SSL-Zertifikat — Pflicht für jede Website?

Was ist ein SSL-Zertifikat?

Wenn Sie eine Website aufrufen, kommuniziert Ihr Browser mit einem Webserver. Ohne Verschlüsselung werden alle Daten — Seitenaufrufe, Formulareingaben, Login-Daten — im Klartext über das Netzwerk übertragen. Ein SSL-Zertifikat sorgt dafür, dass diese Verbindung verschlüsselt wird.

SSL und TLS — was ist der Unterschied?

Die Abkürzung SSL steht für “Secure Sockets Layer” und bezeichnet ein Verschlüsselungsprotokoll, das in den 1990er-Jahren von Netscape entwickelt wurde. Seit 1999 gibt es den Nachfolger TLS (Transport Layer Security), der sicherer und leistungsfähiger ist. Technisch korrekt wäre daher die Bezeichnung “TLS-Zertifikat” — im allgemeinen Sprachgebrauch hat sich jedoch “SSL-Zertifikat” als Oberbegriff durchgesetzt. In der Praxis meint “SSL-Zertifikat” heute fast immer ein TLS-Zertifikat.

Wie funktioniert die Verschlüsselung?

Vereinfacht gesagt läuft der Vorgang in drei Schritten ab:

1. Verbindungsaufbau (Handshake): Der Browser kontaktiert den Webserver und fragt nach dessen Identität. Der Server antwortet mit seinem SSL-Zertifikat.
2. Prüfung: Der Browser prüft, ob das Zertifikat gültig ist — von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt, zur Domain passend und nicht abgelaufen.
3. Verschlüsselte Verbindung: Browser und Server einigen sich auf einen gemeinsamen Sitzungsschlüssel. Ab diesem Punkt werden alle Daten verschlüsselt übertragen.

Das Ergebnis: Die Website ist über HTTPS erreichbar — erkennbar am Schloss-Symbol und dem Präfix https:// in der Adressleiste. Websites ohne SSL werden über HTTP aufgerufen und von modernen Browsern als “Nicht sicher” gekennzeichnet.

Ist ein SSL-Zertifikat gesetzlich vorgeschrieben?

Die kurze Antwort: Es gibt kein deutsches Gesetz, das wörtlich sagt “Jede Website muss ein SSL-Zertifikat haben.” In der Praxis lässt sich aus mehreren Vorschriften jedoch ableiten, dass eine Transportverschlüsselung für geschäftsmäßige Websites als Mindeststandard erwartet wird.

DSGVO Art. 32 — Sicherheit der Verarbeitung

Die Datenschutz-Grundverordnung verlangt in Art. 32 Abs. 1, dass Verantwortliche “geeignete technische und organisatorische Maßnahmen” treffen, um “ein dem Risiko angemessenes Schutzniveau zu gewährleisten.” Verschlüsselung wird in Art. 32 Abs. 1 lit. a ausdrücklich als Beispielmaßnahme genannt:

“die Pseudonymisierung und Verschlüsselung personenbezogener Daten” (DSGVO Art. 32 Abs. 1 lit. a — Quelle: dsgvo-gesetz.de/art-32-dsgvo/)

Das bedeutet: Sobald eine Website personenbezogene Daten verarbeitet — und das ist bei praktisch jeder Website mit Kontaktformular, Newsletter-Anmeldung, Login-Bereich oder auch nur Server-Logs der Fall — kann ein SSL-Zertifikat als grundlegende technische Maßnahme im Sinne des Art. 32 betrachtet werden.

Was als “geeignet” gilt, orientiert sich laut Art. 32 Abs. 1 unter anderem am “Stand der Technik”. Da HTTPS mittlerweile von allen gängigen Browsern, Hosting-Anbietern und Suchmaschinen als Standard vorausgesetzt wird, lässt sich argumentieren, dass eine unverschlüsselte Website den aktuellen Stand der Technik nicht mehr abbildet.

