Warum deine Website ein SSL-Zertifikat braucht

Du rufst eine Website auf und der Browser zeigt „Nicht sicher" neben der Adressleiste. Was machst du? Genau. Du gehst zurück. Deine Besucher machen das Gleiche. Ein SSL-Zertifikat verhindert genau das. Es verschlüsselt die Verbindung zwischen Browser und Server, schützt Formulardaten und signalisiert: Diese Seite ist vertrauenswürdig.

Was ein SSL-Zertifikat macht

SSL steht für Secure Sockets Layer. Der Nachfolger heißt TLS (Transport Layer Security), aber der Begriff SSL hat sich gehalten. Was passiert: Wenn jemand deine Website aufruft, baut der Browser eine verschlüsselte Verbindung zum Server auf. Daten, die zwischen Browser und Server fließen, kann niemand mitlesen. Kein Passwort, keine Kontaktformular-Nachricht, keine persönliche Information.

Sichtbar wird das am kleinen Schloss-Symbol in der Adressleiste und am „https://" statt „http://" in der URL. Ohne Zertifikat zeigt Chrome seit 2018 explizit „Nicht sicher" an. Firefox, Safari und Edge machen es genauso.

Warum es nicht optional ist

Drei Gründe, die alle gleichzeitig greifen:

• Browser-Warnung: Chrome, Firefox und Safari markieren HTTP-Seiten als unsicher. Bei Kontaktformularen warnen manche Browser sogar aktiv vor dem Absenden. Das schreckt Besucher ab, bevor sie den ersten Satz gelesen haben.
• Google-Ranking: HTTPS ist seit 2014 ein Ranking-Signal. Keine Revolution, aber bei zwei gleichwertigen Seiten gewinnt die mit SSL. Seit den Core Web Vitals ist HTTPS Teil der gesamten Seitenqualitätsbewertung.
• DSGVO: Wer ein Kontaktformular hat, überträgt personenbezogene Daten. Die DSGVO verlangt „angemessene technische Maßnahmen" zum Schutz dieser Daten. Eine unverschlüsselte Übertragung ist das Gegenteil davon.

Kurz: Ohne SSL verlierst du Besucher, Rankings und riskierst rechtliche Probleme.

Was es kostet

In den meisten Fällen: nichts. Die Initiative Let's Encrypt stellt seit 2015 kostenlose SSL-Zertifikate aus. Die meisten Hoster, auch günstige Shared-Hosting-Anbieter, bieten Let's Encrypt mit einem Klick an. Bei All-Inkl zum Beispiel ist das eine Checkbox im KAS-Verwaltungspanel. Aktivieren, fertig. Das Zertifikat verlängert sich automatisch alle 90 Tage.

Es gibt auch kostenpflichtige Zertifikate. Die kosten zwischen 10 und 300 Euro pro Jahr. Der Unterschied: Teurere Zertifikate bieten erweiterte Validierung (EV) oder Wildcard-Abdeckung für alle Subdomains. Für eine normale Firmenwebsite, einen Blog oder eine Praxisseite ist das unnötig. Let's Encrypt reicht.

Ein Schloss an der Haustür kostet nichts extra, wenn es beim Einzug schon eingebaut ist. SSL ist das Schloss deiner Website. Dein Hoster hat es bereits, du musst es nur aktivieren.

Wie du prüfst, ob deine Website SSL hat

Öffne deine Website im Browser. Schau auf die Adressleiste.

• Steht dort https:// und ein Schloss-Symbol? Dann ist alles in Ordnung.
• Steht dort http:// oder „Nicht sicher"? Dann fehlt das Zertifikat oder die Weiterleitung.
• Steht dort https, aber das Schloss hat ein Warnsymbol? Dann lädt deine Seite gemischte Inhalte. Irgendein Bild, Script oder Font wird noch über HTTP geladen.

Der dritte Fall ist häufiger als man denkt. Das Zertifikat ist aktiv, aber eine einzige HTTP-Ressource reicht aus, damit der Browser die Seite als teilweise unsicher einstuft.

Mixed Content: Das versteckte Problem

Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen über HTTP lädt. Ein Bild mit absoluter URL, ein eingebettetes Script, ein Font von einem alten CDN. Der Browser blockiert aktive Mixed Content (Scripts, Stylesheets) komplett und zeigt bei passivem Mixed Content (Bilder) eine Warnung.

Die Lösung: Alle internen URLs auf HTTPS umstellen oder, besser, relative Pfade verwenden. Externe Ressourcen müssen ebenfalls über HTTPS erreichbar sein. Wer von Anfang an keine externen Dienste einbindet, hat das Problem nicht.

