Das Schloss in der Adresszeile:
Was SSL für Ihre Website bedeutet
Ein kleines Symbol, eine grosse Wirkung. Warum Google ohne SSL abstraft, was beim Ablauf passiert – und wie Sie in zwei Minuten selbst prüfen, ob bei Ihnen alles stimmt.
Sie tippen eine Internetadresse ein und links daneben erscheint ein kleines Schloss. Manchmal ist es zu, manchmal durchgestrichen, manchmal steht da „Nicht sicher". Für viele Website-Inhaber bleibt unklar: Was sagt mir dieses Symbol eigentlich – und was bedeutet es, wenn etwas damit nicht stimmt?
Die Antwort ist überraschend kurz: Das Schloss zeigt, ob die Verbindung zwischen Browser und Website verschlüsselt ist. Ohne diese Verschlüsselung verlieren Sie Vertrauen, Ranking und – im schlimmsten Fall – Besucher, bevor sie überhaupt Ihre Startseite sehen. Wer auf der sicheren Seite stehen will, klärt das Thema beim Aufbau einer technisch sauber gebauten Website oder im Rahmen eines Tech-Audits.
Was das Schloss-Symbol Ihnen sagt
Drei Zustände, drei Bedeutungen
Verbindung verschlüsselt, Zertifikat gültig – alles in Ordnung
Teilweise unverschlüsselte Inhalte – Sicherheitsrisiko
Kein SSL oder Zertifikat ungültig – Besucher springen ab
Modernen Browser zeigen das Schloss inzwischen sehr dezent – das fehlerhafte Symbol dafür umso deutlicher.
Was das Schloss eigentlich bedeutet
Wenn Sie eine Website aufrufen, reisen Daten zwischen Ihrem Browser und dem Server der Website hin und her: die Adresse, die Sie eingegeben haben, später Ihre Eingaben in Formularen, vielleicht Login-Daten. Ohne SSL läuft diese Reise im Klartext. Jeder, der unterwegs „mithören" kann – im selben WLAN, beim Provider – könnte theoretisch alles mitlesen.
SSL (heute korrekt: TLS) verschlüsselt diese Verbindung. Aus „Hallo, ich möchte mich einloggen mit Passwort 12345" wird ein unverständlicher Zeichensalat. Nur Ihr Browser und die Ziel-Website können ihn entschlüsseln. Das Schloss-Symbol ist das sichtbare Zeichen dafür, dass diese Verschlüsselung funktioniert – und dass die Website wirklich die ist, für die sie sich ausgibt.
Das zweite Stück, oft übersehen: Ein gültiges SSL-Zertifikat bestätigt, dass jemand die Domain überprüft hat. Sie reden also nicht mit einer fremden Seite, die sich nur als Ihre Hausbank tarnt.
SSL ist das Schloss, HTTPS ist die abgeschlossene Tür. Wer das Schloss installiert, bekommt die abgeschlossene Tür automatisch dazu. Sie müssen sich nicht zwischen beidem entscheiden – beides gehört zusammen.
Warum Google Seiten ohne SSL abstraft
Bereits seit 2014 wertet Google HTTPS als Ranking-Faktor. Seit 2018 markieren alle grossen Browser Seiten ohne SSL aktiv als „Nicht sicher". Die Botschaft ist eindeutig: Wer heute keine verschlüsselte Verbindung anbietet, gehört nicht ins moderne Netz.
Für Sie als Website-Betreiber bedeutet das gleich zwei Probleme auf einmal:
- Suchmaschinen reihen Ihre Seite hinter vergleichbare Wettbewerber, die SSL haben
- Browser zeigen Besuchern eine sichtbare Warnung – noch bevor Inhalte erscheinen
- Tracking-Tools und Conversion-Messungen funktionieren teils gar nicht mehr
- Moderne Funktionen wie Standort-Abfragen oder Push-Nachrichten sind blockiert
Der Effekt summiert sich. Sie verlieren nicht nur ein paar Plätze im Ranking, sondern auch jene Besucher, die trotzdem ankommen und beim Anblick der Warnung sofort wieder gehen. Wie sich technische Mängel insgesamt auf Anfragen auswirken, haben wir in 7 typische Conversion-Fehler einer Website ausführlich beschrieben.
Internet-Nutzer:innen brechen den Besuch einer Website verlässlich ab, sobald der Browser eine Sicherheitswarnung anzeigt – auch wenn sie nicht genau verstehen, was die Warnung bedeutet. „Nicht sicher" reicht als Auslöser zum Wegklicken.