DSGVO Art. 5 — Integrität und Vertraulichkeit

Art. 5 Abs. 1 lit. f der DSGVO verlangt, dass personenbezogene Daten “in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung” (Quelle: dsgvo-gesetz.de/art-5-dsgvo/). Transportverschlüsselung via SSL/TLS trägt unmittelbar zu diesem Grundsatz bei.

TTDSG §19 — Schutzpflichten für Telemedien

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verpflichtet Anbieter digitaler Dienste in §19, “durch technische und organisatorische Vorkehrungen sicherzustellen, dass […] die genutzten technischen Einrichtungen gegen Verletzungen des Schutzes personenbezogener Daten […] gesichert sind” (Quelle: gesetze-im-internet.de/ttdsg/__19.html).

Auch hier gilt: Verschlüsselung der Datenübertragung wird als eine solche Vorkehrung betrachtet.

TMG §13 Abs. 7 — Technische Schutzmaßnahmen

Das Telemediengesetz (TMG) verlangte in §13 Abs. 7 bereits vor der DSGVO technische Vorkehrungen zum Schutz gegen unerlaubte Zugriffe (Quelle: gesetze-im-internet.de/tmg/__13.html). Diese Norm wird durch das TTDSG teilweise abgelöst, unterstreicht jedoch den langjährigen gesetzgeberischen Willen, Transportverschlüsselung als grundlegende Schutzmaßnahme zu erwarten.

Zwischenfazit zur Rechtslage

Kein Gesetz sagt wörtlich “SSL-Zertifikat Pflicht”. Aber die Kombination aus DSGVO Art. 32 (Verschlüsselung als Maßnahme), Art. 5 (Integrität und Vertraulichkeit) und TTDSG §19 (technische Vorkehrungen) ergibt ein klares Bild: Für Websites, die personenbezogene Daten verarbeiten, ist ein SSL-Zertifikat nach aktuellem Stand der Technik de facto erwartet. Aufsichtsbehörden und Gerichte orientieren sich am “Stand der Technik” — und HTTPS ist 2026 fraglos Standard.

Mehr zur allgemeinen Rechtslage für Websites finden Sie in unserer DSGVO-Checkliste.

Welche Websites brauchen SSL?

Websites mit Formularen und Login

Kontaktformulare, Newsletter-Anmeldungen, Login-Bereiche, Bestellformulare — überall dort, wo Besucher aktiv Daten eingeben, ist eine verschlüsselte Übertragung besonders wichtig. Die eingegebenen Daten (Name, E-Mail-Adresse, Passwort, Nachricht) werden ohne HTTPS im Klartext übertragen und könnten von Dritten im selben Netzwerk mitgelesen werden.

Online-Shops und E-Commerce

Für Online-Shops, die Zahlungsdaten, Lieferadressen und Kundendaten verarbeiten, ist ein SSL-Zertifikat nach gängiger Praxis unabdingbar. Zahlungsanbieter wie PayPal, Stripe oder Klarna setzen HTTPS in der Regel als technische Voraussetzung voraus. Weitere Hinweise zur rechtssicheren Gestaltung von Online-Shops finden Sie in unserem Ratgeber zu E-Commerce und Compliance.

Informationsseiten ohne Formulare

Selbst eine reine Informationsseite ohne Kontaktformular verarbeitet beim Seitenaufruf technische Daten — mindestens die IP-Adresse des Besuchers (ein personenbezogenes Datum laut DSGVO). Hinzu kommt: Seit 2018 kennzeichnen Chrome und Firefox HTTP-Websites als “Nicht sicher”. Diese Warnung kann das Vertrauen der Besucher erheblich beeinträchtigen — unabhängig davon, ob tatsächlich sensible Daten übertragen werden.

