Eine kleine Warnmeldung kann große Wirkung haben. Viele Website-Betreiber denken bei SSL zuerst an das kleine Schloss-Symbol im Browser. Solange es sichtbar ist, wirkt alles normal. Doch wenn ein SSL-Zertifikat abläuft, kann aus einer funktionierenden Website plötzlich ein Vertrauensproblem werden.
Besucher sehen dann häufig eine Warnmeldung wie „Diese Verbindung ist nicht sicher“ oder „Ihre Verbindung ist nicht privat“. Für viele Nutzer reicht das bereits aus, um die Seite sofort wieder zu verlassen.
In diesem Beitrag erklären wir verständlich, was ein SSL-Zertifikat macht, was bei einem Ablauf passiert, warum das auch im Zusammenhang mit Datenschutz wichtig ist und welche Möglichkeiten es gibt, Websites zuverlässig per HTTPS abzusichern.
Kurz erklärt: Was passiert, wenn ein SSL-Zertifikat abläuft?
Wenn ein SSL-Zertifikat abläuft, kann der Browser die sichere Verbindung zur Website nicht mehr als vertrauenswürdig bestätigen. Die Website ist dann nicht automatisch offline, aber Besucher erhalten eine Sicherheitswarnung.
Das kann Vertrauen kosten, Anfragen verhindern und bei Shops oder Login-Bereichen zu direkten Abbrüchen führen. Besonders problematisch wird es, wenn über die Website personenbezogene Daten übertragen werden, zum Beispiel über Kontaktformulare, Kundenportale, Login-Bereiche oder Bestellprozesse.
Was ist ein SSL-Zertifikat überhaupt?
Ein SSL-Zertifikat sorgt dafür, dass die Verbindung zwischen dem Browser eines Besuchers und Ihrer Website verschlüsselt wird.
Einfach gesagt: Wenn jemand ein Kontaktformular ausfüllt, sich in einen Kundenbereich einloggt oder eine Bestellung aufgibt, werden Daten zwischen dem Gerät des Nutzers und dem Server übertragen. SSL beziehungsweise TLS schützt diese Übertragung vor dem Mitlesen oder Manipulieren durch Dritte.
Erkennbar ist eine gesicherte Verbindung meist an:
- https:// statt http://
- einem Schloss-Symbol in der Adressleiste
- keiner Sicherheitswarnung beim Aufruf der Website
Heute wird technisch meist von TLS gesprochen. Im Alltag hat sich der Begriff SSL-Zertifikat aber weiterhin durchgesetzt.
Warum ist SSL auch aus DSGVO-Sicht wichtig?
SSL ist nicht nur eine technische Komfortfunktion. Für viele Websites ist eine verschlüsselte Verbindung ein wichtiger Bestandteil der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
Die DSGVO verlangt, dass personenbezogene Daten angemessen geschützt werden. Dazu gehören technische Maßnahmen, die Vertraulichkeit und Sicherheit unterstützen. Eine verschlüsselte Verbindung per HTTPS ist dabei ein wichtiger Baustein, besonders wenn Nutzer Daten über eine Website übermitteln.
Typische Beispiele sind:
- Kontaktformulare
- Newsletter-Anmeldungen
- Login-Bereiche
- Kundenportale
- Bestellformulare
- Bewerbungsformulare
- Terminbuchungen
- Kommentarbereiche
Ein SSL-Zertifikat allein macht eine Website nicht automatisch vollständig DSGVO-konform. Datenschutz besteht aus mehreren Bausteinen. Eine gültige HTTPS-Verbindung ist aber eine grundlegende technische Maßnahme, sobald personenbezogene Daten übertragen werden.
Wichtig: Dieser Beitrag ersetzt keine rechtliche Beratung. Er zeigt die technische Bedeutung von SSL im Datenschutzkontext.
Warum laufen SSL-Zertifikate überhaupt ab?
SSL-Zertifikate sind bewusst zeitlich begrenzt gültig. Das hat Sicherheitsgründe.
Ein Zertifikat bestätigt, dass eine Website zu einer bestimmten Domain gehört und die Verbindung verschlüsselt werden kann. Diese Bestätigung soll regelmäßig erneuert werden, damit veraltete oder unsichere Zertifikate nicht unbegrenzt genutzt werden.
Für Website-Betreiber bedeutet das: Ein SSL-Zertifikat muss rechtzeitig erneuert werden. Je nach Einrichtung passiert das automatisch oder muss manuell angestoßen werden.
Was sieht ein Besucher, wenn das SSL-Zertifikat abgelaufen ist?
Der Besucher sieht in der Regel nicht einfach Ihre normale Website. Stattdessen erscheint zuerst eine Warnseite des Browsers.
