InspectWP Logo
Glossar

Was ist ein SSL-Zertifikat?

8. Februar 2026

Ein SSL-Zertifikat (technisch gesehen ein TLS-Zertifikat, da SSL vor Jahren durch TLS ersetzt wurde) ist eine kleine Datendatei auf deinem Webserver, die eine verschluesselte Verbindung zwischen dem Server und den Browsern deiner Besucher herstellt. Wenn ein Zertifikat korrekt installiert ist, laedt deine Seite ueber HTTPS statt HTTP, und Browser zeigen das Schloss-Symbol in der Adressleiste an, um zu signalisieren, dass die Verbindung sicher ist.

Wie TLS/SSL-Verschluesselung tatsaechlich funktioniert

Wenn jemand deine URL eingibt und Enter drueckt, durchlaufen Browser und Server einen Prozess namens TLS-Handshake. Das passiert in Millisekunden, aber im Hintergrund laeuft einiges ab:

  1. Hello: Der Browser sendet eine "Client Hello"-Nachricht an den Server und listet auf, welche Verschluesselungsmethoden er unterstuetzt.
  2. Zertifikat: Der Server antwortet mit seinem TLS-Zertifikat, das den oeffentlichen Schluessel des Servers und Informationen ueber die Zertifizierungsstelle (CA) enthaelt, die es ausgestellt hat.
  3. Verifizierung: Der Browser prueft das Zertifikat gegen seine eingebaute Liste vertrauenswuerdiger CAs. Er stellt sicher, dass das Zertifikat nicht abgelaufen ist, zum Domainnamen passt und nicht widerrufen wurde.
  4. Schluesselaustausch: Browser und Server einigen sich auf einen gemeinsamen Sitzungsschluessel mittels asymmetrischer Verschluesselung (oeffentliche/private Schluesselpaare). Dieser Sitzungsschluessel wird zur Verschluesselung der eigentlichen Daten verwendet.
  5. Verschluesselte Kommunikation: Ab diesem Punkt werden alle Daten zwischen Browser und Server mit dem Sitzungsschluessel ueber symmetrische Verschluesselung verschluesselt, die deutlich schneller ist als asymmetrische Verschluesselung.

Das Wesentliche: Das oeffentliche/private Schluesselpaar wird nur verwendet, um die Verbindung sicher aufzubauen. Der eigentliche Seiteninhalt, Formulareingaben und Cookies werden mit einem temporaeren Sitzungsschluessel verschluesselt, der fuer jede Verbindung einzigartig ist.

Arten von SSL/TLS-Zertifikaten

Zertifikate gibt es in drei Validierungsstufen, und die Unterschiede betreffen Vertrauen und Verifizierung, nicht die Verschluesselungsstaerke. Die Verschluesselung selbst ist bei allen Typen gleich stark.

  • Domain Validation (DV): Die CA prueft nur, ob du die Domain kontrollierst, normalerweise indem du einen DNS-Eintrag setzt oder auf eine E-Mail an der Domain antwortest. Das dauert Minuten und ist oft kostenlos (z.B. Let's Encrypt). DV-Zertifikate sind fuer die meisten WordPress-Seiten, Blogs und kleine Unternehmenswebsites voellig ausreichend.
  • Organization Validation (OV): Die CA prueft die rechtliche Existenz deiner Organisation. Dazu gehoert die Ueberpruefung von Handelsregistereintraegen, und es dauert typischerweise ein paar Tage. OV-Zertifikate zeigen den Organisationsnamen in den Zertifikatsdetails an (allerdings nicht sichtbar in der Browserleiste). Sie sind eher bei Unternehmenswebsites und SaaS-Plattformen verbreitet.
  • Extended Validation (EV): Der strengste Verifizierungsprozess. Die CA fuehrt eine gruendliche Pruefung der Organisation durch, einschliesslich Rechtsstatus, physische Adresse und autorisierte Ansprechpartner. EV-Zertifikate zeigten frueher den Firmennamen in einer gruenen Leiste im Browser an, aber die meisten Browser haben diese visuelle Unterscheidung in den letzten Jahren entfernt. Sie werden noch von Banken, Finanzinstituten und grossen E-Commerce-Seiten genutzt, obwohl ihr praktischer Wert abgenommen hat.