Unternehmenswebsites, Freiberufler und private Seiten

Geschäftsmäßige Websites unterliegen in der Regel strengeren Anforderungen an technische Schutzmaßnahmen. Wer als Unternehmer, Freiberufler oder Verein eine öffentliche Website betreibt, sollte ein SSL-Zertifikat als selbstverständlich betrachten. Auch für private Websites empfiehlt es sich — schon wegen der Browser-Warnungen und da kostenlose Zertifikate (Let’s Encrypt) die Hürde auf nahezu null reduzieren.

Kurz zusammengefasst

Wie Sie prüfen können, ob Ihre Website die wichtigsten rechtlichen Anforderungen erfüllt, erfahren Sie in unserem Ratgeber Website-Check: Ist Ihre Seite rechtssicher?.

Arten von SSL-Zertifikaten

SSL-Zertifikate unterscheiden sich vor allem im Umfang der Identitätsprüfung bei der Ausstellung.

Domain Validation (DV)

Bei einem DV-Zertifikat prüft die Zertifizierungsstelle lediglich, ob der Antragsteller die Kontrolle über die Domain hat — in der Regel durch eine E-Mail-Bestätigung oder einen DNS-Eintrag. Eine Prüfung der Unternehmensidentität findet nicht statt.

• Ausstellungsdauer: Minuten bis wenige Stunden
• Kosten: Kostenlos (Let’s Encrypt) bis ca. 50 EUR/Jahr
• Geeignet für: Blogs, Unternehmenswebsites, Portfolios, kleine Projekte
• Sichtbar für Besucher: Schloss-Symbol in der Adressleiste, keine Unternehmensinformation im Zertifikat

DV-Zertifikate bieten dieselbe Verschlüsselungsstärke wie teurere Zertifikate — der Unterschied liegt ausschließlich in der Identitätsprüfung.

Organization Validation (OV)

Hier prüft die Zertifizierungsstelle zusätzlich die Identität des Unternehmens — Name, Adresse, Handelsregistereintrag. Der Unternehmensname wird im Zertifikat hinterlegt.

• Ausstellungsdauer: 1 bis 3 Werktage
• Kosten: Ca. 50 bis 200 EUR/Jahr
• Geeignet für: Unternehmenswebsites, die zusätzliches Vertrauen signalisieren möchten
• Sichtbar für Besucher: Unternehmensname im Zertifikatsdetail

Extended Validation (EV)

EV-Zertifikate durchlaufen den umfangreichsten Prüfprozess: Identität, Rechtsform, Anschrift und Zeichnungsberechtigung werden geprüft. Die früher übliche grüne Adressleiste wurde in modernen Browsern jedoch weitgehend abgeschafft.

• Ausstellungsdauer: 1 bis 2 Wochen
• Kosten: Ca. 200 bis 1.000 EUR/Jahr
• Geeignet für: Banken, Versicherungen, große Online-Shops, Websites mit besonders hohem Sicherheitsbedarf
• Sichtbar für Besucher: Unternehmensname im Zertifikatsdetail (gleiche Darstellung wie OV in den meisten Browsern)

Let’s Encrypt — kostenlose Zertifikate

Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, die seit 2015 kostenlose DV-Zertifikate ausstellt. Die Zertifikate sind technisch gleichwertig mit kostenpflichtigen DV-Zertifikaten und werden von allen gängigen Browsern unterstützt.

Vorteile von Let’s Encrypt:

• Kostenlos und automatisierbar
• Von allen modernen Browsern anerkannt
• Erneuerung alle 90 Tage (automatisch per ACME-Protokoll)
• Von den meisten Hosting-Anbietern direkt integriert

Einschränkungen:

• Nur DV-Zertifikate — keine Unternehmensvalidierung
• Keine Wildcard-Zertifikate ohne DNS-Validierung
• Kein telefonischer Support

Für die meisten Websites — von der Visitenkarten-Seite bis zum mittelständischen Unternehmen — ist ein DV-Zertifikat von Let’s Encrypt vollkommen ausreichend. Wer Wert auf eine sichtbare Unternehmensvalidierung legt, kann ein OV- oder EV-Zertifikat in Betracht ziehen.

