ab 199 € pro Monat enthalten – Monitoring, automatische Erneuerung und Mixed-Content-Prüfung ohne separate Beauftragung
  • Ablauf-Alarm 30, 14 und 7 Tage vor jedem Zertifikat – der häufigste Grund für Shop-Sperren wird konsequent ausgeschlossen
  • TLS-Härtung nach BSI- und OWASP-Empfehlung: aktuelle Protokolle, Forward Secrecy, HSTS und OCSP Stapling
  • Für die meisten Shops ist Let’s Encrypt die richtige Wahl – kostenlos, automatisch erneuerbar, von allen Browsern akzeptiert
  • Systematische Mixed-Content-Bereinigung in Templates, Datenbank und Einbettungen nach jeder HTTPS-Umstellung

Häufige Fragen zu SSL-Zertifikaten

Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Angaben zur Bearbeitung der Anfrage zu. Details in der Datenschutzerklärung.