SSL und HTTPS verständlich erklärt — Verschlüsselung, Vertrauen und häufige Fehler
SSL und HTTPS klingen technisch und sind in der Praxis längst Pflicht. Diese Übersicht zeigt, was das Zertifikat wirklich macht, welche Variante du brauchst und welche fünf Fehler nach dem HTTPS-Umzug am häufigsten passieren.
Inhaltsverzeichnis 12 Abschnitte
- 01Was SSL und TLS technisch machen
- 02Warum HTTPS heute Pflicht ist
- 03Drei Zertifikatstypen — DV, OV und EV
- 04Warum DV für die meisten KMU vollkommen reicht
- 05Let's Encrypt und automatische Erneuerung
- 06Mixed Content — der häufigste Fehler nach dem HTTPS-Umzug
- 07Abgelaufene Zertifikate und fehlende Weiterleitungen
- 08Wie du den SSL-Status deiner Site selber prüfst
- 09Wann mehr als ein DV-Zertifikat sinnvoll ist
- 10Was sich seit 2024 geändert hat
- 11Häufige Fragen
- 12Was du jetzt prüfen kannst
Was SSL und TLS technisch machen
SSL steht für Secure Sockets Layer, TLS für Transport Layer Security. Technisch sind die beiden Begriffe heute praktisch deckungsgleich – SSL ist die historische Bezeichnung, TLS der moderne Standard. Wenn jemand „SSL-Zertifikat“ sagt, meint er fast immer ein TLS-Zertifikat. Die Branche hat den alten Namen behalten, weil ihn alle kennen.
Was die Technik macht, lässt sich in einem Satz beschreiben: sie verschlüsselt die Verbindung zwischen dem Browser deines Besuchers und deinem Web-Server, sodass niemand dazwischen den Inhalt mitlesen kann. Wenn jemand in einem öffentlichen WLAN sitzt – im Café, am Bahnhof, im Hotel – kann der Betreiber des WLANs sehen, mit welchen Servern dein Besucher kommuniziert, aber nicht, was er dort eingibt oder liest.
Dazu kommt eine zweite Funktion: die Identitäts-Bestätigung. Das Zertifikat sagt dem Browser, dass er tatsächlich mit dem Server kommuniziert, der zu der eingetippten Domain gehört. Niemand kann sich dazwischenschieben und vorgeben, dein Server zu sein, ohne dass der Browser das merken würde.
Stefan, Installateur in Kärnten mit 14 Mitarbeitenden, hat das Thema lange ignoriert. Seine Site lief jahrelang ohne HTTPS, was bis 2017 unauffällig war und seit 2018 als prominente Browser-Warnung sichtbar wurde. Als ein Kunde ihn anrief und sagte „mir wird gesagt, deine Website sei nicht sicher“, war der Handlungsdruck plötzlich konkret. Die Umstellung dauerte einen Vormittag, der Eindruck bei den Besuchern hat sich sofort verändert.
Warum HTTPS heute Pflicht ist
Drei Gründe, warum HTTPS heute nicht mehr verhandelbar ist.
Erstens, die Browser-Anzeige. Chrome, Firefox, Safari und Edge zeigen seit 2018 für jede Seite ohne HTTPS einen sichtbaren „Nicht sicher“-Hinweis in der Adressleiste. Bei Formularen kommt zusätzlich eine ausführliche Warnung, sobald der Besucher in ein Eingabefeld klickt. Das ist kein Detail – das ist das erste, was deine Besucher sehen.
Zweitens, das Google-Ranking. HTTPS ist seit 2014 ein Ranking-Faktor, seit 2018 ein deutlich gewichteter. Sites ohne HTTPS werden bei vergleichbarem Inhalt schlechter gerankt. In gesättigten lokalen Märkten – Webdesign Villach, Installateur Klagenfurt, Hotel Pörtschach – ist das oft der Unterschied zwischen Top-10 und Seite 2.
Drittens, die DSGVO. Wer Formulare betreibt, übermittelt personenbezogene Daten. Artikel 32 DSGVO verlangt „angemessene Maßnahmen“ – darunter fällt Verschlüsselung der Übertragung. Wer ein Kontaktformular ohne HTTPS hat, hat einen direkten DSGVO-Verstoß im Live-Betrieb.