Welches Zertifikat ist das richtige?

SSL-Zertifikat einrichten — Schritt für Schritt

Bei den meisten Hosting-Anbietern ist die Einrichtung unkompliziert:

Schritt 1: SSL beim Hosting-Provider aktivieren

Die meisten deutschen Hosting-Anbieter (IONOS, Strato, Hetzner, All-Inkl, Netcup u. a.) bieten Let’s Encrypt-Zertifikate per Klick an — oft kostenlos im Hosting-Paket enthalten. In der Regel finden Sie die Option im Kundenmenü unter “SSL” oder “Sicherheit”.

Typischer Ablauf:

1. Kundenmenü des Hosting-Providers öffnen
2. Domain auswählen
3. SSL-Zertifikat aktivieren (Let’s Encrypt oder kostenpflichtiges Zertifikat)
4. Einige Minuten warten — das Zertifikat wird automatisch ausgestellt und installiert

Schritt 2: HTTP auf HTTPS umleiten

Nach der Aktivierung des Zertifikats ist die Website über HTTPS erreichbar — aber auch weiterhin über HTTP. Damit alle Besucher die verschlüsselte Version nutzen, sollte eine permanente Weiterleitung (301-Redirect) von HTTP auf HTTPS eingerichtet werden.

Bei Apache-Servern erfolgt das in der Regel über die .htaccess-Datei:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Bei Nginx in der Server-Konfiguration:

server {
    listen 80;
    server_name example.de www.example.de;
    return 301 https://$host$request_uri;
}

Viele Hosting-Provider bieten auch hierfür eine Ein-Klick-Option im Kundenmenü an.

Schritt 3: Mixed Content beseitigen

Mixed Content entsteht, wenn eine HTTPS-Seite Ressourcen (Bilder, Skripte, Stylesheets, Fonts) über HTTP einbindet. Das kann zu Sicherheitswarnungen im Browser führen und die Verschlüsselung teilweise aushebeln.

Häufige Ursachen:

• Hartcodierte http://-URLs in der Datenbank (z. B. bei WordPress)
• Bilder oder Medien, die mit absolutem HTTP-Pfad eingefügt wurden
• Externe Ressourcen, die nur über HTTP verfügbar sind
• Theme- oder Plugin-Dateien mit veralteten URL-Referenzen

Lösung:

• In der Datenbank alle http://ihre-domain.de durch https://ihre-domain.de ersetzen (bei WordPress z. B. mit “Better Search Replace”)
• Externe Ressourcen prüfen — wenn kein HTTPS verfügbar ist, alternative Quelle suchen oder lokal hosten
• Browser-Konsole (F12 → Console) auf Mixed-Content-Warnungen prüfen

Schritt 4: HSTS-Header setzen

Der HTTP Strict Transport Security Header (HSTS) weist den Browser an, die Website künftig ausschließlich über HTTPS aufzurufen — auch wenn der Besucher http:// eingibt. Das verhindert sogenannte Downgrade-Angriffe.

Strict-Transport-Security: max-age=31536000; includeSubDomains

Mehr zu HSTS und weiteren Security Headers finden Sie in unserem Ratgeber zu Security Headers.

Schritt 5: Zertifikat überwachen und erneuern

SSL-Zertifikate haben ein Ablaufdatum. Let’s Encrypt-Zertifikate sind 90 Tage gültig und werden bei den meisten Hosting-Anbietern automatisch erneuert. Dennoch empfiehlt es sich, das Ablaufdatum zu überwachen — ein abgelaufenes Zertifikat führt zu einer Browser-Warnseite, die Besucher in der Regel abschreckt.

Empfehlungen zur Überwachung:

• Hosting-Provider-Benachrichtigungen aktivieren
• Monitoring-Tools wie UptimeRobot oder Uptime Kuma einrichten
• SSL-Konfiguration regelmäßig mit dem SSL Labs Test (ssllabs.com) prüfen

Häufige SSL-Probleme und Lösungen

Abgelaufenes Zertifikat

Symptom: Browser zeigt eine ganzseitige Warnung (“Ihre Verbindung ist nicht privat” / “NET::ERR_CERT_DATE_INVALID”).

