Ein abgelaufenes oder falsch konfiguriertes SSL-Zertifikat ist in 2026 eines der häufigsten vermeidbaren Website-Sicherheitsprobleme. Laut Web.dev-Report 2025 haben noch immer 12% aller aktiven Websites in der DACH-Region Konfigurationsprobleme mit ihrem SSL/TLS-Setup — trotz kostenloser Zertifikate via Let's Encrypt. Die gute Nachricht: Die Überprüfung dauert weniger als eine Minute und ist vollständig kostenlos.
Was prüft ein SSL-Zertifikat-Test genau?
Ein vollständiger SSL-Check prüft mehr als nur ob HTTPS aktiv ist. Professionelle Tools analysieren:
| Prüfpunkt | Was geprüft wird | Warum wichtig |
|---|---|---|
| Zertifikatsgültigkeit | Ablaufdatum, nicht vor, nicht nach | Abgelaufene Zertifikate → Browserwarnungen |
| Zertifikatskette | Intermediate CA, Root CA, Vollständigkeit | Fehlende Chain → Vertrauensfehler auf manchen Geräten |
| Domainübereinstimmung | CN / SANs vs. aktuelle Domain | Mismatch → sofortiger Sicherheitsfehler |
| TLS-Protokollversionen | TLS 1.0/1.1 (veraltet), 1.2, 1.3 | TLS 1.0/1.1 sollten deaktiviert sein |
| Cipher Suites | Verschlüsselungsalgorithmen | Schwache Algorithmen → Rating-Abzug |
| HSTS-Header | Strict-Transport-Security vorhanden | Schützt vor SSL-Stripping-Angriffen |
| OCSP Stapling | Zertifikat-Widerrufsstatus | Verbessert Performance und Datenschutz |
So prüfen Sie Ihr SSL-Zertifikat in 3 Schritten
- Browser-Schnellcheck (30 Sekunden): Öffnen Sie Ihre Website in Chrome oder Firefox. Klicken Sie auf das Schloss-Symbol links in der Adressleiste. Wählen Sie 'Verbindung ist sicher' → 'Zertifikat ist gültig'. Prüfen Sie das Ablaufdatum unter 'Details'. Bei einem roten Warndreieck statt Schloss → sofort handeln.
- Online-Tool für den Detailcheck: Nutzen Sie check.softwarespiegel.de oder SSL Labs (ssllabs.com/ssltest) für einen vollständigen Scan. Geben Sie Ihre Domain ein und warten Sie 30-60 Sekunden auf das Ergebnis mit Note (A+, A, B, C, D, F).
- Regelmäßiges Monitoring einrichten: Abgelaufene Zertifikate sind vermeidbar. Richten Sie ein kostenloses Monitoring-Tool (UptimeRobot SSL-Check, StatusCake) ein, das Sie 30 Tage vor Ablauf per E-Mail warnt.
Schnellcheck mit unserem Tool: Geben Sie Ihre Domain auf check.softwarespiegel.de ein — der Scanner prüft SSL-Status, Ablaufdatum, HTTP-Header und Sicherheitskonfiguration in unter 10 Sekunden, ohne Anmeldung.
Die besten kostenlosen SSL-Prüf-Tools 2026 im Vergleich
| Tool | Prüftiefe | Reaktionszeit | Registrierung | Besonderheit |
|---|---|---|---|---|
| SSL Labs (Qualys) | Sehr hoch (Note A–F) | 30–90 Sek. | Nicht nötig | Industriestandard, detailliertster Bericht |
| check.softwarespiegel.de | Hoch (SSL + Header + GDPR) | < 10 Sek. | Nicht nötig | Mehrere Prüfungen in einem Scan |
| crt.sh | Zertifikat-History | Instant | Nicht nötig | Alle ausgestellten Zertifikate sichtbar |
| DigiCert SSL Checker | Mittel | 10–30 Sek. | Nicht nötig | Einfache Oberfläche, gut für Einsteiger |
| testssl.sh (CLI) | Sehr hoch | 2–5 Min. | Installation lokal | Open Source, Offline-Nutzung möglich |
Häufige SSL-Fehler und wie Sie sie beheben
- Abgelaufenes Zertifikat: Bei Let's Encrypt-Zertifikaten ist das Ablaufen nach 90 Tagen der häufigste Grund. Lösung: Certbot mit Cronjob für automatische Erneuerung einrichten (
certbot renew --quietvia Cron täglich). Bei kommerziellem Zertifikat: Erneuerung beim Provider beantragen. - Fehlende Zertifikatskette (Incomplete Chain): Das Intermediate-Zertifikat fehlt in der Serverkonfiguration. Lösung: Die vollständige Zertifikatskette vom Provider herunterladen und in der Nginx/Apache-Konfiguration einbinden (
ssl_certificate_chain). - Subdomain nicht abgedeckt (Domain Mismatch): Das Zertifikat gilt für example.com, aber nicht für www.example.com. Lösung: SAN (Subject Alternative Names) einschließen oder ein Wildcard-Zertifikat nutzen (*.example.com).
- TLS 1.0/1.1 noch aktiviert: Ältere Protokollversionen gelten als unsicher. Lösung für Nginx:
ssl_protocols TLSv1.2 TLSv1.3;. Für Apache:SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1. - Fehlender HSTS-Header: Ohne HSTS können Angreifer Nutzer auf die HTTP-Version umleiten. Lösung: Header hinzufügen:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.
Für einen vollständigen Website-Sicherheits-Scan über SSL hinaus — inklusive HTTP-Header, GDPR-Check und Schwachstellen — nutzen Sie unseren kostenlosen Website-Sicherheitscheck.
Weitere Informationen zum Thema Datenschutz und DSGVO-konforme Website-Gestaltung finden Sie in unserem Artikel Auftragsverarbeitung: Vertrag und Pflichten 2026.