Zuletzt aktualisiert: 14. März 2026
Ein SSL/TLS-Zertifikat bindet einen öffentlichen Schlüssel an einen Domainnamen (und manchmal an eine Organisation), damit Browser den Server authentifizieren und eine verschlüsselte HTTPS-Verbindung aufbauen können. Die meisten öffentlich zugänglichen Websites sollten TLS-Zertifikate verwenden, um sensible Daten (z. B. Zugangsdaten und Zahlungsdetails) während der Übertragung zu verschlüsseln, und viele Browser sowie Compliance-Regelwerke machen HTTPS effektiv für wichtige Arbeitsabläufe zur Pflicht.
Was ist SSL?
SSL (Secure Sockets Layer) ist das ursprüngliche Protokoll zur Sicherung von Internetverbindungen. Obwohl TLS (Transport Layer Security) das ursprüngliche SSL-Protokoll ersetzt hat, bleibt „SSL“ der gebräuchliche Begriff für die Zertifikate, die zur Sicherung des Webverkehrs verwendet werden. Moderne „SSL“-Zertifikate werden mit TLS verwendet, das den Datenverkehr verschlüsselt und Integritätsprüfungen nutzt, sodass abgefangene Daten ohne Entdeckung weder gelesen noch verändert werden können.
Wie funktionieren SSL-Zertifikate?
SSL/TLS-Zertifikate nutzen die Public Key Infrastructure (PKI), die auf zwei verschiedenen kryptografischen Schlüsseln basiert:
- Öffentlicher Schlüssel: Im Zertifikat eingebettet; wird während des TLS-Handshakes für den Schlüsselaustausch und die Server-Authentifizierung verwendet.
- Privater Schlüssel: Sicher auf dem Webserver gespeichert; wird verwendet, um das Pre-Master-Geheimnis zu entschlüsseln oder die Server-Identität während des Handshakes zu beweisen.
Wenn ein Browser eine Verbindung zu einer HTTPS-Seite herstellt, funktioniert der TLS-Handshake typischerweise so:
- Identifikationsanforderung: Der Browser fordert die Server-Identifikation an.
- Zertifikat-Übergabe: Der Server sendet eine Kopie seines SSL-Zertifikats und des öffentlichen Schlüssels.
- Validierung & Authentifizierung: Der Browser überprüft das Zertifikat anhand seines vertrauenswürdigen Root-Stores. Der Server verwendet dann seinen privaten Schlüssel, um seinen Teil der Schlüsselaustauschparameter zu signieren. Der Browser validiert diese Signatur und bestätigt so die Server-Identität.
- Schlüsselaustausch: Client und Server führen einen temporären Schlüsselaustausch durch (typischerweise ECDHE). Beide Seiten erzeugen temporäre Schlüssel und tauschen die öffentlichen Teile aus, sodass sie unabhängig einen gemeinsamen Geheimschlüssel berechnen können, ohne diesen über das Netzwerk senden zu müssen. Dieser Vorgang garantiert Vorwärtssicherheit.
- Verschlüsselte Sitzung etabliert: Beide Parteien verwenden den symmetrischen Sitzungsschlüssel, um alle übertragenen Daten während der Verbindung zu verschlüsseln.
Wofür werden SSL-Zertifikate verwendet?
In der Praxis bieten SSL/TLS (mit Zertifikaten) drei Kernfunktionen:
- Verschlüsselung: Umwandlung von Klartextdaten in Geheimtext, um unbefugten Zugriff während der Übertragung zu verhindern.
- Authentifizierung: Bestätigung, dass der Server dem Domaininhaber gehört, zur Vermeidung von Man-in-the-Middle (MITM)-Angriffen.
- Datenintegrität: Sicherstellung, dass Daten während der Übertragung nicht verändert oder beschädigt wurden, durch kryptografische Hashverfahren.
Warum benötigen Websites ein SSL-Zertifikat?
In vielen Fällen ist SSL/TLS aufgrund von Browser-Verhalten und Compliance-Anforderungen erforderlich oder stark empfohlen:
- Browser-Anforderungen: Moderne Browser kennzeichnen Nicht-HTTPS-Seiten als „Nicht sicher“ und implementieren zunehmend restriktive Richtlinien: Blockieren von gemischten Inhalten, Verhinderung des Zugriffs auf moderne Web-APIs und in manchen Fällen erforderliche zusätzliche Benutzerbestätigung für Downloads oder Formularübermittlungen.
- Regulatorische Compliance: Vorschriften wie PCI-DSS, HIPAA und DSGVO schreiben Verschlüsselung von Daten während der Übertragung vor.
- Suchmaschinenoptimierung (SEO): Suchmaschinen wie Google verwenden HTTPS als kleines Ranking-Signal. Wichtig ist auch, dass HTTPS moderne Webfunktionen ermöglicht (z. B. Service Worker) und Referrer-Daten bewahrt, was die SEO-Leistung indirekt verbessern kann.
Wie man SSL-Zertifikate implementiert und überprüft
Um ein Zertifikat zu erhalten, muss eine Certificate Signing Request (CSR) erstellt werden. Auf einem Linux/Apache/Nginx-Server verwendet man dafür üblicherweise OpenSSL:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
Wie man das Ablaufdatum eines SSL-Zertifikats überprüft
Nach der Installation eines Zertifikats ist es entscheidend, die Konfiguration zu prüfen und sicherzustellen, dass die Gültigkeitsdauer wie erwartet ist. Man kann manuell das Ablaufdatum eines SSL-Zertifikats prüfen und die Details des aktiven Zertifikats über die Kommandozeile (CLI) mittels folgendem Befehl einsehen:
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | openssl x509 -noout -dates
Dieser Befehl verbindet sich mit dem Server, ruft das aktive Zertifikat ab und filtert die Ausgabe, um die notBefore (Beginndatum) und notAfter (Ablaufdatum) anzuzeigen.
Häufige Implementierungsfehler
Auch mit einem gültigen Zertifikat kann Ihre Seite als „Nicht sicher“ angezeigt werden aufgrund von:
- Problemen mit der Zwischenzertifikatskette: Wenn das „CA-Bundle“ nicht installiert wird, kann der Browser das Zertifikat nicht auf die Root-CA zurückführen.
- Hostname-Abweichung: Die Subject Alternative Names des Zertifikats stimmen nicht mit dem angeforderten Hostnamen überein (z. B. Zugriff auf store.example.com mit einem Zertifikat nur für example.com).
- Gemischte Inhalte: Die Seite nutzt HTTPS, aber Bilder oder Skripte werden über unsicheres HTTP geladen.
Arten von SSL-Zertifikaten
SSL-Zertifikate werden nach zwei Hauptkriterien klassifiziert: dem Validierungsgrad und der Anzahl der gesicherten Domains. Der Validierungsgrad spiegelt die Tiefe der vom Zertifikatsanbieter (CA) durchgeführten Hintergrundprüfung wider.
Nach Validierungsgrad
Anstatt nur Definitionen zu betrachten, nutzen Sie dieses Schema, um den Zweck Ihrer Website mit dem passenden Validierungsgrad abzugleichen.
Wenn Ihr Ziel ist … | Verwenden Sie diesen Validierungsgrad | Überprüfungstiefe |
|---|---|---|
Nur Geschwindigkeit & Verschlüsselung: Persönliche Blogs, Testumgebungen oder interne Wikis. | Domain-Validierung (DV) | Automatisierte Überprüfung von DNS/E-Mail. Ausstellung in Minuten. |
Markenidentität: Unternehmenswebsites, B2B SaaS oder Lead-Generation-Seiten. | Organisations-Validierung (OV) | Manuelle Überprüfung des Handelsregisters und der physischen Adresse. |
Maximales Vertrauen: E-Commerce, Banking oder Verarbeitung sensibler personenbezogener Daten (PII). | Extended Validation (EV) | Strenge rechtliche und operative Prüfung. Bietet das höchste Maß an Sicherheit. |
Nach gesicherten Domains
- Einzel-Domain-SSL: Sichert eine vollqualifizierte Domain (FQDN) oder Subdomain ab (z. B. example.com).
- Multi-Domain SSL (UCC/SAN): Sichert mehrere unterschiedliche Domainnamen unter einem einzigen Zertifikat ab (z. B. example.com, example.org).
- Wildcard SSL: (Siehe unten für eine ausführliche Erklärung).
Wildcard SSL-Zertifikate
Ein Wildcard-SSL-Zertifikat sichert eine Primärdomain und eine unbegrenzte Anzahl von deren Subdomains der ersten Ebene (z. B. *.example.com) unter einem einzelnen Zertifikat ab. Dies reduziert den Verwaltungsaufwand für einzelne Zertifikate in Umgebungen mit hoher Anzahl. Allerdings erfordert es strenge Sicherheitsvorkehrungen; wenn der private Schlüssel kompromittiert wird, sind alle zugehörigen Subdomains gefährdet.
Selbstsignierte vs. von CA ausgestellte Zertifikate
Ein selbstsigniertes Zertifikat ist genau das, was der Name sagt: ein SSL-Zertifikat, das vom Entwickler selbst signiert wurde und nicht von einer unabhängigen, vertrauenswürdigen öffentlichen Zertifizierungsstelle. Selbstsignierte Zertifikate können dieselben kryptografischen Algorithmen verwenden wie CA-signierte Zertifikate, werden aber von Browsern standardmäßig nicht als vertrauenswürdig eingestuft und verursachen Warnmeldungen, es sei denn, das Zertifikat wird explizit als vertrauenswürdig installiert. Da keine unabhängige „Vertrauenskette“ existiert, zeigen Browser prominente Sicherheitswarnungen an und erschweren (aber verhindern nicht) den Zugriff auf Seiten mit selbstsignierten Zertifikaten. Selbstsignierte Zertifikate sollten nur in privaten, internen Entwicklungsumgebungen verwendet werden — niemals in der Produktion.
Kostenlose vs. bezahlte SSL-Zertifikate
Ja. Dank Initiativen wie Let’s Encrypt ist die Sicherung eines einfachen Domain-Validierungs-(DV)-Zertifikats völlig kostenlos. Diese kostenlosen Zertifikate verwenden das ACME-Protokoll (Automated Certificate Management Environment), um Zertifikate automatisch per Skript auszustellen und zu erneuern.
Während kostenlose Zertifikate (wie von Let’s Encrypt) Standardverschlüsselung bieten, haben sie typischerweise eine Gültigkeitsdauer von 90 Tagen. Diese kürzere Lebensdauer erfordert eine automatische Erneuerung über das ACME-Protokoll. Wenn die Automatisierung fehlschlägt, läuft das Zertifikat ab, was Sicherheitswarnungen auslöst, die die meisten Benutzer davon abhalten, die Seite ohne explizites Umgehen von Browser-Schutzmechanismen zu erreichen.
Was ist SSL-Zertifikatsüberwachung?
Während das Verständnis der Funktionsweise von SSL entscheidend ist, erfordert die Sicherstellung, dass Ihre Zertifikate aktiv und gültig bleiben, eine kontinuierliche Überwachung. Ähnlich wie bei der DNS-Überwachung prüft die SSL-Zertifikatsüberwachung automatisch Endpunkte bezüglich der Zertifikatsgültigkeit (vertrauenswürdige Kette und Übereinstimmung des Hostnamens), Ablaufzeitpunkten und gängigen TLS-Konfigurationsproblemen. Die Zertifikatsüberwachung kontrolliert auf Gültigkeit, Ablaufdaten und häufige Konfigurationsfehler (beispielsweise fehlende Zwischenzertifikate) nach einem Zeitplan. Benachrichtigungen können Ihr Team vor Ablauf warnen, sodass Sie rechtzeitig erneuern oder die Kette reparieren können, bevor Browser Warnungen anzeigen. Um Sicherheitslücken zu vermeiden, nutzen viele Organisationen die besten SSL-Zertifikats-Überwachungstools zur Automatisierung von Multi-Standort-Prüfungen und Echtzeit-Benachrichtigungen.