Die gute Nachricht: HTTPS kostet bei seriösen Hostern nichts und ist meistens binnen einer Stunde eingerichtet. Wer dafür Geld bezahlt, hat den falschen Hoster.
Drei Zertifikatstypen — DV, OV und EV
Wenn du dich mit der Materie tiefer beschäftigst, stößt du auf drei Buchstabenkombinationen. Sie unterscheiden, wie streng die Identitäts-Prüfung beim Ausstellen des Zertifikats war.
DV – Domain Validation. Die einfachste und häufigste Form. Die Zertifizierungsstelle prüft nur, dass du die Kontrolle über die Domain hast, für die das Zertifikat ausgestellt wird. Diese Prüfung läuft automatisch, dauert Minuten und ist kostenlos. Für den Besucher sichtbar: das Schloss-Symbol in der Adressleiste, keine zusätzliche Information.
OV – Organization Validation. Hier prüft die Zertifizierungsstelle zusätzlich, ob das Unternehmen, das im Antrag steht, tatsächlich existiert – Handelsregister-Auszug, Telefon-Verifizierung, manchmal eine Adress-Prüfung. Dauer: ein bis fünf Werktage. Kosten: typisch 50 bis 250 Euro pro Jahr. Für den Besucher sichtbar: das Schloss, im Zertifikatsdetail steht der vollständige Firmenname.
EV – Extended Validation. Die strengste Variante mit zusätzlicher Identitätsprüfung der antragstellenden Person, der Unterschrifts-Berechtigung und einer formellen Vertragslage. Kosten: 150 bis 800 Euro pro Jahr, Dauer mehrere Werktage. Bis 2019 waren EV-Zertifikate in den Browsern als grüner Adressleisten-Streifen mit Firmennamen sichtbar – seit 2019 zeigt kein moderner Browser diesen Streifen mehr. Die Sichtbarkeit, die EV früher rechtfertigte, gibt es schlicht nicht mehr.
Warum DV für die meisten KMU vollkommen reicht
Die ehrliche Antwort, die in vielen Anbieter-Werbungen so nicht steht: für 95 Prozent aller KMU-Sites in Österreich ist ein DV-Zertifikat technisch und kommunikativ ausreichend.
Die Verschlüsselungs-Qualität unterscheidet sich zwischen DV, OV und EV nicht. Alle drei verwenden dieselben Algorithmen, dieselben Schlüssellängen, dasselbe TLS-Protokoll. Was sich unterscheidet, ist nur die Prüfung beim Ausstellen – nicht das fertige Produkt.
Die Sichtbarkeit beim Besucher ist seit dem Browser-Update von 2019 für alle drei Typen praktisch identisch: ein Schloss in der Adressleiste, kein zusätzlicher Hinweis. Wer am Besucher etwas sichtbar machen will, müsste ihn aktiv dazu bringen, das Zertifikat im Detail aufzuklappen – was Besucher nie tun.
OV und EV haben heute zwei spezifische Anwendungsfälle. Erstens, regulierte Branchen mit Compliance-Anforderungen – Banken, manche Versicherungen, einige medizinische Bereiche. Zweitens, Sites mit hochpreisigen Transaktionen, wo der zusätzliche Vertrauens-Hinweis im Zertifikat für die Buchhaltung der Gegenseite relevant ist.
Wer eine normale KMU-Site, ein Hotel-Buchungsportal, einen Handwerker-Auftritt oder einen Online-Shop bis sechsstelligen Jahresumsatz betreibt, nimmt ein DV-Zertifikat und spart das Geld für sinnvollere Investitionen.
Let's Encrypt und automatische Erneuerung
Die wahrscheinlich wichtigste Entwicklung der letzten zehn Jahre im SSL-Bereich ist Let's Encrypt – eine gemeinnützige Zertifizierungsstelle, die seit 2015 kostenlose DV-Zertifikate ausstellt. Stand 2026 sichert Let's Encrypt über die Hälfte aller HTTPS-Verbindungen im offenen Web ab[1].
Drei Eigenschaften machen Let's Encrypt für KMU-Sites zur Standardwahl.
