HTTPS und SSL-Zertifikate: Warum sie unverzichtbar sind
HTTPS ist nicht mehr optional: Seit 2018 kennzeichnet Chrome alle HTTP-Seiten als "Nicht sicher", Google bestraft Websites ohne HTTPS im Ranking, und moderne APIs erfordern sichere Verbindungen. Das Herzstrueck von HTTPS ist das SSL/TLS-Zertifikat, ein digitales Dokument, das die Identitaet einer Domain an einen oeffentlichen kryptografischen Schluessel bindet. Wenn ein Browser eine HTTPS-Verbindung herstellt, ueberprueft er das Zertifikat, um sicherzustellen, dass er mit dem legitimen Server kommuniziert und nicht mit einem Angreifer (Man-in-the-Middle).
Ein falsch konfiguriertes SSL-Zertifikat verursacht Browserfehler, die Besucher abschrecken, beeintraechtigt SEO und kann Benutzerdaten offenlegen. Die haeufigsten Probleme sind: abgelaufenes Zertifikat, unvollstaendige Zertifizierungskette, nicht uebereinstimmender Hostname, veraltete TLS-Protokolle und schwache Cipher Suites. Unser SSL Check ueberprueft all diese Aspekte in Sekunden und liefert einen Gesamtgrad sowie spezifische Empfehlungen fuer jedes gefundene Problem.
Was der SSL Check ueberprueft
Der Grad reicht von A+ (optimale Konfiguration) bis F (kritische Probleme). Ein Grad A erfordert: TLS 1.2+ mit sicheren Ciphern, gueltiges Zertifikat mit vollstaendiger Kette, Schluessel von mindestens 2048 Bit und aktives HSTS. Fuer A+ wird zusaetzlich HSTS Preload benoetigt. Grad B zeigt akzeptable, aber nicht optimale Cipher an. C oder niedriger bedeutet, dass TLS 1.0/1.1 aktiv ist oder schwache Cipher vorhanden sind — dringend zu korrigieren. Ueberpruefen Sie auch die HTTP-Sicherheitsheader mit Security Headers fuer ein vollstaendiges Bild.
Die Zertifizierungskette
Ein SSL-Zertifikat funktioniert nicht allein: Es ist Teil einer Vertrauenskette. Das Zertifikat Ihrer Website (Leaf) ist von einer Zwischen-CA signiert, die wiederum von einer Root-CA signiert ist, die im Trust Store des Browsers vorhanden ist. Wenn die Kette unvollstaendig ist (ein Zwischenzertifikat fehlt), zeigen einige Browser Fehler an, waehrend andere dies nicht tun (weil sie fehlende Zwischenzertifikate automatisch herunterladen). Fuer eine eingehende Kettenueberpruefung verwenden Sie Certificate Chain, das jedes Glied visualisiert und Probleme identifiziert.
Um zu ueberpruefen, wer berechtigt ist, Zertifikate fuer Ihre Domain auszustellen, konfigurieren Sie CAA-Eintraege und ueberpruefen Sie sie mit CAA Record Lookup. CAA-Eintraege sind der DNS-Mechanismus, der einschraenkt, welche Certificate Authorities Zertifikate ausstellen koennen, und eine zusaetzliche Schutzschicht gegen unbefugte Ausstellung bietet.
Erneuerung und Automatisierung
Let's Encrypt-Zertifikate sind 90 Tage gueltig, kommerzielle typischerweise 1 Jahr. Verspaetete Erneuerung ist die haeufigste Ursache fuer SSL-Fehler in der Produktion. Die Loesung ist Automatisierung: Certbot und andere ACME-Clients erneuern Let's Encrypt-Zertifikate automatisch. Fuer kommerzielle Zertifikate richten Sie Erinnerungen mindestens 30 Tage vor dem Ablauf ein. Ueberwachen Sie den Ablauf Ihrer Zertifikate regelmaessig mit dem SSL Check — ein Zertifikat, das ohne Vorwarnung ablaeuft, ist ein vermeidbarer Vorfall.
Bei der Erneuerung eines Zertifikats stellen Sie sicher, dass das neue Zertifikat alle erforderlichen SANs (Subject Alternative Names) abdeckt. Ein haeufiger Fehler ist die Erneuerung des Zertifikats fuer example.com unter Vergessen von www.example.com oder api.example.com. Nach der Erneuerung testen Sie sofort mit dem SSL Check, um zu bestaetigen, dass das neue Zertifikat korrekt ausgeliefert wird, die Kette vollstaendig ist und der Grad unveraendert bleibt.