Das kleine Schloss neben Deiner Webadresse entscheidet darüber, ob Besucher Deiner Webseite vertrauen oder beim ersten Klick wieder abspringen. Dahinter steckt ein SSL-Zertifikat, das die Verbindung zwischen Browser und Server verschlüsselt.
Für viele Selbständige bleibt dabei vieles unklar. Es gibt kostenlose und teure Varianten, dazu Abkürzungen wie DV, OV oder EV. Diese Begriffe sortieren wir hier, damit Du für Deine Seite die passende Wahl triffst und beim nächsten Hosting-Angebot nicht zu viel zahlst.
Was ein SSL-Zertifikat für Dich leistet
Ein SSL-Zertifikat sorgt dafür, dass Daten zwischen dem Browser Deiner Besucher und Deinem Server verschlüsselt übertragen werden. Niemand zwischen den beiden Punkten kann mitlesen, etwa wenn jemand ein Kontaktformular ausfüllt oder im Shop seine Adresse eingibt.
Sichtbar wird das am Schloss-Symbol und an der Adresse, die mit https beginnt. Fehlt das Zertifikat, zeigt der Browser stattdessen eine deutliche Warnung an. Viele Besucher brechen an dieser Stelle ab, weil die Seite unsicher wirkt.
Das Zertifikat erfüllt damit zwei Aufgaben. Es schützt die übertragenen Daten technisch, und es schafft sichtbares Vertrauen. Wie diese verschlüsselte Verbindung im Hintergrund funktioniert, beschreibt der Beitrag HTTPS und TLS — die unsichtbare Sicherheit Deiner Webseite genauer.
Die Arten verständlich: DV, OV, EV und Wildcard
Zertifikate unterscheiden sich darin, wie streng der Anbieter prüft, wer hinter einer Webseite steht. Diese Prüftiefe bestimmt den Aufwand und den Preis, an der Verschlüsselung selbst ändert sie nichts.
- DV (Domain Validation): Geprüft wird nur, dass Du die Domain kontrollierst. Das geht automatisch in Minuten und reicht für die meisten Webseiten, Blogs und Visitenkarten-Seiten völlig aus.
- OV (Organization Validation): Hier prüft der Anbieter zusätzlich, dass Dein Unternehmen wirklich existiert. Das schafft etwas mehr Vertrauen für Firmen, die mit sensiblen Daten arbeiten.
- EV (Extended Validation): Die strengste Prüfung mit Nachweis über die Firma. Früher zeigten Browser dafür einen grünen Firmennamen, heute spielt diese Anzeige kaum noch eine Rolle.
- Wildcard: Eine Erweiterung statt eines eigenen Prüfgrads. Ein Wildcard-Zertifikat deckt eine Domain samt aller Unterdomains ab (shop.deine-seite.de, blog.deine-seite.de) mit einem einzigen Zertifikat.
Für die allermeisten kleinen Unternehmen genügt ein DV-Zertifikat. OV und EV lohnen sich erst, wenn Du den zusätzlichen Vertrauensnachweis aus konkreten Gründen brauchst, etwa in stark regulierten Branchen.
Kostenlos oder bezahlt — wann was sinnvoll ist
Über den Anbieter Let's Encrypt bekommst Du ein vollwertiges DV-Zertifikat kostenlos. Es verschlüsselt genauso zuverlässig wie ein bezahltes und wird von allen Browsern anerkannt. Die meisten Hoster bauen Let's Encrypt direkt ins Kundenmenü ein, sodass die Einrichtung ein Klick ist.
Bezahlte Zertifikate verschlüsseln genauso gut und bringen vor allem Zusatzleistungen. Dazu gehören die strengere OV- oder EV-Prüfung, längere Laufzeiten und teils eine Haftungsgarantie des Anbieters. Für eine normale Firmenwebseite rechtfertigt das den Preis selten.
Eine kostenpflichtige Variante wird vor allem dann interessant, wenn Du den Organisations-Nachweis (OV/EV) wirklich benötigst oder ein Wildcard-Zertifikat für viele Unterdomains brauchst. In den meisten anderen Fällen ist das kostenlose DV-Zertifikat die solide und kostenfreie Lösung.
Worauf Du bei der Auswahl Deines Anbieters achten solltest, fasst die Checkliste für sicheres Hosting zusammen. Wenn Du grundsätzlich verstehen willst, was hinter einem Hosting-Tarif steckt, hilft der Beitrag Was ist Hosting weiter.
Verlängerung und Ablauf im Blick behalten
Jedes SSL-Zertifikat hat ein Ablaufdatum. Let's Encrypt läuft nach 90 Tagen aus, bezahlte Zertifikate meist nach einem Jahr. Ist das Zertifikat abgelaufen, zeigt der Browser sofort eine Sicherheitswarnung, und Besucher werden abgeschreckt.
Bei den meisten guten Hostern und bei Let's Encrypt erneuert sich das Zertifikat automatisch im Hintergrund. Du musst Dich dann um nichts kümmern, solltest die automatische Verlängerung aber einmal bestätigt haben.
Verlässt Du Dich auf manuelle Verlängerung, trage Dir den Termin rechtzeitig ein. Ein guter Anbieter erinnert Dich per E-Mail, bevor das Zertifikat abläuft. Prüfe im Zweifel selbst, ob das Schloss in der Adresszeile noch erscheint und ob die Seite weiterhin über https erreichbar ist.
Damit hältst Du den wichtigsten Punkt im Griff. Ein abgelaufenes Zertifikat ist genauso schädlich wie gar keines, lässt sich aber mit einer einzigen Erinnerung im Kalender vermeiden.
Häufige Stolpersteine beim SSL-Zertifikat
Ein paar Fehler tauchen immer wieder auf, wenn eine Seite auf https umzieht. Der häufigste ist ein abgelaufenes Zertifikat, das niemand bemerkt hat, weil die automatische Verlängerung nie eingerichtet war. Prüfe deshalb gleich nach der Einrichtung, ob Dein Hoster die Erneuerung wirklich selbst übernimmt.
Ein zweiter Stolperstein betrifft die Schreibweise Deiner Adresse. Manche Zertifikate gelten nur für deine-seite.de, andere nur für www.deine-seite.de. Achte darauf, dass beide Varianten abgedeckt sind, sonst sehen manche Besucher trotz gültigem Zertifikat eine Warnung.
Nach der Umstellung lädt eine Seite oft noch einzelne Bilder oder Skripte über das alte http. Der Browser meldet diese gemischten Inhalte und zeigt das Schloss dann nicht mehr durchgehend an. Geh die Seite einmal durch und stell alle Adressen auf https um.
Fazit
Ein SSL-Zertifikat schützt die Daten Deiner Besucher und schafft sichtbares Vertrauen. Für fast alle kleinen Unternehmen reicht ein kostenloses DV-Zertifikat über Let's Encrypt, das die meisten Hoster mit einem Klick einrichten.
Achte vor allem auf die automatische Verlängerung, damit das Schloss dauerhaft erscheint. Mehr Geld lohnt sich nur, wenn Du den Organisations-Nachweis oder ein Wildcard-Zertifikat aus konkretem Anlass brauchst.