Ursache: Das Zertifikat wurde nicht rechtzeitig erneuert.

Lösung: Zertifikat erneuern — bei Let’s Encrypt in der Regel über den Hosting-Provider oder den Certbot-Befehl certbot renew. Bei automatischer Erneuerung prüfen, ob der Cronjob korrekt läuft.

Mixed Content

Symptom: Schloss-Symbol fehlt oder zeigt eine Warnung, obwohl das Zertifikat gültig ist. Browser-Konsole zeigt “Mixed Content”-Meldungen.

Ursache: Einzelne Ressourcen (Bilder, Skripte) werden noch über HTTP geladen.

Lösung: Alle HTTP-Referenzen auf HTTPS umstellen (siehe Schritt 3 oben).

Weiterleitungsketten und -schleifen

Symptom: Die Seite lädt langsam oder gar nicht. Browser meldet “Too Many Redirects” (ERR_TOO_MANY_REDIRECTS).

Ursache: Mehrere Weiterleitungen (HTTP → HTTPS → www → non-www oder umgekehrt) kollidieren miteinander. Häufig bei Kombination von Server-Weiterleitungen und CDN-Einstellungen (z. B. Cloudflare).

Lösung: Sicherstellen, dass es genau eine Weiterleitungsregel gibt — idealerweise direkt auf die finale URL (z. B. https://www.example.de). Bei CDN-Nutzung die SSL-Einstellungen des CDN mit der Server-Konfiguration abgleichen.

Falscher Domain-Name im Zertifikat

Symptom: Browser warnt vor einer unsicheren Verbindung trotz gültigem Zertifikat.

Ursache: Das Zertifikat wurde für eine andere Domain ausgestellt (z. B. example.de statt www.example.de).

Lösung: Zertifikat für alle relevanten Domains und Subdomains ausstellen lassen. Bei Let’s Encrypt können mehrere Domains in einem Zertifikat hinterlegt werden (SAN).

HSTS-Probleme nach Fehlkonfiguration

Symptom: Website ist nicht mehr über HTTP erreichbar — auch nach Entfernung des HSTS-Headers.

Ursache: HSTS wird vom Browser gecacht und bleibt für die max-age-Dauer gespeichert.

Lösung: Mit einem niedrigen max-age-Wert (z. B. 300 Sekunden) beginnen und erst nach erfolgreicher Testphase auf 31536000 (1 Jahr) erhöhen.

SSL und SEO — Warum HTTPS auch fürs Ranking wichtig ist

Ein SSL-Zertifikat hat auch direkte Auswirkungen auf die Suchmaschinenoptimierung (SEO).

HTTPS als Ranking-Signal

Google hat 2014 offiziell bestätigt, dass HTTPS ein Ranking-Signal ist. Unter sonst gleichen Bedingungen bevorzugt Google verschlüsselte Websites. Es handelt sich um ein “leichtes” Signal — in wettbewerbsintensiven Bereichen kann es jedoch den Unterschied machen.

Browser-Warnung und Nutzersignale

Wenn Browser eine Website als “Nicht sicher” kennzeichnen, verlassen viele Besucher die Seite sofort. Hohe Absprungraten können sich negativ auf das Ranking auswirken, da Suchmaschinen das Nutzerverhalten als Qualitätssignal berücksichtigen können.

Vertrauen und Klickrate

Eine https://-Adresse in den Suchergebnissen signalisiert dem Suchenden Sicherheit. Das kann die Klickrate (CTR) positiv beeinflussen — insbesondere bei sensiblen Themen wie Finanzen, Gesundheit oder Recht.