Typische Meldungen sind zum Beispiel:
- Google Chrome: „Ihre Verbindung ist nicht privat“
- Firefox: „Warnung: Mögliches Sicherheitsrisiko erkannt“
- Microsoft Edge: „Ihre Verbindung ist nicht privat“
Für technisch erfahrene Nutzer ist klar: Hier ist vermutlich ein Zertifikat abgelaufen. Für Laien sieht es jedoch schnell so aus, als sei die Website unsicher, gehackt oder unseriös.
Genau darin liegt das Problem.
Ist die Website dann komplett offline?
Nicht unbedingt.
Eine Website mit abgelaufenem SSL-Zertifikat kann technisch weiterhin erreichbar sein. Der Webserver läuft meist noch, Inhalte sind vorhanden und die Domain funktioniert ebenfalls.
Aber: Der Browser blockiert oder warnt vor dem Zugriff. Für viele Besucher ist das praktisch fast dasselbe wie ein Ausfall. Sie sehen die Inhalte nicht direkt, fühlen sich unsicher und brechen den Besuch ab.
Besonders kritisch ist das bei:
- Kontaktformularen
- Online-Shops
- Kundenportalen
- Login-Bereichen
- Buchungsseiten
- Bewerbungsformularen
- geschäftlichen Websites mit Neukundenverkehr
Warum ist ein abgelaufenes SSL-Zertifikat schlecht für Vertrauen?
Eine Sicherheitswarnung wirkt stark. Sie erscheint direkt vor dem ersten Eindruck Ihrer Website.
Ein Besucher denkt dann nicht: „Das Zertifikat wurde wahrscheinlich nur nicht rechtzeitig verlängert.“
Er denkt eher: „Hier stimmt etwas nicht.“
Das kann besonders bei Unternehmen problematisch sein. Denn Ihre Website ist oft der erste Kontaktpunkt zu potenziellen Kunden. Wenn genau dort eine Sicherheitswarnung erscheint, entsteht Unsicherheit.
Ein Beispiel: Ein Interessent sucht nach einem Dienstleister, findet Ihre Website und möchte das Kontaktformular öffnen. Statt der Seite sieht er eine Browserwarnung. Wahrscheinlich klickt er nicht weiter, sondern geht zurück zur Suche und öffnet den nächsten Treffer.
Die Website war also nicht unbedingt „kaputt“. Trotzdem ist eine mögliche Anfrage verloren gegangen.
Welche Folgen kann ein abgelaufenes SSL-Zertifikat haben?
1. Besucher verlassen die Website schneller
Viele Nutzer klicken bei einer Sicherheitswarnung nicht weiter. Das gilt besonders für Menschen, die sich mit Technik nicht auskennen oder bewusst vorsichtig sind.
2. Kontaktanfragen bleiben aus
Wenn Formulare nicht erreichbar oder nicht vertrauenswürdig wirken, sinkt die Wahrscheinlichkeit, dass Besucher ihre Daten eingeben.
3. Shops verlieren Bestellungen
Bei einem Online-Shop ist Vertrauen besonders wichtig. Niemand möchte Zahlungs- oder Adressdaten auf einer Seite eingeben, die vom Browser als unsicher markiert wird.
4. Das Unternehmen wirkt weniger professionell
Auch wenn der Fehler technisch klein ist, wirkt er nach außen größer. Eine Warnmeldung vermittelt schnell den Eindruck, dass die Website nicht gepflegt wird.
5. Datenschutzrisiken werden sichtbarer
Wenn personenbezogene Daten über eine Website übertragen werden, erwarten Nutzer eine sichere Verbindung. Eine Warnmeldung wirkt hier besonders kritisch, weil sie direkt mit Sicherheit und Datenschutz verbunden wird.
6. Interne Prozesse können gestört werden
Wenn Mitarbeiter, Kunden oder Partner regelmäßig auf geschützte Bereiche zugreifen, kann ein abgelaufenes Zertifikat auch im Tagesgeschäft stören.
Bedeutet ein abgelaufenes SSL-Zertifikat, dass die Website gehackt wurde?
Nein. Ein abgelaufenes SSL-Zertifikat bedeutet nicht automatisch, dass eine Website gehackt wurde.
Es bedeutet zunächst nur: Der Browser kann das Zertifikat nicht mehr als gültig bestätigen.
Trotzdem sollte man die Warnung ernst nehmen. Denn für Besucher ist der Unterschied nicht sofort erkennbar. Ob „nur“ ein Zertifikat abgelaufen ist oder tatsächlich ein Sicherheitsproblem vorliegt, können Laien meist nicht beurteilen.
Deshalb sollte ein abgelaufenes Zertifikat schnell erneuert und die Website anschließend geprüft werden.
Warum reicht es nicht, die Warnung einfach zu ignorieren?
