TE Online Web

Web, Technik & Digitales

TE Online Web

Web, Technik & Digitales

SSL-Zertifikat einrichten: Webseite auf HTTPS umstellen

Wenn der Browser bei Ihrer Webseite “Nicht sicher” anzeigt, fehlt ein gültiges SSL-Zertifikat. Dieser Artikel zeigt, was ein SSL-Zertifikat wirklich tut, wie Sie es einrichten und wie Sie die Umstellung auf HTTPS ohne kaputte Links und Warnmeldungen hinbekommen. Am Ende wissen Sie, welche Schritte nötig sind und welche Fehler die meisten übersehen.

Was ein SSL-Zertifikat eigentlich leistet

Ein SSL-Zertifikat (heute technisch TLS) verschlüsselt die Verbindung zwischen dem Besucher und Ihrem Server. Ohne Verschlüsselung reisen Daten wie Passwörter oder Formulareingaben im Klartext durch das Netz. Mit HTTPS liest ein Mitlauscher im selben WLAN nur unbrauchbaren Datensalat.

Das Zertifikat erfüllt zwei Aufgaben: Es verschlüsselt die Übertragung und es bestätigt, dass die Domain wirklich zu dem Server gehört, mit dem der Browser spricht. Deshalb reicht es nicht, irgendeine Verschlüsselung zu haben. Sie brauchen ein Zertifikat, das von einer anerkannten Stelle ausgestellt wurde.

Welche Zertifikatstypen es gibt

Die Unterschiede liegen in der Prüftiefe, nicht in der Stärke der Verschlüsselung. Die Verschlüsselung ist bei allen gleich stark.

Typ Prüfung Sinnvoll für
DV (Domain Validated) Nur Kontrolle über die Domain Blogs, kleine Firmenseiten, Shops ohne hohe Ansprüche
OV (Organization Validated) Firma wird geprüft Größere Unternehmen, die Vertrauen zeigen wollen
EV (Extended Validation) Ausführliche Firmenprüfung Banken, sehr sensible Bereiche

Für die meisten Webseiten reicht ein DV-Zertifikat. Der Dienst Let’s Encrypt stellt solche Zertifikate kostenlos aus und wird von allen gängigen Browsern anerkannt. Viele Hoster binden das direkt in ihr Kundenmenü ein.

So richten Sie HTTPS ein

Der Ablauf hängt vom Hoster ab, folgt aber fast immer demselben Muster. Bei vielen Anbietern genügt ein Klick, weil ein Let’s-Encrypt-Zertifikat automatisch erzeugt und verlängert wird.

Wichtig ist der Teil nach der Aktivierung. Ein Zertifikat allein macht Ihre Seite noch nicht sicher, wenn die Seite weiter über HTTP erreichbar bleibt und intern auf ungesicherte Adressen verweist.

Ein reales Beispiel

Eine Handwerksfirma stellt ihre WordPress-Seite auf HTTPS um. Das Zertifikat ist aktiv, trotzdem zeigt der Browser weiter eine Warnung. Der Grund: Im Seiteninhalt sind Bilder mit fester Adresse “http://” eingebunden. Der Browser lädt die Seite verschlüsselt, aber die Bilder unverschlüsselt. Das nennt sich Mixed Content und löst das Schlosssymbol auf. Erst als alle internen Adressen auf “https://” geändert und eine Weiterleitung von HTTP auf HTTPS eingerichtet wurde, verschwand die Warnung.

Häufige Fehler und wie Sie sie beheben

Keine Weiterleitung eingerichtet. Die Seite ist unter HTTP und HTTPS gleichzeitig erreichbar. Suchmaschinen sehen zwei Versionen. Lösung: eine dauerhafte Weiterleitung (301) von HTTP auf HTTPS setzen.

Mixed Content ignoriert. Alte Bild- oder Skriptadressen mit “http://” bleiben stehen. Lösung: interne Adressen anpassen, bei WordPress hilft ein Datenbank-Suchlauf oder ein Such-und-Ersetzen-Werkzeug.

Zertifikat läuft ab. Let’s-Encrypt-Zertifikate gelten nur 90 Tage. Lösung: automatische Verlängerung prüfen. Fällt sie aus, sieht der Besucher plötzlich eine Fehlerseite.

Falscher Domainname im Zertifikat. Das Zertifikat gilt für “beispiel.de”, aber nicht für “www.beispiel.de”. Lösung: beide Varianten ins Zertifikat aufnehmen oder eine Weiterleitung auf die eine gültige Variante einrichten.

Konkrete Schritte

  • Im Hoster-Menü prüfen, ob ein kostenloses SSL-Zertifikat verfügbar ist, und es aktivieren.
  • Sicherstellen, dass sowohl die Domain als auch die www-Variante abgedeckt sind.
  • Eine 301-Weiterleitung von HTTP auf HTTPS einrichten.
  • Interne Adressen von “http://” auf “https://” umstellen, um Mixed Content zu vermeiden.
  • Die automatische Verlängerung des Zertifikats kontrollieren.
  • Nach der Umstellung jede wichtige Seite im Browser aufrufen und auf das Schlosssymbol achten.

Fazit

HTTPS ist heute Standard, nicht Luxus. Die Einrichtung ist bei den meisten Hostern in wenigen Minuten erledigt. Entscheidend ist die Nacharbeit: Weiterleitung, Mixed Content und Verlängerung. Ihr nächster Schritt: Rufen Sie Ihre Seite jetzt auf und prüfen Sie, ob das Schlosssymbol erscheint. Fehlt es, gehen Sie die Checkliste durch.

Haeufige Fragen

Kostet ein SSL-Zertifikat immer Geld?

Nein. Über Let’s Encrypt gibt es kostenlose DV-Zertifikate, die von Browsern voll anerkannt werden. Kostenpflichtige Zertifikate lohnen sich vor allem, wenn Sie eine geprüfte Firmenidentität zeigen wollen.

Verbessert HTTPS mein Ranking?

Google hat HTTPS als leichtes Rankingsignal bestätigt. Der Effekt ist klein. Der größere Nutzen ist Vertrauen: Besucher brechen bei einer “Nicht sicher”-Warnung eher ab.

Was bedeutet Mixed Content genau?

Die Seite selbst wird verschlüsselt geladen, einzelne Elemente wie Bilder oder Skripte aber unverschlüsselt. Der Browser wertet die Seite dann als teilweise unsicher.

Muss ich nach der Umstellung etwas bei Google melden?

Es hilft, die HTTPS-Variante in der Google Search Console als eigene Property hinzuzufügen und die Sitemap erneut einzureichen, damit die Umstellung schneller erkannt wird.

Quellen

  • Let’s Encrypt (letsencrypt.org) – kostenlose Zertifizierungsstelle
  • Mozilla Developer Network (MDN) – Dokumentation zu HTTPS und Mixed Content
SSL-Zertifikat einrichten: Webseite auf HTTPS umstellen
Scroll to top