Was passiert, wenn das Zertifikat abläuft
SSL-Zertifikate haben ein Ablaufdatum – meistens 90 Tage bei kostenlosen Zertifikaten von Let’s Encrypt, ein bis zwei Jahre bei kostenpflichtigen. Sobald der Stichtag erreicht ist und sich das Zertifikat nicht automatisch erneuert hat, passiert etwas Unangenehmes: Jeder Besucher sieht eine ganzseitige rote Warnseite.
Auf dieser Warnseite steht in fettem Text, dass die Verbindung nicht sicher sei und man besser umkehren sollte. Es gibt zwar ein verstecktes „Trotzdem fortfahren", aber kaum jemand klickt darauf. Für die meisten Besucher ist Ihre Website in dem Moment praktisch verschwunden.
Warum das überhaupt passiert
In den meisten Fällen liegt es an einer fehlerhaften automatischen Verlängerung. Die häufigsten Ursachen:
- Domain-Server-Einstellungen wurden geändert und der Verlängerungs-Mechanismus passt nicht mehr
- Der Hoster hat den Auto-Renew nicht korrekt aktiviert
- Eine kostenpflichtige Verlängerung wurde nicht rechtzeitig bezahlt
- Nach einem Server-Umzug wurde die Konfiguration nicht mitgenommen
Die wirklich gute Nachricht: Bei sauber eingerichtetem Hosting müssen Sie sich um nichts kümmern. Das Zertifikat erneuert sich von selbst, lange bevor es abläuft. Wer sich darauf nicht verlassen kann, sollte sein Hosting ehrlich auf den Prüfstand stellen – manchmal ist das ein Anlass für eine grundsätzlichere Frage, wie wir sie in Neue Website statt Relaunch diskutieren.
Wenn Sie auf eine neue Domain umziehen oder den Hoster wechseln, läuft das alte SSL-Zertifikat oft ins Leere. Ein neues muss aktiv für die neue Konfiguration ausgestellt werden. Ohne sorgfältige Planung steht die Website am Umzugstag mit einer roten Warnung da.
In 2 Minuten selbst prüfen, ob alles passt
Sie müssen nicht warten, bis Besucher Sie auf ein Problem hinweisen. Mit drei kleinen Tests prüfen Sie selbst, ob bei Ihrer Website alles richtig eingerichtet ist:
- Schloss-Check im Browser: Rufen Sie Ihre Website auf. Sehen Sie ein geschlossenes Schloss links neben der Adresse? Klicken Sie es an – es sollte „Verbindung sicher" oder Ähnliches anzeigen.
- HTTP-zu-HTTPS-Test: Geben Sie Ihre Adresse einmal mit „http://" vorne ein (nicht „https://"). Die Seite muss automatisch auf die verschlüsselte Variante umleiten. Bleibt sie auf „http://", fehlt eine wichtige Weiterleitung.
- SSL-Tester: Geben Sie Ihre Domain bei einem kostenlosen Online-Tester wie SSL Labs ein. Eine Bewertung von „A" oder „A+" zeigt, dass die Konfiguration sauber ist. Alles unter „B" sollte ein Profi prüfen.
Diese drei Checks dauern zusammen weniger als zwei Minuten und decken über 90 Prozent aller typischen SSL-Probleme auf.
Typische Fehler im Alltag – und was dagegen hilft
Neben dem klassischen Ablauf gibt es ein paar Stolperfallen, die immer wieder auftauchen und unbemerkt schaden können:
Gemischte Inhalte (Mixed Content)
Die Hauptseite läuft über HTTPS, aber einzelne Bilder oder Skripte werden noch über das unverschlüsselte HTTP geladen. Browser zeigen dann ein Schloss mit Warnsymbol. Das passiert oft nach einem Umzug oder bei alten Plugins, die Ressourcen aus dem Internet einbinden.
Falsche Domain im Zertifikat
Ihr Zertifikat ist auf „beispiel.de" ausgestellt, Besucher rufen aber „www.beispiel.de" auf – und sehen eine Warnung, weil das Zertifikat den Namen „www." nicht abdeckt. Lösung: Ein Zertifikat, das beide Varianten abdeckt, oder eine saubere Weiterleitung.
Veraltete Verschlüsselung
Das Zertifikat ist gültig, aber die zugrunde liegende Technik ist Jahre alt. Moderne Browser stufen das zunehmend als unsicher ein. Hier hilft ein Hinweis an den Hoster, die TLS-Version auf den aktuellen Stand zu bringen.