Let's Encrypt und kostenlose Zertifikate

Let's Encrypt hat die SSL-Landschaft veraendert, als es 2015 gestartet ist. Vorher kosteten selbst einfache DV-Zertifikate Geld und erforderten manuelle Installation. Let's Encrypt bietet kostenlose, automatisierte DV-Zertifikate, die 90 Tage gueltig sind und automatisch erneuert werden koennen.

Heute unterstuetzt praktisch jeder Hosting-Anbieter Let's Encrypt. Viele bieten es als Teil ihrer Hosting-Pakete an und kuemmern sich automatisch um Installation und Erneuerung. Wenn dein Hoster kein automatisches SSL anbietet, koennen Tools wie Certbot den Zertifikats-Lebenszyklus auf deinem Server verwalten.

Es gibt im Jahr 2025 wirklich keinen Grund, eine WordPress-Seite ohne HTTPS zu betreiben. Das Zertifikat ist kostenlos, die Einrichtung ist automatisiert, und die Vorteile (Sicherheit, SEO, Nutzervertrauen) sind erheblich.

Wildcard-Zertifikate

Ein Standard-Zertifikat deckt eine einzelne Domain ab (z.B. example.com) und manchmal auch www.example.com. Wenn du mehrere Subdomains betreibst (shop.example.com, blog.example.com, app.example.com), brauchst du normalerweise ein separates Zertifikat fuer jede einzelne.

Ein Wildcard-Zertifikat deckt alle Subdomains unter einer einzelnen Domain ab. Es verwendet ein *.example.com-Muster und sichert jede Subdomain auf dieser Ebene. Let's Encrypt unterstuetzt Wildcard-Zertifikate, aber sie erfordern DNS-basierte Validierung anstelle der einfacheren HTTP-Validierungsmethode. Die meisten Managed-Hosting-Anbieter handhaben das automatisch, wenn du es brauchst.

Zertifikatsablauf und Erneuerung

Jedes TLS-Zertifikat hat ein Ablaufdatum. Let's Encrypt-Zertifikate laufen nach 90 Tagen ab, waehrend kommerziell gekaufte Zertifikate typischerweise ein Jahr gueltig sind (das seit 2020 erlaubte Maximum). Wenn ein Zertifikat ablaeuft, zeigen Browser eine ganzseitige Warnung an, die die meisten Besucher davon abhaelt, deine Seite aufzurufen. Das ist ein ernstes Problem, das deinen Traffic komplett abschneiden kann.

Automatische Erneuerung ist entscheidend. Wenn du Let's Encrypt ueber deinen Hosting-Anbieter nutzt, geschieht die Erneuerung normalerweise im Hintergrund ohne jede Aktion deinerseits. Wenn du deinen Server direkt verwaltest, stelle sicher, dass Certbot oder dein ACME-Client fuer die automatische Erneuerung konfiguriert ist, und teste, ob es tatsaechlich funktioniert. Ein haeufiges Problem ist ein Cron-Job, der fuer die Erneuerung eingerichtet wurde, aber stillschweigend fehlschlaegt wegen eines Berechtigungsproblems oder einer geaenderten Serverkonfiguration.

So pruefst du dein SSL-Zertifikat

Es gibt mehrere Moeglichkeiten zu ueberpruefen, ob dein Zertifikat korrekt funktioniert:

  • Browser-Schloss: Klicke auf das Schloss-Symbol in der Adressleiste deines Browsers. Du kannst den Zertifikatsaussteller, das Ablaufdatum und die abgedeckte Domain sehen.
  • SSL Labs (ssllabs.com/ssltest): Das branchenuebliche Online-Tool zum Testen deiner SSL-Konfiguration. Es prueft nicht nur das Zertifikat, sondern auch die TLS-Protokollversionen, Cipher-Suites und bekannte Schwachstellen. Strebe eine A- oder A+-Bewertung an.
  • Kommandozeilen-Tools: openssl s_client -connect example.com:443 zeigt detaillierte Zertifikatsinformationen fuer technisches Debugging.