Weitere Informationen finden Sie unter: „Was ist SSL-Zertifikatsüberwachung?“
Fallstudie: Die „Intermediate“-Falle
Ein häufiges Problem ist eine Seite, die in einigen Desktop-Browsern lädt, aber auf mobilen Browsern eine Zertifikatswarnung zeigt. Das liegt daran, dass Browser unterschiedliche Fähigkeiten beim Aufbau der Zertifikatskette haben – manche können fehlende Zwischenzertifikate über AIA-Erweiterungen abrufen oder verfügen über umfassendere lokale Zertifikatsspeicher, während andere (insbesondere mobile Browser) vom Server die komplette Kette brauchen. Wenn Browser die unvollständige Kette zum ersten Mal sehen, können sie das Zertifikat nicht validieren. Wenn Ihr Server falsch konfiguriert ist und nur das Endzertifikat und nicht die Zwischenkette sendet, stoßen mobile Nutzer auf die Meldung „Ihre Verbindung ist nicht privat“. Kontinuierliches Monitoring erkennt diesen „unvollständige Kette“-Fehler sofort, sogar wenn die Seite für Ihr internes Team „in Ordnung“ erscheint.
FAQ
Ist Monitoring dasselbe wie Zertifikatsverwaltung?
Nein. Während eine robuste Zertifikatsverwaltungsstrategie (unter Einsatz von Tools wie Let’s Encrypt oder DigiCert) die technische Ausstellung und Erneuerung von Zertifikaten regelt, ist Monitoring die unabhängige Prüfungsebene. Monitoring stellt sicher, dass diese Verwaltungsprozesse korrekt ausgeführt wurden und die Seite für Nutzer zugänglich bleibt.
Wie oft sollte ich meine Zertifikate überprüfen?
Ablaufprüfungen sollten mindestens täglich stattfinden. Für geschäftskritische Seiten sollten Konfigurations- und Heartbeat-Prüfungen alle paar Minuten erfolgen, um plötzliche Änderungen zu erkennen.
Muss ich Subdomains überwachen?
Ja. Subdomains, die für APIs, Staging oder interne Tools verwendet werden, sind häufige Fehlerquellen und werden bei manuellen Audits oft übersehen.
Was ist Certificate Transparency (CT)-Monitoring?
CT-Monitoring verfolgt öffentliche Protokolle, um jedes für Ihre Domain ausgestellte Zertifikat zu identifizieren und so “Shadow IT” oder unautorisierte Zertifikatsausstellungen zu erkennen.
Hilft SSL-Monitoring bei PCI-DSS- oder SOC2-Compliance?
Ja. Automatisiertes Monitoring liefert die Prüfspur, die von Sicherheitsrahmenwerken benötigt wird, um die Einhaltung von Verschlüsselungsstandards nachzuweisen.
Kann ich Zertifikate in internen Netzwerken oder hinter Firewalls überwachen?
Ja. Private Monitoring-Agenten können eingesetzt werden, um Zertifikate auf internen APIs und Mitarbeiterportalen zu verfolgen, die für öffentliche Scanner nicht zugänglich sind.
-
What Are SSL Certificates?
- What is SSL?
- How Do SSL Certificates Work?
- What Are SSL Certificates Used For?
- Why Do Websites Need an SSL Certificate?
- How to Implement and Inspect SSL Certificates
- Types Of SSL Certificates
- Self-Signed vs. CA-Signed Certificates
- Free vs. Paid SSL Certificates
- What is SSL Certificate Monitoring?
- FAQ