Erstens, der Preis. Null Euro pro Jahr, ohne versteckte Bedingungen. Was Let's Encrypt finanziert, sind Spenden großer Tech-Unternehmen plus die Internet Society als Mutterorganisation.
Zweitens, die kurze Laufzeit. Ein Let's-Encrypt-Zertifikat ist nur 90 Tage gültig. Was nach Aufwand klingt, ist in der Praxis ein Sicherheits-Vorteil: kompromittierte Zertifikate verfallen schnell, und die Erneuerung läuft auf jedem seriösen Hosting-System vollautomatisch.
Drittens, die Automatisierung. Programme wie Certbot oder die in modernen Hosting-Panels eingebauten Erneuerungs-Routinen kümmern sich selbständig um die Verlängerung, lange bevor das alte Zertifikat abläuft. Du merkst von der ganzen Mechanik im laufenden Betrieb nichts.
Wer einen seriösen Hoster hat, bekommt Let's Encrypt mit einem Klick. Wer noch dafür Geld zahlt, dass ihm ein DV-Zertifikat ausgestellt wird, betreibt Pflege eines veralteten Geschäftsmodells.
Mixed Content — der häufigste Fehler nach dem HTTPS-Umzug
Wenn eine Site auf HTTPS umzieht, taucht in den ersten Wochen oft ein neues Symptom auf: der Browser meldet „Mixed Content“ oder zeigt das Schloss-Symbol als nicht ganz sicher. Das passiert, wenn die Seite selbst über HTTPS lädt, aber einzelne Elemente – Bilder, Skripte, Stylesheets – noch über die alte HTTP-Adresse eingebunden sind.
Konsequenz: der Browser blockiert kritische Inhalte (Skripte, CSS), zeigt eine Warnung an oder ladet die Seite mit eingeschränkter Funktion. Aus Besucher-Sicht: die Site sieht kaputt aus, obwohl technisch alles eingerichtet ist.
Drei Stellen, wo Mixed Content am häufigsten entsteht.
Bild-Pfade im Inhalt, die mit http:// statt https:// beginnen. Vor allem ältere Beiträge, die vor dem HTTPS-Umzug verfasst wurden, enthalten oft fest verdrahtete HTTP-Adressen.
Eingebundene externe Skripte – etwa Tracking, Analytics, Schriftarten, Karten. Wenn die externe Quelle selbst HTTP statt HTTPS nutzt, blockiert der Browser sie auf einer HTTPS-Seite.
Hartcodierte Server-Adressen in Theme- oder Plugin-Einstellungen. Manche Themes speichern die Site-URL inklusive Protokoll – nach dem HTTPS-Umzug müssen diese Einstellungen aktualisiert werden, sonst zeigen sie weiter auf die alte HTTP-Variante.
Abgelaufene Zertifikate und fehlende Weiterleitungen
Zwei weitere Fehler, die nach dem ersten Aufsetzen oft Monate später auffallen.
Abgelaufene Zertifikate. Wer ein kostenpflichtiges Zertifikat mit ein- oder zweijähriger Laufzeit hatte und die Erneuerung vergisst, hat plötzlich eine Site mit Browser-Vollwarnung. Bei Let's-Encrypt-Zertifikaten passiert das praktisch nie, weil die Erneuerung automatisch läuft – aber bei alten manuell beschafften Zertifikaten ist es der häufigste Vorfall.
Fehlende Weiterleitung von HTTP auf HTTPS. Selbst wenn deine Site auf HTTPS läuft, kann sie weiterhin über die alte HTTP-Adresse aufgerufen werden, wenn keine Weiterleitung eingerichtet ist. Konsequenz: doppelte Indexierung bei Google (HTTP- und HTTPS-Version derselben Inhalte), Verwirrung in der Search Console, schlechtere Rankings.
Der saubere Weg ist eine permanente 301-Weiterleitung auf Server-Ebene: jede HTTP-Anfrage wird automatisch auf HTTPS umgelenkt. Bei seriösen Hostern eine einzige Einstellung, bei eigenem Server zwei bis fünf Zeilen Konfiguration. Wer das nicht tut, betreibt zwei Sites parallel und kann sich nicht wundern, dass keine davon richtig rankt.