Manche Browser bieten die Möglichkeit, trotz Warnung fortzufahren. Das ist aber keine gute Lösung.
Für Besucher ist dieser zusätzliche Klick eine Hürde. Außerdem müssen sie bewusst eine Warnung übergehen. Genau das möchten viele Menschen aus Sicherheitsgründen nicht tun.
Für Website-Betreiber ist wichtig: Eine Website sollte ohne Warnhinweise erreichbar sein. Alles andere kostet Vertrauen und kann dazu führen, dass Nutzer abspringen, bevor sie Ihre Inhalte überhaupt sehen.
Was hat Cloudflare mit SSL zu tun?
Cloudflare kann eine sinnvolle Option sein, wenn eine einzelne Website zusätzlich abgesichert, beschleunigt oder besser gegen unerwünschten Traffic geschützt werden soll. Besonders interessant ist das, wenn das bestehende Hosting keine einfache oder kostenlose Möglichkeit für Let’s-Encrypt-Zertifikate bietet.
Wichtig ist dabei: Cloudflare sitzt technisch zwischen Besucher und Website. Dadurch können je nach Einrichtung zwei Verbindungen eine Rolle spielen: die Verbindung vom Besucher zu Cloudflare und die Verbindung von Cloudflare zum eigentlichen Webserver.
Für eine saubere Einrichtung sollte daher nicht nur „irgendwie HTTPS“ aktiviert werden. Die SSL/TLS-Einstellungen müssen zur Website passen. Gerade wenn personenbezogene Daten übertragen werden, sollte die Verbindung möglichst vollständig und sauber abgesichert sein.
Neben SSL/TLS kann Cloudflare auch weitere Vorteile bringen, zum Beispiel CDN-Funktionen, Schutz vor bestimmten Angriffen, Bot-Filterung und weniger Serverlast. Die passende Lösung hängt davon ab, wie die Website betrieben wird und welche Anforderungen bestehen.
Wie hilft Power-Netz bei SSL-Zertifikaten?
Bei Power-Netz sind Let’s-Encrypt-Zertifikate in allen Plesk-Webhosting-, Reseller– und Serverprodukten kostenlos enthalten. Damit kann jede Website einfach per HTTPS geschützt werden, ohne dass dafür ein separates kostenpflichtiges SSL-Zertifikat notwendig ist.
Die Installation ist in Plesk mit wenigen Klicks möglich. Voraussetzung ist, dass die Domain korrekt auf den Server zeigt, auf dem das Zertifikat eingerichtet werden soll. Anschließend kann das Zertifikat im Bereich „Websites & Domains“ über die SSL/TLS-Zertifikate installiert werden.
Eine Anleitung dazu finden Sie in unserer FAQ: Wie installiere ich ein eigenes SSL-Zertifikat in Plesk?
Das ist besonders praktisch für:
- Unternehmenswebsites
- Landingpages
- Blogs
- Online-Shops
- Kundenbereiche
- Agentur- und Reseller-Projekte
- neue Domains und Projektstarts
So lässt sich eine Website ohne großen technischen Aufwand sicherer und vertrauenswürdiger bereitstellen.
Wie kann man prüfen, ob ein SSL-Zertifikat gültig ist?
1. Im Browser nachsehen
Rufen Sie Ihre Website auf und achten Sie auf das Schloss-Symbol in der Adressleiste. Je nach Browser können Sie dort Details zum Zertifikat öffnen.
2. Ablaufdatum kontrollieren
In den Zertifikatsdetails ist sichtbar, bis wann das Zertifikat gültig ist. Dieses Datum sollte nicht kurz vor dem Ablauf stehen, ohne dass eine Verlängerung geplant ist.
3. Regelmäßige technische Prüfung
Für geschäftliche Websites ist es sinnvoll, Zertifikate regelmäßig zu überwachen. So fällt ein Problem nicht erst dann auf, wenn Kunden bereits eine Warnmeldung sehen.
Warum läuft ein SSL-Zertifikat trotz automatischer Verlängerung manchmal ab?
Viele SSL-Zertifikate lassen sich automatisch verlängern. Trotzdem kann es passieren, dass die Verlängerung fehlschlägt.
Mögliche Gründe sind:
- DNS-Einstellungen wurden geändert
- die Domain zeigt nicht mehr korrekt auf den richtigen Server
- eine Validierung konnte nicht durchgeführt werden
- Server- oder Hosting-Einstellungen wurden verändert
- ein Dienst wurde deaktiviert oder falsch konfiguriert
- manuelle Eingriffe haben die automatische Verlängerung gestört
- bei Wildcard-Zertifikaten fehlen notwendige DNS-Einträge
Gerade bei Wildcard-Zertifikaten kann die Verlängerung scheitern, wenn notwendige DNS-Einträge nicht automatisch im externen DNS gesetzt werden können.