SSL aktivieren: drei Schritte

Für die meisten Websites mit Shared Hosting:

• Schritt 1: Im Hosting-Panel (z.B. All-Inkl KAS, Plesk, cPanel) das SSL-Zertifikat aktivieren. Bei den meisten Hostern ist das Let's Encrypt und ein einzelner Klick.
• Schritt 2: HTTP-zu-HTTPS-Weiterleitung einrichten. Das geht in der .htaccess mit drei Zeilen: RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]. Damit landet jeder Besucher automatisch auf der verschlüsselten Version.
• Schritt 3: Alle internen Links prüfen. Hardcodierte http://-URLs in der Website auf https:// umstellen. Canonicals, Sitemap, Open-Graph-Tags nicht vergessen.

Bei einer sauber gebauten Website mit relativen Pfaden ist Schritt 3 in fünf Minuten erledigt. Bei WordPress mit Dutzenden Plugins kann es länger dauern.

Was ist mit WordPress

WordPress speichert die Site-URL in der Datenbank. Nach der SSL-Aktivierung muss diese URL unter Einstellungen → Allgemein auf https:// geändert werden. Danach empfiehlt sich ein Plugin wie „Better Search Replace", um alle internen http://-Links in der Datenbank zu ersetzen. Sonst bleiben alte Beiträge mit Mixed Content zurück.

Bei einer individuell gebauten Website stellt sich das Problem nicht. Relative Pfade und eine saubere .htaccess reichen aus.

Kostenlos vs. kostenpflichtig

Die Verschlüsselung ist identisch. Ein Let's-Encrypt-Zertifikat verschlüsselt genauso stark wie eines für 200 Euro. Der Unterschied liegt in der Validierung:

• DV (Domain Validation): Bestätigt, dass du die Domain kontrollierst. Das macht Let's Encrypt. Reicht für 99 % aller Websites.
• OV (Organization Validation): Bestätigt zusätzlich, dass dein Unternehmen existiert. Kostet 50-150 Euro pro Jahr. Relevant für größere Unternehmen, die das im Zertifikat anzeigen wollen.
• EV (Extended Validation): Die aufwändigste Prüfung. Früher zeigte der Browser den Firmennamen grün in der Adressleiste. Das machen Chrome und Firefox seit 2019 nicht mehr. Der sichtbare Vorteil ist damit weg.

Für Selbständige, Handwerker, Praxen und kleine Unternehmen: Let's Encrypt. Kein Grund, Geld auszugeben.

Häufig gestellte Fragen

Brauche ich SSL auch ohne Kontaktformular?

Ja. Auch ohne Formular ist HTTPS wichtig. Browser zeigen die Warnung „Nicht sicher" auf jeder HTTP-Seite, nicht nur bei Formularen. Und Google nutzt HTTPS als Ranking-Signal, unabhängig davon, ob du Daten sammelst.

Verlangsamt SSL meine Website?

Nein. Der SSL-Handshake dauert Millisekunden. Moderne Server unterstützen HTTP/2 und HTTP/3, die sogar nur über HTTPS funktionieren. Eine HTTPS-Website ist in der Praxis oft schneller als eine HTTP-Website, weil HTTP/2 Multiplexing ermöglicht.

Muss ich das Zertifikat manuell verlängern?

Bei Let's Encrypt nicht. Die meisten Hoster verlängern automatisch alle 90 Tage. Bei kostenpflichtigen Zertifikaten hängt es vom Anbieter ab. Manche verlängern automatisch, andere erinnern per E-Mail. Wichtig: Wenn das Zertifikat abläuft, zeigt der Browser eine ganzseitige Warnung. Das ist schlimmer als gar kein Zertifikat.

Reicht ein SSL-Zertifikat für mehrere Subdomains?

Ein normales Zertifikat gilt für eine Domain (z.B. beispiel.de und www.beispiel.de). Für Subdomains wie blog.beispiel.de brauchst du entweder ein separates Zertifikat oder ein Wildcard-Zertifikat (*.beispiel.de). Let's Encrypt bietet beides kostenlos an.

Kann ich SSL selbst einrichten?

Ja. Bei den meisten Hostern ist es ein Klick im Verwaltungspanel. Die .htaccess-Weiterleitung sind drei Zeilen Code. Wenn du unsicher bist, frag deinen Hoster oder einen Webdesigner. Es dauert keine halbe Stunde.