SSL-Zertifikat Fehler beheben

Wenn Ihr Browser die Warnung "Nicht sicher" anzeigt, bedeutet das: Die Verbindung zwischen dem Browser Ihres Besuchers und Ihrem Webserver ist nicht verschlüsselt oder das verwendete HTTPS-Zertifikat hat ein Problem. Für Besucher ist das ein massives Warnsignal. Die meisten Nutzer verlassen eine Website sofort, wenn sie eine Sicherheitswarnung sehen.

Die Ursachen für SSL-Zertifikat Fehler sind vielfältig: Das Zertifikat kann abgelaufen sein, es kann nicht zur Domain passen, oder die Website lädt unsichere Inhalte über HTTP. Anders als bei einem 500 Internal Server Error ist die Website technisch erreichbar, aber Browser stufen sie als potenziell unsicher ein und warnen Besucher entsprechend deutlich.

Browser zeigen verschiedene Fehlermeldungen an, die Ihnen bereits wichtige Hinweise auf die Ursache geben. Die genaue Formulierung variiert je nach Browser, aber die Bedeutung ist ähnlich. Hier sind die häufigsten SSL-Fehlermeldungen:

• NET::ERR_CERT_DATE_INVALID: Das Zertifikat ist abgelaufen oder noch nicht gültig. Prüfen Sie das Ablaufdatum und erneuern Sie das Zertifikat bei Ihrem Hosting-Anbieter.
• NET::ERR_CERT_COMMON_NAME_INVALID: Die Domain im Zertifikat stimmt nicht mit der aufgerufenen Domain überein. Häufig bei www vs. non-www oder falscher Subdomain-Konfiguration.
• NET::ERR_CERT_AUTHORITY_INVALID: Das Zertifikat wurde von einer nicht vertrauenswürdigen Stelle ausgestellt oder Zwischenzertifikate fehlen. Meist ein Konfigurationsproblem auf dem Server.
• ERR_SSL_PROTOCOL_ERROR: Allgemeiner SSL-Protokollfehler. Kann auf veraltete SSL/TLS-Versionen oder Server-Fehlkonfiguration hindeuten.
• Mixed Content Warning: Die Seite ist grundsätzlich HTTPS, lädt aber Ressourcen über HTTP. Browser blockieren diese teilweise oder zeigen Warnungen an.

Notieren Sie sich die genaue Fehlermeldung. Sie ist der Schlüssel zur schnellen Behebung. Im Folgenden zeige ich Ihnen für jede dieser Ursachen die passende Lösung.

Ein abgelaufenes SSL-Zertifikat ist die häufigste Ursache für die "Nicht sicher"-Warnung. Zertifikate haben ein festes Ablaufdatum: Let's Encrypt Zertifikate sind aktuell 90 Tage gültig (ab Mai 2026 schrittweise 45 Tage), kostenpflichtige Zertifikate meist ein Jahr. Wenn die automatische Erneuerung fehlschlägt oder vergessen wird, sehen Ihre Besucher plötzlich eine Warnung.

So prüfen Sie, ob Ihr Zertifikat abgelaufen ist: Klicken Sie im Browser auf das Schloss-Symbol (oder das Warnsymbol) in der Adressleiste. Wählen Sie "Zertifikat" oder "Verbindung" und dann "Zertifikatdetails". Dort finden Sie das Feld "Gültig bis" mit dem Ablaufdatum. Bei abgelaufenen Zertifikaten steht hier ein Datum in der Vergangenheit.

Die Lösung hängt von Ihrem Hosting-Anbieter ab. Bei den meisten Shared-Hosting-Paketen finden Sie im Control Panel (cPanel, Plesk, etc.) eine Option zur SSL-Verwaltung. Suchen Sie nach "SSL/TLS", "Let's Encrypt" oder "Sicherheit". Dort können Sie das Zertifikat mit wenigen Klicks erneuern. Bei einigen Anbietern müssen Sie zunächst das alte Zertifikat löschen, bevor Sie ein neues ausstellen können.

Mixed Content ist ein tückisches Problem: Ihre Website hat ein gültiges SSL-Zertifikat und lädt grundsätzlich über HTTPS, aber einige Ressourcen wie Bilder, Skripte oder CSS-Dateien werden noch über HTTP geladen. Der Browser erkennt diese Inkonsistenz und stuft die Seite als "teilweise unsicher" ein.

So identifizieren Sie Mixed Content: Öffnen Sie die Entwicklertools Ihres Browsers mit F12 (Windows) oder Cmd+Option+I (Mac). Wechseln Sie zur Konsole ("Console"). Dort werden Mixed-Content-Warnungen in gelb oder rot angezeigt, inklusive der betroffenen URLs. Notieren Sie sich diese URLs, um die Fehlerquellen zu finden.

