SSL-Zertifikat
Wer eine Website aufruft, sieht in der Adressleiste des Browsers entweder ein kleines Schloss-Symbol oder eine Sicherheitswarnung. Dieser Unterschied wird durch ein SSL-Zertifikat bestimmt. Es ist ein digitales Dokument, das zwei Dinge gleichzeitig tut: Es bestätigt die Identität einer Website und es verschlüsselt die Verbindung zwischen dem Browser des Besuchers und dem Server, auf dem die Seite liegt.
Für Websitebetreiber ist das seit Jahren kein optionales Extra mehr. Browser wie Chrome markieren Seiten ohne SSL-Zertifikat aktiv als unsicher. Google bevorzugt verschlüsselte Seiten in den Suchergebnissen. Und Besucher, die eine Sicherheitswarnung sehen, verlassen eine Seite in den meisten Fällen sofort.
Was ein SSL-Zertifikat technisch leistet
SSL steht für Secure Sockets Layer, ein Protokoll das ursprünglich von Netscape entwickelt wurde. Der technische Nachfolger heißt TLS (Transport Layer Security) und ist heute der tatsächlich verwendete Standard. In der Praxis werden beide Begriffe synonym verwendet, weshalb du weiterhin von SSL-Zertifikaten sprichst, obwohl im Hintergrund TLS arbeitet.
Das Zertifikat ermöglicht eine verschlüsselte Verbindung zwischen Browser und Server. Das bedeutet: Alle Daten, die zwischen Besucher und Website ausgetauscht werden, sind für Dritte nicht lesbar. Passwörter, Kontaktformular-Eingaben, Zahlungsdaten bei Online-Shops, persönliche Informationen aus Anmeldeformularen, all das reist verschlüsselt und kann nicht abgefangen werden.
Erkennbar ist die verschlüsselte Verbindung am Protokoll in der Adresszeile: Seiten ohne SSL beginnen mit http://, Seiten mit SSL beginnen mit https://. Das „s“ steht für „secure“.
Das Schloss-Symbol und was Browser damit signalisieren
Browser kommunizieren den Sicherheitsstatus einer Seite aktiv an den Nutzer. Chrome zeigt bei HTTPS-Seiten ein Schloss-Symbol in der Adressleiste. Bei Seiten ohne SSL erscheint je nach Browser ein durchgestrichenes Schloss oder der Hinweis „Nicht sicher“.
Das klingt nach einem kleinen Detail, hat aber erhebliche Auswirkungen auf das Verhalten der Besucher. Wer auf einer Seite ein Formular ausfüllen oder einen Kauf abschließen soll und dabei eine Sicherheitswarnung sieht, bricht den Vorgang in den meisten Fällen ab. Das Vertrauen ist weg, bevor der erste Inhalt gelesen wurde.
Besonders bei Online-Shops, Arztpraxen, Steuerberatern oder anderen Websites, auf denen persönliche Daten eingegeben werden, ist das Schloss-Symbol ein direkter Vertrauensfaktor.
SSL und Google-Ranking
Google hat HTTPS bereits 2014 als Rankingfaktor eingeführt. Damals war es ein schwaches Signal mit geringem Gewicht. Heute ist HTTPS de facto Pflichtstandard. Seiten ohne SSL werden nicht gezielt abgestraft, aber Seiten mit SSL haben einen kleinen, konstanten Vorteil gegenüber nicht verschlüsselten Seiten bei gleicher inhaltlicher Qualität.
Wichtiger als der direkte Rankingeffekt ist der indirekte: Eine Seite ohne SSL wird von Browsern als unsicher markiert, was die Absprungrate erhöht. Hohe Absprungraten wiederum sind ein negatives Nutzersignal, das sich langfristig auf die Sichtbarkeit in den Suchergebnissen auswirkt.
Außerdem ist HTTPS Voraussetzung für modernere Übertragungsprotokolle wie HTTP/2 und HTTP/3, die Seiten deutlich schneller ausliefern können. Wer seine optimieren will, kommt an HTTPS nicht vorbei.
Die drei Arten von SSL-Zertifikaten
Nicht alle SSL-Zertifikate sind gleich. Es gibt drei Validierungsstufen, die sich darin unterscheiden, wie gründlich die ausstellende Zertifizierungsstelle die Identität des Antragstellers prüft.
Domain Validation (DV)
Das DV-Zertifikat ist die einfachste und günstigste Variante. Die Zertifizierungsstelle prüft nur, ob der Antragsteller tatsächlich die Kontrolle über die Domain hat. Keine Prüfung des Unternehmens, keine Identitätsprüfung. Das Zertifikat wird oft innerhalb von Minuten ausgestellt.