Wie du den SSL-Status deiner Site selber prüfst
Vier kostenlose Werkzeuge, mit denen du in zehn Minuten den Stand deiner Site erfasst.
Das Schloss-Symbol in der Adressleiste. Wenn das Schloss vollständig geschlossen ist, hast du ein gültiges Zertifikat. Wenn es durchgestrichen ist, ein orangefarbenes Dreieck zeigt oder „Nicht sicher“ daneben steht, hast du ein konkretes Problem – Zertifikat abgelaufen, Mixed Content oder gar kein HTTPS.
Das Klicken auf das Schloss-Symbol. Hier siehst du, wer das Zertifikat ausgestellt hat, wann es abläuft und für welche Domain es gültig ist. Wenn das Ablaufdatum näher rückt und du keine automatische Erneuerung hast, ist das die richtige Stelle für die Erinnerung.
SSL Labs (ssllabs.com/ssltest). Ein kostenloser Test, der die technische Qualität deiner SSL-Konfiguration prüft – Protokoll-Version, Schlüssel-Stärke, Cipher-Suiten, mögliche Schwachstellen. Eine Note von A oder A+ ist das Ziel. Bei B oder schlechter liegen konkrete Verbesserungen offen, die dein Hoster oder Designer umsetzen kann.
Die Browser-Konsole (Rechtsklick „Untersuchen“ → Tab „Konsole“). Hier siehst du Mixed-Content-Warnungen und blockierte Anfragen. Wenn die Konsole sauber ist, ist deine HTTPS-Implementierung in Ordnung.
Wann mehr als ein DV-Zertifikat sinnvoll ist
Drei spezifische Konstellationen, in denen OV oder EV ihre Berechtigung haben.
Erstens, regulierte Branchen mit Compliance-Vorgaben. Banken, manche Versicherungsbereiche, einige medizinische und juristische Anwendungen verlangen entweder gesetzlich oder vertraglich eine OV- oder EV-Variante. Wer in solchen Branchen arbeitet, weiß das meist ohnehin.
Zweitens, B2B-Sites mit großen, langwierigen Verträgen. Wenn die Gegenseite eine Compliance-Abteilung hat, die das Zertifikat deiner Site formal prüft, kann OV eine Hürde geringer machen. Das ist selten und betrifft eher Konzern-Lieferketten als KMU-Verkauf.
Drittens, Wildcard-Zertifikate für viele Subdomains. Wenn du eine Hauptseite plus zwanzig Subdomains hast (shop., karriere., vereinsmitglieder., …), kann ein einzelnes Wildcard-Zertifikat günstiger sein als zwanzig einzelne. Let's Encrypt unterstützt Wildcard seit 2018 ebenfalls kostenlos, aber die Einrichtung ist technisch anspruchsvoller.
Für die typische KMU-Site – Hauptdomain plus eventuell www.-Variante – ist Let's Encrypt mit Standard-DV-Zertifikat die richtige Wahl. Wer aus einem dieser drei Sondergründe etwas anderes braucht, weiß es entweder schon oder lässt sich von einem Sicherheits-Berater die spezifische Empfehlung machen.
Was sich seit 2024 geändert hat
Drei Entwicklungen, die in den letzten zwei Jahren das Bild verändert haben.
Erstens, TLS 1.3 als neuer Standard. Die Vorgängerversionen TLS 1.0 und 1.1 sind seit 2020 als unsicher eingestuft, TLS 1.2 bleibt akzeptabel, TLS 1.3 ist die aktuelle Empfehlung. Moderne Hoster konfigurieren das automatisch – wer eine sehr alte Hosting-Konfiguration hat, sollte den TLS-Stand prüfen.
Zweitens, immer kürzere Zertifikats-Laufzeiten. Bis 2020 waren mehrjährige Zertifikate üblich, seit September 2020 maximal 397 Tage. Das CA/Browser Forum hat 2025 beschlossen, die maximale Laufzeit über die kommenden Jahre stufenweise auf 47 Tage zu reduzieren. Wer manuell beschaffte Zertifikate einsetzt, kommt ohne Automatisierung nicht mehr durch.