Die Behebung erfordert das Ändern aller HTTP-Links zu HTTPS. In WordPress können Sie ein Plugin wie "Really Simple SSL" oder "Better Search Replace" verwenden, um alle http://-URLs in der Datenbank durch https:// zu ersetzen. Prüfen Sie auch Ihr Theme und Ihre Plugins auf hartcodierte HTTP-Links. Bei statischen Websites müssen Sie den Quellcode durchsuchen und alle http://-Referenzen manuell ändern.

Besonders häufig sind externe Ressourcen betroffen: eingebettete Videos, Schriftarten von externen Servern oder Tracking-Skripte. Prüfen Sie, ob diese Dienste HTTPS unterstützen und aktualisieren Sie die Einbettungscodes entsprechend.

Ein SSL-Zertifikat wird für eine bestimmte Domain ausgestellt. Wenn das Zertifikat für "www.beispiel.de" gilt, aber jemand "beispiel.de" (ohne www) aufruft, erscheint eine Warnung. Dasselbe gilt für Subdomains: Ein Zertifikat für "beispiel.de" gilt nicht automatisch für "shop.beispiel.de".

So prüfen Sie das Problem: Klicken Sie auf das Schloss-Symbol und sehen Sie sich die Zertifikatdetails an. Unter "Ausgestellt für" oder "Common Name" steht die Domain, für die das Zertifikat gilt. Vergleichen Sie diese mit der URL in Ihrer Adressleiste.

Die Lösung für www vs. non-www: Stellen Sie sicher, dass Ihr Zertifikat beide Varianten abdeckt. Bei Let's Encrypt können Sie bei der Ausstellung mehrere Domains angeben. Zusätzlich sollten Sie eine Weiterleitung einrichten, sodass alle Besucher auf die bevorzugte Variante geleitet werden. In der .htaccess-Datei können Sie das mit folgenden Regeln erreichen:

Für die Weiterleitung von non-www zu www fügen Sie diese Zeilen in Ihre .htaccess ein:

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L]

Bei Subdomains benötigen Sie entweder ein Wildcard-Zertifikat (*.beispiel.de), das alle Subdomains abdeckt, oder separate Zertifikate für jede Subdomain. Wildcard-Zertifikate sind bei Let's Encrypt kostenlos verfügbar, erfordern aber eine DNS-Validierung statt der üblichen HTTP-Validierung.

SSL-Zertifikate funktionieren über eine Vertrauenskette: Ihr Zertifikat wurde von einer Zertifizierungsstelle (CA) signiert, die wiederum von einer Root-CA verifiziert wird. Diese Kette muss vollständig sein, damit Browser das Zertifikat akzeptieren. Fehlen Zwischenzertifikate, bricht die Kette ab und Browser zeigen Warnungen an.

Dieses Problem tritt meist bei manuell installierten Zertifikaten auf, nicht bei automatischen Let's Encrypt-Installationen. Symptomatisch ist, dass die Website in manchen Browsern funktioniert (die das fehlende Zwischenzertifikat kennen) und in anderen nicht.

So prüfen Sie die Zertifikatskette: Nutzen Sie den kostenlosen SSL-Check von SSL Labs (ssllabs.com/ssltest). Geben Sie Ihre Domain ein und warten Sie auf das Ergebnis. Unter "Certificate" sehen Sie, ob die Kette vollständig ist. Probleme werden rot markiert und erklärt.

Die Behebung erfordert das Installieren der fehlenden Zwischenzertifikate auf Ihrem Server. Diese erhalten Sie von der Zertifizierungsstelle, die Ihr Zertifikat ausgestellt hat. In der Webserver-Konfiguration (Apache oder nginx) müssen Sie dann das Zwischenzertifikat zusammen mit Ihrem Hauptzertifikat einbinden. Bei Shared Hosting übernimmt das meist der Anbieter auf Anfrage.

Let's Encrypt ist der populärste kostenlose SSL-Anbieter. Die Zertifikate sind technisch gleichwertig mit kostenpflichtigen Alternativen, laufen aber nach 90 Tagen ab. Normalerweise erfolgt die Erneuerung automatisch, doch manchmal schlägt dieser Prozess fehl. So erneuern Sie Ihr Let's Encrypt Zertifikat manuell:

Bei Shared Hosting (cPanel, Plesk): Loggen Sie sich in Ihr Hosting-Control-Panel ein. Suchen Sie nach "SSL/TLS Status" oder "Let's Encrypt". Wählen Sie die betroffene Domain aus und klicken Sie auf "Renew" oder "Erneuern". Der Prozess dauert wenige Sekunden. Leeren Sie anschließend Ihren Browser-Cache und testen Sie die Website.

Bei eigenen Servern (Certbot): Verbinden Sie sich per SSH mit Ihrem Server. Führen Sie den Befehl "sudo certbot renew" aus. Certbot prüft alle installierten Zertifikate und erneuert die, die in weniger als 30 Tagen ablaufen. Nach erfolgreicher Erneuerung starten Sie den Webserver neu: "sudo systemctl restart apache2" oder "sudo systemctl restart nginx".

Wenn die automatische Erneuerung dauerhaft fehlschlägt, prüfen Sie folgende Punkte: Ist die Domain erreichbar? Let's Encrypt muss eine Validierungsdatei auf Ihrem Server ablegen können. Blockiert eine Firewall oder .htaccess-Regel den Zugriff auf /.well-known/acme-challenge/? Sind die DNS-Einträge korrekt? Diese Probleme verhindern die Validierung und damit die Erneuerung.

Wenn Sie WordPress bisher über HTTP betrieben haben und auf HTTPS umstellen wollen, sind mehrere Schritte nötig. Eine unvollständige Umstellung führt oft zu Mixed-Content-Warnungen oder Weiterleitungsschleifen. Gehen Sie systematisch vor:

Schritt 1: SSL-Zertifikat aktivieren. Bevor Sie WordPress umstellen, muss das Zertifikat aktiv sein. Testen Sie, ob https://ihre-domain.de im Browser ohne Fehler lädt, auch wenn noch eine unsichere Version der Website erscheint.

Schritt 2: WordPress-URLs anpassen. Gehen Sie in WordPress zu Einstellungen > Allgemein. Ändern Sie sowohl "WordPress-Adresse (URL)" als auch "Website-Adresse (URL)" von http:// auf https://. Speichern Sie die Änderungen. Sie werden ausgeloggt und müssen sich neu anmelden.

Schritt 3: Interne Links aktualisieren. Ihre Inhalte enthalten möglicherweise noch http://-Links. Verwenden Sie das Plugin "Better Search Replace", um in der Datenbank alle Vorkommen von "http://ihre-domain.de" durch "https://ihre-domain.de" zu ersetzen. Führen Sie zunächst einen Testlauf durch, bevor Sie die Änderungen tatsächlich ausführen.

Schritt 4: Weiterleitung einrichten. Ergänzen Sie Ihre .htaccess-Datei um eine permanente Weiterleitung, damit alle HTTP-Anfragen automatisch auf HTTPS umgeleitet werden. Fügen Sie diese Zeilen am Anfang der .htaccess ein, direkt nach "RewriteEngine On":

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Diese Umstellung kann bei älteren WordPress-Installationen oder komplexen Themes zu Problemen führen. Wenn nach der Umstellung eine weiße Seite erscheint oder Weiterleitungsschleifen entstehen, prüfen Sie die .htaccess auf doppelte Regeln und die wp-config.php auf hartcodierte HTTP-URLs.

Nach der Behebung eines SSL-Problems sollten Sie gründlich testen, ob alles funktioniert. Browser-Caching kann alte Fehlerzustände anzeigen, obwohl das Problem bereits behoben ist. Nutzen Sie daher immer den Inkognito-Modus oder einen anderen Browser für Tests.

Diese Online-Tools helfen bei der Diagnose:

• SSL Labs (ssllabs.com/ssltest): Der umfassendste Test. Prüft Zertifikatskette, Protokollversionen, Verschlüsselungsstärke und bekannte Schwachstellen. Bewertung von A+ bis F.
• Why No Padlock (whynopadlock.com): Spezialisiert auf Mixed-Content-Probleme. Zeigt alle unsicheren Ressourcen auf einer Seite an.
• SSL Shopper (sslshopper.com/ssl-checker.html): Schneller Check des Zertifikats mit Ablaufdatum und Vertrauenskette.
• Qualys SSL Client Test: Prüft, ob Ihr Browser SSL korrekt unterstützt, falls clientseitige Probleme vermutet werden.

Ein vollständig korrektes SSL-Setup zeigt bei SSL Labs eine Bewertung von mindestens "A". Häufige Abzüge gibt es für veraltete TLS-Versionen (TLS 1.0/1.1 sollten deaktiviert sein), fehlende HSTS-Header oder schwache Cipher-Suites. Diese Optimierungen gehen über die grundlegende Fehlerbehebung hinaus, verbessern aber die Sicherheit Ihrer Website erheblich.