Das zeigt: Automatisierung hilft, ersetzt aber nicht jede Kontrolle.
Beispiel aus der Praxis: Kleine Ursache, große Wirkung
Stellen wir uns eine lokale Kanzlei vor.
Die Website informiert über Leistungen, Öffnungszeiten und bietet ein Kontaktformular. Das SSL-Zertifikat läuft am Wochenende ab. Technisch ist die Seite weiterhin vorhanden, aber Besucher sehen ab Montagmorgen eine Sicherheitswarnung.
Ein potenzieller Mandant möchte eine Anfrage senden, bricht aber ab. Ein anderer Besucher ruft die Seite gar nicht erst auf. Ein bestehender Kunde ist verunsichert und fragt telefonisch nach, ob die Website gehackt wurde.
Zusätzlich kommt ein Datenschutzaspekt hinzu: Über das Kontaktformular würden personenbezogene Daten übertragen. Gerade dann erwarten Nutzer eine sichere HTTPS-Verbindung. Fehlt diese oder erscheint eine Warnmeldung, wirkt das unprofessionell und kann Zweifel an der Sorgfalt des Unternehmens auslösen.
Das eigentliche Problem wäre schnell lösbar gewesen. Der Vertrauensverlust entsteht aber sofort beim Besucher.
Was sollten Website-Betreiber tun?
Wichtig ist vor allem, SSL-Zertifikate nicht erst dann zu beachten, wenn eine Warnmeldung sichtbar ist.
Sinnvoll sind diese Maßnahmen:
- SSL-Zertifikate rechtzeitig verlängern
- automatische Verlängerung nutzen, wenn möglich
- Ablaufdaten regelmäßig prüfen
- Domain- und DNS-Einstellungen sauber verwalten
- nach Änderungen am Hosting die SSL-Funktion testen
- Kontaktformulare und Login-Bereiche immer per HTTPS absichern
- bei Warnmeldungen sofort reagieren
- bei Bedarf Cloudflare oder ein passendes SSL-/TLS-Konzept prüfen
Gerade bei geschäftlichen Websites sollte SSL nicht als einmalige Einrichtung verstanden werden, sondern als Teil der laufenden Website-Pflege.
Was tun, wenn das SSL-Zertifikat bereits abgelaufen ist?
Schritt 1: Nicht ignorieren
Die Website sollte nicht über längere Zeit mit Sicherheitswarnung erreichbar bleiben.
Schritt 2: Zertifikat erneuern
Das Zertifikat muss neu ausgestellt oder verlängert werden. Je nach Hosting-Umgebung kann das automatisch oder manuell erfolgen.
Schritt 3: Website testen
Nach der Erneuerung sollte geprüft werden, ob die Website wieder ohne Warnmeldung erreichbar ist.
Schritt 4: Formulare und externe Inhalte prüfen
Nach der Umstellung auf HTTPS sollten auch eingebundene Inhalte wie Bilder, Skripte, Schriftarten oder externe Ressourcen geprüft werden. Werden einzelne Elemente weiterhin über HTTP geladen, kann es zu sogenannten Mixed-Content-Problemen kommen.
Schritt 5: Ursache klären
Wenn die automatische Verlängerung fehlgeschlagen ist, sollte der Grund geprüft werden. Sonst kann dasselbe Problem beim nächsten Ablauf erneut auftreten.
Häufige Fragen zum Ablauf von SSL-Zertifikaten
Fazit: SSL ist ein kleines Detail mit großer Außenwirkung
Ein SSL-Zertifikat arbeitet im Hintergrund. Genau deshalb fällt es oft erst auf, wenn etwas nicht funktioniert.
Läuft ein Zertifikat ab, entsteht für Besucher schnell der Eindruck, dass eine Website unsicher oder schlecht gepflegt ist. Das kann Vertrauen kosten, obwohl die Ursache häufig einfach zu beheben ist.
Zusätzlich spielt SSL eine wichtige Rolle beim Schutz personenbezogener Daten. Wer Kontaktformulare, Logins, Kundenbereiche oder Shops betreibt, sollte eine gültige HTTPS-Verbindung nicht als Extra betrachten, sondern als Grundlage für Vertrauen, Sicherheit und Datenschutz.
Bei Power-Netz sind Let’s-Encrypt-Zertifikate in allen Plesk-Webhosting-, Reseller- und Serverprodukten kostenlos enthalten und lassen sich mit wenigen Klicks installieren. Für einzelne Websites, zusätzliche Performance- und Sicherheitsfunktionen oder besonderen Schutz vor Bots und DDoS kann Cloudflare eine sinnvolle Ergänzung sein.
Mehr Informationen zu SSL, sicherem Hosting und Cloudflare finden Sie auf der Power-Netz Website.