Drittens, schärfere Brückenkonsultationen bei Mixed Content. Aktuelle Browser blockieren Mixed Content deutlich aggressiver als vor zwei Jahren. Sites, die in der HTTP-Ära Skripte und Bilder lose eingebunden hatten und nie aufgeräumt wurden, sehen heute oft kaputt aus, ohne dass der Betreiber es bemerkt – weil er die Site nur im eigenen Cache sieht, der die alten Pfade kennt.
Diese drei Punkte zusammen bedeuten: SSL ist kein „einmal einrichten, dann vergessen“-Thema mehr. Es gehört in eine routine Site-Pflege, einmal pro Quartal kurz angeschaut.
Häufige Fragen
Brauche ich SSL/HTTPS auch für eine kleine Visitenkarten-Website?
Ja. Browser kennzeichnen HTTP-Seiten als „Nicht sicher“, was Besucher sofort sehen. Google rankt HTTPS-Sites besser. Wer Formulare ohne HTTPS betreibt, hat einen DSGVO-Verstoß. Bei seriösen Hostern kostet HTTPS nichts und ist in einer Stunde eingerichtet – es gibt keinen rationalen Grund, darauf zu verzichten.
Was ist der Unterschied zwischen Let's Encrypt und einem kostenpflichtigen Zertifikat?
Die Verschlüsselung ist identisch. Unterschiede gibt es bei der Identitätsprüfung (Let's Encrypt prüft nur die Domain-Kontrolle, kostenpflichtige Anbieter prüfen je nach Variante zusätzlich das Unternehmen), bei der Laufzeit (Let's Encrypt 90 Tage, andere bis 397 Tage) und bei optionalen Zusatzleistungen wie Haftungs-Versicherung. Für die meisten KMU-Sites reicht Let's Encrypt vollständig.
Wie lange dauert es, eine Site auf HTTPS umzustellen?
Bei einem seriösen Hoster mit automatischem Let's Encrypt: eine Stunde inklusive 301-Weiterleitung und Mixed-Content-Aufräumarbeit. Bei einer großen, alten Site mit fest verdrahteten HTTP-Pfaden: ein Halbtag bis zu einem ganzen Tag. Wer eine eigene Server-Konfiguration hat, sollte für die Einrichtung externe Hilfe einplanen, wenn keine Erfahrung damit besteht.
Was bedeutet die Anzeige „Nicht sicher“ im Browser?
Sie bedeutet, dass die Seite ohne HTTPS aufgerufen wird, also unverschlüsselt. Daten, die der Besucher eingibt, könnten von Dritten mitgelesen werden. Bei modernen Browsern erscheint die Anzeige für jede HTTP-Seite, bei Formularen kommt eine zusätzliche Warnung sobald der Besucher in ein Feld klickt.
Wie oft muss ein SSL-Zertifikat erneuert werden?
Let's-Encrypt-Zertifikate alle 90 Tage, voll automatisiert. Klassische DV-Zertifikate je nach Anbieter alle 397 Tage. OV- und EV-Zertifikate ebenfalls maximal 397 Tage. Ab voraussichtlich 2027 wird die maximale Laufzeit für alle Typen weiter reduziert, was die Automatisierung praktisch zur Pflicht macht.
Was kostet ein SSL-Zertifikat im Jahr 2026?
Let's Encrypt: kostenlos. Kommerzielle DV-Zertifikate: 0 bis 60 Euro pro Jahr, abhängig vom Anbieter. OV-Zertifikate: 50 bis 250 Euro pro Jahr. EV-Zertifikate: 150 bis 800 Euro pro Jahr. Für 95 Prozent aller KMU-Sites ist das kostenlose Let's-Encrypt-Zertifikat die richtige Wahl.
Was du jetzt prüfen kannst
Öffne deine eigene Site, schau auf das Schloss-Symbol, klick es an und sieh nach, wann das Zertifikat abläuft und wer es ausgestellt hat. Wenn dort ein Ablaufdatum näher als drei Monate steht und du keine automatische Erneuerung weißt, hast du einen konkreten Termin im Kalender. Wer SSL als Eintrittskarte verstanden hat, sieht den breiteren Sicherheits-Kontext klarer – die übrigen vier Grundlagen finden sich im Überblick zur Website-Sicherheit für KMU, wo HTTPS in den Kanon mit Updates, Backups, Logins und Formular-Schutz eingeordnet ist.