Blog

SSL-Zertifikat abgelaufen, Sofortmaßnahmen und wie du es nie wieder vergisst

Von · 15. Mai 2026 · 6 Minuten Lesezeit

"Ihre Verbindung ist nicht sicher." Dieser rote Browser-Hinweis ist für Besucher deiner Website ein sofortiger Stopp. Kaum jemand klickt sich da durch. Noch schlimmer: Google wertet fehlende oder ungültige SSL-Verschlüsselung als Rankingfaktor. Ein abgelaufenes Zertifikat kostet dich also Traffic und Vertrauen.

Sofortmaßnahme: Zertifikat sofort erneuern

Je nach deinem Hosting-Setup gibt es unterschiedliche Wege:

  • Shared Hosting (cPanel, Plesk): Im Hosting-Panel unter "SSL/TLS" findest du eine Option zum Erneuern. Bei Let's Encrypt ist das meist ein Klick.
  • Managed Hosting: Kontaktiere deinen Hoster direkt, viele erneuern kostenlos und innerhalb von Minuten.
  • Eigener Server: Führe certbot renew aus. Wenn das scheitert, prüfe ob der Port 80 offen ist und die Domain korrekt auf den Server zeigt.

Nach der Erneuerung: Lösche deinen Browser-Cache und rufe die Seite neu auf. Das Schloss-Symbol sollte jetzt wieder erscheinen.

Auto-Renewal aktivieren, damit es nie wieder passiert

Let's Encrypt-Zertifikate laufen nach 90 Tagen ab, erneuern sich aber automatisch, wenn der Cron-Job korrekt eingerichtet ist. Prüfe das so:

  • Logge dich per SSH ein und führe crontab -l aus
  • Suche nach einem Eintrag für certbot renew oder acme.sh
  • Falls kein Eintrag vorhanden ist: 0 3 * * * certbot renew --quiet hinzufügen
  • Zusätzlich: Richte einen externen Monitor ein, der dich 30 Tage vor Ablauf per E-Mail warnt

Gutes Uptime-Monitoring umfasst heutzutage auch die Überwachung von SSL-Zertifikaten.

Mixed-Content-Fehler beheben

Nach der Zertifikatserneuerung zeigt der Browser manchmal immer noch kein Schloss, weil Ressourcen (Bilder, Skripte, Stylesheets) noch über HTTP geladen werden. Das nennt sich Mixed Content:

  • Öffne die Browser-Konsole (F12) und schaue im Tab "Console" nach Mixed-Content-Warnungen
  • In der WordPress-Datenbank können alte HTTP-URLs in Beiträgen und Optionen stecken, nutze das Plugin "Better Search Replace" um alle http://deinedomain.de auf https:// zu ersetzen
  • Prüfe auch die wp-config.php auf hartcodierte HTTP-URLs
  • Überprüfe eingebettete YouTube-Videos, externe Schriften und Widget-Skripte

HSTS aktivieren für dauerhaften Schutz

HSTS (HTTP Strict Transport Security) teilt dem Browser mit, diese Domain für eine definierte Zeit nur per HTTPS aufzurufen. Dadurch werden Angriffe, die den Nutzer auf HTTP umleiten wollen, wirkungslos:

  • Füge in der .htaccess den Header hinzu: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  • Beginne mit einem kurzen max-age (z.B. 300 Sekunden) zum Testen
  • Erhöhe erst dann auf ein Jahr, wenn alles sauber läuft

Achtung: Wenn du HSTS mit einem Jahr aktivierst und danach dein SSL-Zertifikat wirklich abläuft, können Browser die Seite für ein Jahr nicht mehr aufrufen. Deswegen erst Auto-Renewal, dann HSTS.

Monitoring ist die echte Lösung

Ein abgelaufenes SSL-Zertifikat ist ein vermeidbares Problem. Mit professionellem Monitoring, wie wir es bei Website-Pflege und Wartung einsetzen, wirst du benachrichtigt, bevor das Zertifikat abläuft. So hat diese Situation gar keine Chance, deine Besucher zu erreichen.

Verwandte Artikel & Lexikon

M

Website-Optimierer und Gründer von rocks.optimize. Hilft KMU dabei, schnellere, sicherere und besser gefundene Websites zu bekommen.

SSL und Sicherheit dauerhaft im Griff

rocks.optimize überwacht dein SSL-Zertifikat rund um die Uhr und erneuert es, bevor es zum Problem wird.

Erstgespräch buchen RocksCare Pro ansehen

Nützliche Lexikon-Einträge

Bereit, Ihre Website auf Erfolgskurs zu bringen?

Kostenloses Erstgespräch inkl. persönlicher Website-Analyse, unverbindlich & in 30 Minuten.

Jetzt Termin sichern