Agentur ignis
3 Min Lesezeit

SSL-Zertifikate: was sie wirklich leisten

Fast jede Unternehmenswebsite hat heute ein SSL-Zertifikat. Das kleine Schloss in der Browserzeile gilt als selbstverständlich, und genau das ist das Problem. Sobald etwas funktioniert, schaut niemand mehr genauer hin.

Das führt dazu, dass viele Verantwortliche ein verzerrtes Bild davon haben, was ein Zertifikat eigentlich tut. Mal wird zu viel hineininterpretiert, mal zu wenig. Beides hat im Alltag Folgen.

Was ein SSL-Zertifikat technisch leistet

Ein SSL-Zertifikat sorgt dafür, dass die Verbindung zwischen Browser und Server verschlüsselt ist. Daten, die zwischen Besucher und Website wandern, lassen sich auf dem Weg nicht einfach mitlesen oder unbemerkt manipulieren. Dazu kommt eine Identitätsprüfung: Der Browser bestätigt, dass die Seite tatsächlich zu der angefragten Domain gehört.

Das ist viel und gleichzeitig genau abgesteckt. SSL schützt den Transportweg. Es schützt nicht den Server, den Code, das CMS oder die Inhalte selbst.

Was SSL nicht leistet

Ein gültiges Zertifikat sagt nichts darüber aus, ob die Website seriös ist, ob das Unternehmen vertrauenswürdig handelt oder ob die Server sauber konfiguriert sind. Auch eine Phishing-Seite kann ein technisch korrektes SSL-Zertifikat haben.

Ebenso wenig schützt SSL vor unsicheren Formularen, schwachen Passwörtern, fehlerhaftem Sessionhandling oder veralteter Software. Die Verschlüsselung der Übertragung ist ein notwendiger, aber kein ausreichender Baustein.

Wer Sicherheit auf eine grüne Adresszeile reduziert, baut auf Sand.

Die wichtigsten Zertifikatstypen im Überblick

In der Praxis begegnen dir drei Varianten:

  • DV-Zertifikate (Domain Validation): Es wird nur geprüft, ob du Kontrolle über die Domain hast. Schnell, günstig, in den meisten Fällen ausreichend.
  • OV-Zertifikate (Organization Validation): Zusätzlich wird die Organisation geprüft. Spielt im Alltag eine kleinere Rolle, weil Browser den Unterschied kaum sichtbar machen.
  • EV-Zertifikate (Extended Validation): Erweiterte Prüfung der Organisation. Früher mit eigenem Markendisplay im Browser, heute optisch kaum noch unterscheidbar.

Für die meisten Unternehmenswebsites ist ein DV-Zertifikat ausreichend, oft direkt vom Hoster oder über Let's Encrypt.

Typische Fehler im Alltag

Die Probleme entstehen selten beim Zertifikat selbst, sondern drumherum. Häufig sehen wir:

  • abgelaufene Zertifikate, weil niemand das automatische Erneuern überwacht
  • Mixed Content, weil einzelne Bilder oder Skripte noch über http geladen werden
  • fehlende Weiterleitung von http auf https, sodass die unverschlüsselte Variante weiter erreichbar bleibt
  • Subdomains ohne eigenes Zertifikat, die im Hintergrund Fehler werfen
  • widersprüchliche Konfiguration zwischen CDN, Reverse Proxy und Origin

Solche Fehler kosten zwar selten den ganzen Auftritt, untergraben aber das Vertrauen genau in dem Moment, in dem ein Browser eine Warnung anzeigt.

SSL und SEO

Suchmaschinen erwarten heute https als Standard. Eine Seite ohne gültiges Zertifikat verliert nicht sofort alle Rankings, wird aber Schritt für Schritt benachteiligt. Browser markieren unverschlüsselte Seiten zudem deutlich, was die Absprungrate hochzieht, bevor irgendjemand die Inhalte überhaupt liest.

Auch beim Thema Performance hat SSL seinen Anteil. Mit modernem Setup (HTTP/2, HTTP/3, korrekter Cipher-Suite) ist Verschlüsselung kein nennenswerter Bremsklotz mehr. Mit veralteter Konfiguration kann sie überraschend viel Zeit kosten.

Wartung statt einmaliger Einrichtung

Ein häufiger Denkfehler: Zertifikate werden als einmalige Einrichtung verstanden. In Wirklichkeit sind sie ein laufender Prozess. Sie laufen aus, müssen erneuert werden, ändern sich bei Domainwechseln und brauchen bei Migrationen besondere Aufmerksamkeit.

Wer das nicht in einen ruhigen Pflegeprozess einbettet, merkt das Problem oft erst, wenn der Browser bereits eine Warnung zeigt. Dann telefoniert das Marketing mit der IT, während Anfragen ausbleiben.

Pragmatische Empfehlung

Für die meisten Unternehmenswebsites reicht ein gut konfiguriertes DV-Zertifikat mit automatischer Erneuerung, sauberer http-zu-https-Weiterleitung, modernen TLS-Versionen und ohne Mixed Content. Wichtiger als die Wahl des Zertifikatstyps ist, dass jemand zuständig ist, dass das Setup stimmt und dass es überwacht wird.

SSL ist kein Sicherheitsversprechen. Es ist ein Grundbaustein, der erst zusammen mit sauberer Server-Konfiguration, gepflegter Software und durchdachten Formularen tatsächlich Schutz erzeugt.