DV-Zertifikate sind für die meisten Websites ausreichend: Blogs, Unternehmenswebsites ohne sensible Transaktionen, Portfolios, Informationsseiten. Das Schloss-Symbol erscheint, die Verbindung ist verschlüsselt.
Organization Validation (OV)
Bei OV-Zertifikaten prüft die Zertifizierungsstelle zusätzlich, ob das beantragende Unternehmen tatsächlich existiert und rechtlich eingetragen ist. Das dauert länger und kostet mehr, bietet aber einen höheren Vertrauensnachweis. Für mittelständische Unternehmen mit kommerziellem Webauftritt ist OV eine sinnvolle Wahl.
Extended Validation (EV)
EV-Zertifikate erfordern die gründlichste Prüfung. Früher zeigte der Browser bei EV-Zertifikaten den Unternehmensnamen in grüner Schrift neben dem Schloss an. Diese visuelle Unterscheidung haben die meisten Browser inzwischen abgeschafft, weshalb der praktische Unterschied für normale Besucher kaum noch sichtbar ist. EV bleibt vor allem für Banken, große Online-Shops und Institutionen relevant, bei denen maximales Vertrauen erforderlich ist.
Let’s Encrypt: Kostenlos und in den meisten Fällen ausreichend
Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, die kostenlose DV-Zertifikate ausstellt. Die Zertifikate sind 90 Tage gültig und können automatisch erneuert werden. Die meisten Hosting-Anbieter haben Let’s Encrypt direkt in ihre Verwaltungsoberfläche integriert, sodass die Einrichtung mit wenigen Klicks erledigt ist.
Für die überwiegende Mehrheit der Websites reicht Let’s Encrypt vollkommen aus. Blog, Unternehmenswebsite, Portfolio, Landingpage: Ein DV-Zertifikat von Let’s Encrypt verschlüsselt die Verbindung genauso zuverlässig wie ein kostenpflichtiges Zertifikat. Der Unterschied liegt ausschließlich in der Tiefe der Identitätsprüfung, nicht in der Qualität der Verschlüsselung.
Wer jedoch einen Online-Shop betreibt oder eine Website, auf der regelmäßig sensible Daten verarbeitet werden, sollte über ein OV-Zertifikat nachdenken, allein schon um gegenüber Kunden Seriosität zu signalisieren.
Häufige Fehler rund um SSL
Gemischte Inhalte (Mixed Content): Eine Website hat ein SSL-Zertifikat, lädt aber einzelne Elemente wie Bilder, Skripte oder Stylesheets noch über HTTP. Der Browser zeigt dann trotz Zertifikat eine Sicherheitswarnung. Das passiert häufig nach einem nachträglichen Wechsel von HTTP auf HTTPS, wenn interne Links und Ressourcen nicht vollständig umgestellt wurden.
Abgelaufene Zertifikate: SSL-Zertifikate haben ein Ablaufdatum. Läuft ein Zertifikat ab, zeigt der Browser eine Fehlerseite, die Besucher aktiv davon abhält, die Seite zu öffnen. Bei automatischer Verlängerung über Let’s Encrypt passiert das selten, bei manuell verwalteten Zertifikaten aber regelmäßig.
Keine Weiterleitung von HTTP auf HTTPS: Wenn beide Versionen einer Seite erreichbar sind, also http:// und https://, entstehen doppelte Inhalte und der SEO-Wert verteilt sich auf zwei URLs. Eine saubere 301-Weiterleitung von HTTP auf HTTPS ist Pflicht.
Zertifikat nur für die Hauptdomain: Wer Subdomains betreibt, braucht entweder ein Wildcard-Zertifikat, das alle Subdomains abdeckt, oder separate Zertifikate für jede Subdomain. Ein Zertifikat für meinefirma.de deckt shop.meinefirma.de nicht automatisch ab.
Ein SSL-Zertifikat ist heute technische Grundvoraussetzung für jeden seriösen Webauftritt. Wer eine neue Website aufbauen lässt, sollte sicherstellen, dass HTTPS von Anfang an korrekt eingerichtet ist und alle Weiterleitungen stimmen. Eine setzt das standardmäßig um. Wer technische SEO-Probleme wie Mixed Content oder fehlende Weiterleitungen auf bestehenden Seiten beheben will, ist mit einer gut aufgestellt.