Crawling und Indexierung

Google crawlt HTTPS-Seiten bevorzugt. Ohne korrekte 301-Weiterleitung von HTTP auf HTTPS kann es zu Problemen mit doppeltem Content kommen. Korrekte Weiterleitungen und Canonical-Tags verhindern, dass Suchmaschinen beide Versionen als separate Seiten behandeln.

Weitere Grundlagen zur Suchmaschinenoptimierung finden Sie in unserem Ratgeber zu SEO-Grundlagen.

Fazit

Ein SSL-Zertifikat ist nach aktuellem Stand der Technik für praktisch jede geschäftsmäßige Website empfehlenswert. Zwar gibt es kein Gesetz, das wörtlich eine “SSL-Pflicht” formuliert, doch die Kombination aus DSGVO Art. 32 (Verschlüsselung als technische Maßnahme), Art. 5 (Integrität und Vertraulichkeit), TTDSG §19 (technische Schutzpflichten) und der gängigen Praxis ergibt ein eindeutiges Bild: HTTPS ist 2026 der Standard — für Sicherheit, Vertrauen, SEO und Rechtskonformität.

Die gute Nachricht: Dank Let’s Encrypt und der Integration bei den meisten Hosting-Anbietern ist die Einrichtung kostenlos, schnell und in der Regel unkompliziert. Wer noch ohne SSL arbeitet, sollte die Umstellung zeitnah in Angriff nehmen.

Wenn Sie wissen möchten, wie Sie Ihr Abmahnrisiko insgesamt reduzieren können, empfehlen wir unseren Ratgeber Abmahnung vermeiden.

Häufige Fragen

Brauche ich ein SSL-Zertifikat auch ohne Kontaktformular?

Selbst ohne Formulare verarbeitet ein Webserver bei jedem Seitenaufruf technische Daten — mindestens die IP-Adresse des Besuchers, die laut DSGVO als personenbezogenes Datum gilt. Zudem kennzeichnen moderne Browser HTTP-Websites als “Nicht sicher”, was das Vertrauen der Besucher beeinträchtigen kann. Ein SSL-Zertifikat empfiehlt sich daher für jede öffentlich zugängliche Website — unabhängig davon, ob Formulare vorhanden sind.

Ist ein kostenloses SSL-Zertifikat (Let’s Encrypt) genauso sicher wie ein kostenpflichtiges?

In Bezug auf die Verschlüsselungsstärke sind kostenlose DV-Zertifikate von Let’s Encrypt technisch gleichwertig mit kostenpflichtigen DV-Zertifikaten. Der Unterschied liegt in der Validierungsstufe (DV vs. OV vs. EV) und im Support des Anbieters — nicht in der Verschlüsselung selbst. Für die meisten Websites bietet ein Let’s Encrypt-Zertifikat ein vollkommen ausreichendes Sicherheitsniveau.

Was passiert, wenn mein SSL-Zertifikat abläuft?

Browser zeigen eine ganzseitige Warnseite an (“Ihre Verbindung ist nicht privat”), die die meisten Besucher davon abhalten wird, die Website zu besuchen. Für die Dauer des Ausfalls ist die Website praktisch nicht erreichbar. Bei Let’s Encrypt können automatische Erneuerungen eingerichtet werden — bei den meisten Hosting-Anbietern ist dies bereits standardmäßig der Fall. Es empfiehlt sich dennoch, das Ablaufdatum zu überwachen.

Kann ich SSL nachträglich einrichten, ohne die Website neu zu bauen?

Ja. Die Einrichtung eines SSL-Zertifikats erfordert in der Regel keinen Umbau der Website. Die Hauptaufgaben sind: Zertifikat beim Hosting-Provider aktivieren, HTTP-zu-HTTPS-Weiterleitung einrichten und eventuell vorhandene Mixed-Content-Probleme beheben (HTTP-Referenzen in der Datenbank oder im Quellcode auf HTTPS umstellen). Bei Content-Management-Systemen wie WordPress gibt es dafür spezialisierte Plugins, die den Vorgang vereinfachen.