WordPress und HTTPS

Ein Zertifikat auf deinem Server zu installieren ist nur die halbe Arbeit. Du musst auch sicherstellen, dass WordPress HTTPS konsistent verwendet:

  • Site-URL-Einstellungen: Unter WordPress Einstellungen > Allgemein sollten sowohl "WordPress-Adresse" als auch "Website-Adresse" https:// verwenden. Fehler hier verursachen Redirect-Schleifen und Login-Probleme.
  • SSL erzwingen: Fuege define('FORCE_SSL_ADMIN', true); zu deiner wp-config.php hinzu, um sicherzustellen, dass der Adminbereich immer HTTPS verwendet.
  • 301-Weiterleitungen: Richte serverseitige Weiterleitungen ein (ueber .htaccess bei Apache oder Server-Block bei Nginx), um alle HTTP-Anfragen auf HTTPS umzuleiten. So landen Besucher und Suchmaschinen immer auf der sicheren Version.
  • Mixed Content: Nach der Umstellung auf HTTPS hast du moeglicherweise Bilder, Skripte oder Stylesheets, die noch ueber HTTP geladen werden. Browser blockieren diese unsicheren Ressourcen oder warnen davor. Verwende ein Plugin wie "Better Search Replace", um alte HTTP-URLs in deiner Datenbank zu aktualisieren, und pruefe dein Theme auf hartcodierte HTTP-Referenzen.
  • HSTS-Header: Der Strict-Transport-Security-Header weist Browser an, fuer deine Seite immer HTTPS zu verwenden, auch wenn jemand http:// in die Adressleiste eingibt. Das eliminiert den kurzen Moment, in dem ein Besucher ueber HTTP verbunden sein koennte, bevor er weitergeleitet wird.

Warum "SSL" eigentlich TLS ist

Der Begriff "SSL-Zertifikat" hat sich gehalten, obwohl das SSL-Protokoll selbst seit 2015 als veraltet gilt. SSL 3.0 war die letzte Version, und sie hatte bekannte Sicherheitsluecken (unter anderem der POODLE-Angriff). Der Nachfolger ist TLS (Transport Layer Security), das aktuell bei Version 1.3 steht. Moderne Browser unterstuetzen SSL ueberhaupt nicht mehr; sie verwenden ausschliesslich TLS 1.2 und TLS 1.3.

Wenn Hosting-Anbieter, Zertifizierungsstellen oder WordPress-Plugins von "SSL" sprechen, meinen sie tatsaechlich TLS. Die Begriffe werden in der Praxis austauschbar verwendet, obwohl es technisch unterschiedliche Protokolle sind. Wenn dein Server noch TLS 1.0 oder 1.1 unterstuetzt, solltest du auch diese deaktivieren, da sie ebenfalls als unsicher gelten.

Was InspectWP prueft

InspectWP ueberprueft, ob deine WordPress-Seite ein gueltiges TLS-Zertifikat hat, prueft das Ablaufdatum des Zertifikats und erkennt Mixed-Content-Probleme, bei denen HTTP-Ressourcen auf HTTPS-Seiten geladen werden. Es untersucht auch deine Sicherheits-Header, einschliesslich HSTS, um zu bestaetigen, dass deine HTTPS-Einrichtung vollstaendig und korrekt konfiguriert ist.

Vorheriger Artikel

Was ist die robots.txt?

Nächster Artikel

Was sind DNS-Einträge?

Verwandte Artikel

Was ist eine Web Application Firewall (WAF)?

Was sind Core Web Vitals?

Was ist WordPress Multisite?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren