InspectWP Logo
Glossar

Was ist ein SSL-Zertifikat?

8. Februar 2026 Aktualisiert am 19.04.2026

Ein SSL-Zertifikat (technisch gesehen ein TLS-Zertifikat, da SSL vor Jahren durch TLS ersetzt wurde) ist eine kleine Datendatei auf deinem Webserver, die eine verschlüsselte Verbindung zwischen dem Server und den Browsern deiner Besucher herstellt. Wenn ein Zertifikat korrekt installiert ist, lädt deine Seite über HTTPS statt HTTP, und Browser zeigen das Schloss-Symbol in der Adressleiste an, um zu signalisieren, dass die Verbindung sicher ist.

Wie TLS/SSL-Verschlüsselung tatsächlich funktioniert

Wenn jemand deine URL eingibt und Enter drückt, durchlaufen Browser und Server einen Prozess namens TLS-Handshake. Das passiert in Millisekunden, aber im Hintergrund läuft einiges ab:

  1. Hello: Der Browser sendet eine „Client Hello"-Nachricht an den Server und listet auf, welche Verschlüsselungsmethoden er unterstützt.
  2. Zertifikat: Der Server antwortet mit seinem TLS-Zertifikat, das den öffentlichen Schlüssel des Servers und Informationen über die Zertifizierungsstelle (CA) enthält, die es ausgestellt hat.
  3. Verifizierung: Der Browser prüft das Zertifikat gegen seine eingebaute Liste vertrauenswürdiger CAs. Er stellt sicher, dass das Zertifikat nicht abgelaufen ist, zum Domainnamen passt und nicht widerrufen wurde.
  4. Schlüsselaustausch: Browser und Server einigen sich auf einen gemeinsamen Sitzungsschlüssel mittels asymmetrischer Verschlüsselung (öffentliche/private Schlüsselpaare). Dieser Sitzungsschlüssel wird zur Verschlüsselung der eigentlichen Daten verwendet.
  5. Verschlüsselte Kommunikation: Ab diesem Punkt werden alle Daten zwischen Browser und Server mit dem Sitzungsschlüssel über symmetrische Verschlüsselung verschlüsselt, die deutlich schneller ist als asymmetrische Verschlüsselung.

Das Wesentliche: Das öffentliche/private Schlüsselpaar wird nur verwendet, um die Verbindung sicher aufzubauen. Der eigentliche Seiteninhalt, Formulareingaben und Cookies werden mit einem temporären Sitzungsschlüssel verschlüsselt, der für jede Verbindung einzigartig ist.

Arten von SSL/TLS-Zertifikaten

Zertifikate gibt es in drei Validierungsstufen, und die Unterschiede betreffen Vertrauen und Verifizierung, nicht die Verschlüsselungsstärke. Die Verschlüsselung selbst ist bei allen Typen gleich stark.

  • Domain Validation (DV): Die CA prüft nur, ob du die Domain kontrollierst, normalerweise indem du einen DNS-Eintrag setzt oder auf eine E-Mail an der Domain antwortest. Das dauert Minuten und ist oft kostenlos (z. B. Let's Encrypt). DV-Zertifikate sind für die meisten WordPress-Seiten, Blogs und kleine Unternehmenswebsites völlig ausreichend.
  • Organization Validation (OV): Die CA prüft die rechtliche Existenz deiner Organisation. Dazu gehört die Überprüfung von Handelsregistereinträgen, und es dauert typischerweise ein paar Tage. OV-Zertifikate zeigen den Organisationsnamen in den Zertifikatsdetails an (allerdings nicht sichtbar in der Browserleiste). Sie sind eher bei Unternehmenswebsites und SaaS-Plattformen verbreitet.
  • Extended Validation (EV): Der strengste Verifizierungsprozess. Die CA führt eine gründliche Prüfung der Organisation durch, einschließlich Rechtsstatus, physische Adresse und autorisierte Ansprechpartner. EV-Zertifikate zeigten früher den Firmennamen in einer grünen Leiste im Browser an, aber die meisten Browser haben diese visuelle Unterscheidung in den letzten Jahren entfernt. Sie werden noch von Banken, Finanzinstituten und großen E-Commerce-Seiten genutzt, obwohl ihr praktischer Wert abgenommen hat.

Let's Encrypt und kostenlose Zertifikate

Let's Encrypt hat die SSL-Landschaft verändert, als es 2015 gestartet ist. Vorher kosteten selbst einfache DV-Zertifikate Geld und erforderten manuelle Installation. Let's Encrypt bietet kostenlose, automatisierte DV-Zertifikate, die 90 Tage gültig sind und automatisch erneuert werden können.

Heute unterstützt praktisch jeder Hosting-Anbieter Let's Encrypt. Viele bieten es als Teil ihrer Hosting-Pakete an und kümmern sich automatisch um Installation und Erneuerung. Wenn dein Hoster kein automatisches SSL anbietet, können Tools wie Certbot den Zertifikats-Lebenszyklus auf deinem Server verwalten.

Heute gibt es wirklich keinen Grund mehr, eine WordPress-Seite ohne HTTPS zu betreiben. Das Zertifikat ist kostenlos, die Einrichtung ist automatisiert, und die Vorteile (Sicherheit, SEO, Nutzervertrauen) sind erheblich.

Wildcard-Zertifikate

Ein Standard-Zertifikat deckt eine einzelne Domain ab (z. B. example.com) und manchmal auch www.example.com. Wenn du mehrere Subdomains betreibst (shop.example.com, blog.example.com, app.example.com), brauchst du normalerweise ein separates Zertifikat für jede einzelne.

Ein Wildcard-Zertifikat deckt alle Subdomains unter einer einzelnen Domain ab. Es verwendet ein *.example.com-Muster und sichert jede Subdomain auf dieser Ebene. Let's Encrypt unterstützt Wildcard-Zertifikate, aber sie erfordern DNS-basierte Validierung anstelle der einfacheren HTTP-Validierungsmethode. Die meisten Managed-Hosting-Anbieter handhaben das automatisch, wenn du es brauchst.

Zertifikatsablauf und Erneuerung

Jedes TLS-Zertifikat hat ein Ablaufdatum. Let's Encrypt-Zertifikate laufen nach 90 Tagen ab, während kommerziell gekaufte Zertifikate seit dem 15. März 2026 maximal 200 Tage gültig sind. Dieses Limit wurde durch Ballot SC-081v3 des CA/Browser Forums eingeführt und wird schrittweise weiter reduziert: auf 100 Tage ab März 2027 und auf 47 Tage ab März 2029. Das vorherige Maximum von 398 Tagen (gültig seit 2020) gehört damit der Vergangenheit an. Der klare Trend geht in Richtung kurzer Laufzeiten und automatisierter Erneuerung. Wenn ein Zertifikat abläuft, zeigen Browser eine ganzseitige Warnung an, die die meisten Besucher davon abhält, deine Seite aufzurufen. Das ist ein ernstes Problem, das deinen Traffic komplett abschneiden kann.

Automatische Erneuerung ist entscheidend. Wenn du Let's Encrypt über deinen Hosting-Anbieter nutzt, geschieht die Erneuerung normalerweise im Hintergrund ohne jede Aktion deinerseits. Wenn du deinen Server direkt verwaltest, stelle sicher, dass Certbot oder dein ACME-Client für die automatische Erneuerung konfiguriert ist, und teste, ob es tatsächlich funktioniert. Ein häufiges Problem ist ein Cron-Job, der für die Erneuerung eingerichtet wurde, aber stillschweigend fehlschlägt wegen eines Berechtigungsproblems oder einer geänderten Serverkonfiguration.

So prüfst du dein SSL-Zertifikat

Es gibt mehrere Möglichkeiten zu überprüfen, ob dein Zertifikat korrekt funktioniert:

  • Browser-Schloss: Klicke auf das Schloss-Symbol in der Adressleiste deines Browsers. Du kannst den Zertifikatsaussteller, das Ablaufdatum und die abgedeckte Domain sehen.
  • SSL Labs (ssllabs.com/ssltest): Das branchenübliche Online-Tool zum Testen deiner SSL-Konfiguration. Es prüft nicht nur das Zertifikat, sondern auch die TLS-Protokollversionen, Cipher-Suites und bekannte Schwachstellen. Strebe eine A- oder A+-Bewertung an.
  • Kommandozeilen-Tools: openssl s_client -connect example.com:443 zeigt detaillierte Zertifikatsinformationen für technisches Debugging.

WordPress und HTTPS

Ein Zertifikat auf deinem Server zu installieren, ist nur die halbe Arbeit. Du musst auch sicherstellen, dass WordPress HTTPS konsistent verwendet:

  • Site-URL-Einstellungen: Unter WordPress Einstellungen > Allgemein sollten sowohl „WordPress-Adresse" als auch „Website-Adresse" https:// verwenden. Fehler hier verursachen Redirect-Schleifen und Login-Probleme.
  • SSL erzwingen: Füge define('FORCE_SSL_ADMIN', true); zu deiner wp-config.php hinzu, um sicherzustellen, dass der Adminbereich immer HTTPS verwendet.
  • 301-Weiterleitungen: Richte serverseitige Weiterleitungen ein (über .htaccess bei Apache oder Server-Block bei Nginx), um alle HTTP-Anfragen auf HTTPS umzuleiten. So landen Besucher und Suchmaschinen immer auf der sicheren Version.
  • Mixed Content: Nach der Umstellung auf HTTPS hast du möglicherweise Bilder, Skripte oder Stylesheets, die noch über HTTP geladen werden. Browser blockieren diese unsicheren Ressourcen oder warnen davor. Verwende ein Plugin wie „Better Search Replace", um alte HTTP-URLs in deiner Datenbank zu aktualisieren, und prüfe dein Theme auf hartcodierte HTTP-Referenzen.
  • HSTS-Header: Der Strict-Transport-Security-Header weist Browser an, für deine Seite immer HTTPS zu verwenden, auch wenn jemand http:// in die Adressleiste eingibt. Das eliminiert den kurzen Moment, in dem ein Besucher über HTTP verbunden sein könnte, bevor er weitergeleitet wird.

Warum „SSL" eigentlich TLS ist

Der Begriff „SSL-Zertifikat" hat sich gehalten, obwohl das SSL-Protokoll selbst seit 2015 als veraltet gilt. SSL 3.0 war die letzte Version, und sie hatte bekannte Sicherheitslücken (unter anderem der POODLE-Angriff). Der Nachfolger ist TLS (Transport Layer Security), das aktuell bei Version 1.3 steht. Moderne Browser unterstützen SSL überhaupt nicht mehr; sie verwenden ausschließlich TLS 1.2 und TLS 1.3.

Wenn Hosting-Anbieter, Zertifizierungsstellen oder WordPress-Plugins von „SSL" sprechen, meinen sie tatsächlich TLS. Die Begriffe werden in der Praxis austauschbar verwendet, obwohl es technisch unterschiedliche Protokolle sind. Wenn dein Server noch TLS 1.0 oder 1.1 unterstützt, solltest du auch diese deaktivieren, da sie ebenfalls als unsicher gelten.

Was InspectWP prüft

InspectWP überprüft, ob deine WordPress-Seite ein gültiges TLS-Zertifikat hat, prüft das Ablaufdatum des Zertifikats und erkennt Mixed-Content-Probleme, bei denen HTTP-Ressourcen auf HTTPS-Seiten geladen werden. Es untersucht auch deine Sicherheits-Header, einschließlich HSTS, um zu bestätigen, dass deine HTTPS-Einrichtung vollständig und korrekt konfiguriert ist.

Vorheriger Artikel

Was ist die robots.txt?

Nächster Artikel

Was sind DNS-Einträge?

Verwandte Artikel

Was ist eine Meta Description?

Was ist Mixed Content?

Was ist Lazy Loading?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren