Websites & Software

SSL-Zertifikat abgelaufen – was sofort zu tun ist

6 Min. Lesezeit
Kurze Antwort

Bei abgelaufenem SSL-Zertifikat sofort beim Hoster erneuern – meist per Klick oder automatisch via Let's Encrypt. Ursache fast immer: Auto-Renewal deaktiviert oder Benachrichtigungs-E-Mail verpasst. Erneuerung dauert wenige Minuten.

Ein abgelaufenes SSL-Zertifikat ist kein Weltuntergang — aber Minuten zählen. Jede Sekunde, die Ihre Website mit Browser-Warnung online ist, kostet Sie Besucher, Vertrauen und Google-Ranking. Dieser Leitfaden bringt Sie systematisch durch die Wiederherstellung.
Was gerade passiert: Browser zeigen Besuchern eine rote Warnung (Ihre Verbindung ist nicht sicher) und blockieren den Zugriff aktiv. Google markiert die Seite intern als unsicher und wertet das Ranking ab. Besucher springen sofort ab — Conversion-Rate und Umsatz brechen ein. E-Mail-Systeme und APIs, die HTTPS voraussetzen, funktionieren möglicherweise nicht mehr.

Ein SSL-Zertifikat (Secure Sockets Layer) ist die digitale Grundlage für die verschlüsselte HTTPS-Verbindung Ihrer Website. Ohne gültiges Zertifikat überträgt Ihr Browser Daten unverschlüsselt — das erkennt jeder moderne Browser sofort und warnt Nutzer unmißverständlich. SSL-Zertifikate haben eine begrenzte Gültigkeitsdauer: Der heute verbreitete Standard Let’s Encrypt stellt Zertifikate mit 90 Tagen Laufzeit aus, kommerzielle Anbieter bieten 1 bis 2 Jahre. Die kurze Laufzeit bei Let’s Encrypt ist bewusst gewählt — sie zwingt zu regelmäßiger Erneuerung und erhöht so die Sicherheit. Das Problem entsteht nicht durch die kurze Laufzeit selbst, sondern wenn die automatische Erneuerung stillschweigend fehlschlägt: Der Cronjob läuft nicht mehr, Serverberechtigungen haben sich geändert, die Domain-Validierung scheitert wegen DNS-Problemen, Firewall-Regeln blockieren den Certbot-Prozess, oder der Hosting-Anbieter hat etwas an der Infrastruktur verändert. Wer kein aktives Monitoring betreibt, bemerkt das Ablaufen oft erst, wenn Kunden anrufen oder die Website plötzlich im Ranking abstürzt.

  1. Let’s Encrypt Auto-Renewal prüfen

    Melden Sie sich per SSH auf Ihrem Server an und führen Sie certbot renew --dry-run aus. Zeigt der Output Fehler, sehen Sie sofort die Ursache: DNS-Validierung fehlgeschlagen, Portblockierung, abgelaufene Zugangsdaten. Notieren Sie die genaue Fehlermeldung — sie ist Ihr Wegweiser für die nächsten Schritte.

  2. Hosting-Panel öffnen

    Falls Sie keinen direkten SSH-Zugang haben, loggen Sie sich sofort in Ihr Hosting-Control-Panel ein (cPanel, Plesk, IONOS, Strato, All-Inkl). Navigieren Sie zum Bereich SSL/TLS oder Sicherheit. Die meisten Panels zeigen dort den Status aller Zertifikate mit Ablaufdatum an.

  3. Zertifikat manuell erneuern

    Im Hosting-Panel: Klicken Sie auf Erneuern oder Neues Zertifikat anfordern. Per SSH: Führen Sie sudo certbot renew --force-renewal aus. Bei kommerziellen Zertifikaten: Neues Zertifikat beim Anbieter beantragen, CSR generieren, Zertifikat herunterladen und auf dem Server installieren. Dieser Prozess dauert je nach Anbieter 2 bis 30 Minuten.

  4. DNS und Hosting-Konfiguration prüfen

    Stellen Sie sicher, dass Ihre Domain korrekt auf den Server zeigt (A-Record stimmt) und Port 80 sowie 443 in der Firewall geöffnet sind. Let’s Encrypt benötigt Port 80 für die HTTP-01-Challenge zur Domain-Validierung. Prüfen Sie mit Tools wie dnschecker.org ob DNS-Einträge weltweit propagiert sind.

  5. Website testen

    Öffnen Sie Ihre Website in einem frischen Browser-Tab und prüfen Sie, ob das Schloss-Symbol in der Adressleiste erscheint. Testen Sie zusätzlich mit dem kostenlosen Tool SSL Labs (ssllabs.com/ssltest) — der Report zeigt Ihnen Zertifikatsglültigkeit, Ablaufdatum, Zertifikatskette und potenzielle Konfigurationsprobleme.