Tragen Sie sich einmal im Quartal einen 5-Minuten-Termin in den Kalender: Schloss prüfen, HTTP-Weiterleitung testen, SSL-Bewertung anschauen. So fällt ein schleichendes Problem auf, lange bevor Besucher die rote Warnseite sehen.
Wenn etwas nicht stimmt: Der nächste Schritt
Wenn einer der drei Tests durchgefallen ist, brauchen Sie keine Panik – aber auch nicht warten. Die meisten SSL-Probleme sind innerhalb weniger Stunden zu lösen, sobald jemand mit Hosting-Erfahrung darauf schaut.
SSL ist Standardaufgabe jedes seriösen Hosters – fragen Sie nach automatischer Verlängerung
Lassen Sie sich schriftlich bestätigen, dass das Zertifikat sich selbst erneuert
Jede HTTP-Adresse muss automatisch auf HTTPS umleiten – ohne Ausnahme
Alle eingebundenen Ressourcen (Bilder, Schriften, Skripte) auf HTTPS umstellen
Drei Minuten alle drei Monate verhindern fast alle bösen Überraschungen
Wer technisch und rechtlich auf altem Stand ist, hat oft mehr als nur ein SSL-Problem. Häufig hängen unsichere Konfigurationen, fehlende Datenschutz-Hinweise und veraltete Cookie-Banner zusammen – wie das richtig aufgesetzt wird, lesen Sie in Cookie-Banner richtig einrichten.
Häufig gestellte Fragen
Ja. SSL ist heute für jede Website Standard – auch für reine Visitenkarten-Seiten ohne Formular. Sobald irgendwo ein Kontaktformular, ein Login oder auch nur ein Newsletter-Feld existiert, werden personenbezogene Daten übertragen, die verschlüsselt sein müssen. Ohne SSL warnen alle modernen Browser den Besucher mit einem deutlichen Hinweis – und Google stuft die Seite im Ranking herab.
Für die allermeisten Websites: nichts. Über Let’s Encrypt erhalten Sie kostenlose, vollwertige Zertifikate, die alle 90 Tage automatisch erneuert werden. Seriöse Hoster richten das standardmäßig ein. Kostenpflichtige Zertifikate lohnen sich nur in Sonderfällen – etwa für Banken oder große Shops mit Wildcard-Bedarf. Ein kostenloses Zertifikat ist technisch nicht weniger sicher.
Der Browser zeigt allen Besuchern eine ganzseitige Warnung: „Diese Verbindung ist nicht sicher". Die meisten Besucher klicken sofort weg. Suchmaschinen werten den Ausfall als Sicherheitsproblem. Bei Let’s Encrypt erneuert sich das Zertifikat normalerweise automatisch – wenn nicht, liegt fast immer eine fehlerhafte Konfiguration beim Hoster vor und Sie sollten dort sofort nachhaken.
Drei Schnell-Checks: Erstens, die Adresse im Browser beginnt mit https:// und zeigt ein geschlossenes Schloss. Zweitens, wenn Sie http:// vor Ihre Domain tippen, leitet die Seite automatisch auf https:// um. Drittens: Geben Sie Ihre Domain bei einem kostenlosen SSL-Tester wie SSL Labs ein – ein „A" oder „A+" als Bewertung bedeutet, dass alles sauber konfiguriert ist.
SSL (genauer: TLS) ist die Verschlüsselungstechnik. HTTPS ist die abgesicherte Variante des Protokolls, mit dem Browser und Website kommunizieren. Vereinfacht: SSL ist das Schloss, HTTPS ist die abgeschlossene Tür. Sie brauchen beides – gleichzeitig. Wer SSL einrichtet, bekommt HTTPS automatisch dazu.
Sicherheit, die Vertrauen sichtbar macht
Ein korrekt eingerichtetes SSL-Zertifikat ist kein technischer Selbstzweck. Es ist das erste, sichtbare Versprechen an jeden Besucher: Hier wird mit Sorgfalt gearbeitet, hier sind Ihre Daten geschützt, hier können Sie ohne Bauchgefühl einen Termin buchen oder eine Anfrage stellen.
Drei Minuten für einen Quartals-Check, ein zuverlässiger Hoster, eine saubere Konfiguration – mehr braucht es im Alltag nicht. Aber genau diese drei Minuten entscheiden, ob Ihre Website wie eine moderne Visitenkarte wirkt – oder wie eine Tür mit der Aufschrift „Vorsicht, nicht sicher".
Wir prüfen Ihr SSL-Setup in 2 Werktagen auf Risiken – und nennen die schnellsten Korrekturen für saubere Verschlüsselung.