  6. Browser-Cache leeren und testen

    Browser cachen SSL-Zertifikate und HSTS-Einträge aggressiv. Leeren Sie den Cache vollständig (Strg+Shift+Delete in Chrome/Firefox) oder öffnen Sie ein privates Fenster. Testen Sie die Website auch von einem anderen Gerät oder Netzwerk aus, um sicherzustellen, dass das neue Zertifikat weltweit aktiv ist.

  • Fehlgeschlagener Cronjob: Der Certbot-Cron wurde durch ein System-Update deaktiviert oder überschrieben
  • DNS-Änderungen: Domain zeigt auf neuen Server, Zertifikat wurde nicht mitgenommen
  • Firewall-Block: Port 80 oder 443 blockiert, Let’s Encrypt kann Domain nicht validieren
  • Hosting-Wechsel: Zertifikat vom alten Anbieter, neues Hosting hat kein SSL eingerichtet
  • CAA-Records: DNS-Einträge beschränken erlaubte Zertifizierungsstellen und blockieren Let’s Encrypt
  • Berechtigungsfehler: Certbot hat keine Schreibrechte auf Zertifikatsverzeichnis nach Serveränderungen
  • Subdomain vergessen: Wildcard-Zertifikat erneuert, spezifische Subdomain nicht abgedeckt
  • E-Mail-Benachrichtigung übersehen: Ablauf-Warnings im Spam-Ordner gelandet
Richten Sie kostenlose SSL-Monitoring-Tools ein, die Sie vor Ablauf warnen: UptimeRobot (kostenfrei, warnt 30 Tage vorher per E-Mail oder SMS), SSL Labs API (automatisierte Checks), oder Hetrix Tools. Professioneller: Zabbix oder Nagios mit SSL-Check-Plugin. Für INREMA-Kunden empfehlen wir einen 30-Tage-Vorlauf-Alert — so bleibt ausreichend Zeit zur manuellen Reaktion, falls die Automation versagt.

Prävention ist die einzige dauerhafte Lösung. Richten Sie Let’s Encrypt mit automatischem Renewal ein: Der Certbot-Cron läuft idealerweise zweimal täglich und erneuert Zertifikate, wenn sie weniger als 30 Tage Restlaufzeit haben. Prüfen Sie den Status des Cronjobs regelmäßig mit systemctl status certbot.timer (bei systemd-basierten Systemen). Hinterlegen Sie bei Let’s Encrypt eine aktive E-Mail-Adresse — Sie erhalten automatische Warnmeldungen 20 und 7 Tage vor Ablauf. Für Hosting-Pakete ohne SSH-Zugriff: Aktivieren Sie im Panel die Option Automatische SSL-Erneuerung und tragen Sie sich einen Kalender-Reminder 14 Tage vor Ablauf ein. Wer mehrere Websites betreibt, sollte ein zentrales Monitoring aufbauen, das alle Zertifikate im Blick behält — eine einfache Lösung ist das Open-Source-Tool Uptime Kuma, selbst gehostet auf dem eigenen Server oder NAS.

Zusammenfassung
  • SSL-Zertifikat sofort manuell erneuern über Hosting-Panel oder Certbot auf der Kommandozeile
  • Ursache prüfen: Cronjob, DNS, Firewall oder Berechtigungsfehler sind die häufigsten Schuldigen
  • Nach Erneuerung: Website mit SSL Labs testen und Browser-Cache leeren
  • Monitoring einrichten: 30-Tage-Vorlauf-Alert verhindert künftige Ausfälle zuverlässig

SSL-Probleme unter Zeitdruck selbst lösen ist stressig. Wir kümmern uns um die Wiederherstellung und richten dauerhaftes Monitoring ein — damit das nie wieder passiert.

SSL-Problem lösen lassen

Häufige Fragen

Wie lange dauert die Erneuerung eines SSL-Zertifikats?
Meist wenige Minuten: Im Hoster-Panel anmelden, Zertifikat erneuern klicken. Let's Encrypt macht das vollautomatisch. Nach der Ausstellung sind Browser-Warnungen sofort verschwunden.
Warum ist mein Zertifikat trotz Auto-Renewal abgelaufen?
Häufige Ursachen: Die hinterlegte E-Mail-Adresse beim Hoster stimmt nicht mehr, die Domain wurde umgezogen oder ein DNS-Eintrag passt nicht mehr. Prüfen Sie, ob Bestätigungs-E-Mails zugestellt wurden.
Schadet ein abgelaufenes SSL-Zertifikat dem Google-Ranking?
Ja. Google wertet HTTPS als Rankingsignal. Eine Website mit Browser-Warnung verliert Besucher sofort, was Bounce-Rate und Ranking verschlechtert. Je früher erneuert, desto geringer der Schaden.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
IT-Sicherheit für KMU: Der Basis-Schutz den jedes Unternehmen braucht
10 Min. Lesezeit
Websites & Software
Meine Website wurde gehackt – die ersten Schritte in den nächsten 60 Minuten
8 Min. Lesezeit
Websites & Software
Warum Ihre Website ein Sicherheitsrisiko ist - und wie es richtig gemacht wird
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen