SSL-Installation prüfen und häufige Fehler mit einem SSL-Checker beheben

Sie haben das Zertifikat installiert, das Schloss-Symbol im Browser gesehen und dachten, alles sei erledigt. Doch die SSL-Einrichtung ist oft kniffliger, als sie aussieht: Eine Konfiguration, die in einem Browser funktioniert, kann auf einem anderen Gerät oder in einer mobilen App die Warnung "nicht sicher" auslösen. Genau hier zeigt ein SSL-Checker seinen Wert. In diesem Beitrag erklären wir Schritt für Schritt, wie Sie Ihre Installation prüfen und die häufigsten Fehler beheben.

Warum die SSL-Prüfung wichtig ist

SSL/TLS-Probleme sind nicht immer offensichtlich. Ihr Desktop-Browser hat möglicherweise ein Zwischenzertifikat zwischengespeichert, sodass die Seite bei Ihnen einwandfrei lädt, bei einem neuen Besucher aber fehlschlägt. Ein bald ablaufendes Zertifikat wurde vielleicht stillschweigend nicht erneuert. Ein Zertifikat, das die Subdomain www nicht abdeckt, erzeugt eine Warnung, sobald ein Nutzer www in die Adresszeile tippt. Solche Probleme wirken sich direkt auf Ihr Suchmaschinen-Ranking, das Nutzervertrauen und Ihre API-Integrationen aus. Ein unabhängiger Checker zeigt Ihnen, was der Server tatsächlich ausliefert, unbeeinflusst vom Cache Ihres Browsers.

Was ein SSL-Checker meldet

Wenn Sie Ihre Domain eingeben, baut das Tool eine TLS-Verbindung zu Ihrem Server auf und meldet:

  • Gültigkeit und Ablaufdatum — ob das Zertifikat aktiv ist und wie viele Tage verbleiben.
  • Aussteller (Issuer) — die Zertifizierungsstelle (CA), die es signiert hat, zum Beispiel Let's Encrypt.
  • Abgedeckte Domains (SANs) — jeder Hostname, für den das Zertifikat gültig ist.
  • Hostname-Übereinstimmung — ob der eingegebene Name zu den Namen im Zertifikat passt.
  • Zertifikatskette — ob die Kette inklusive Zwischen- und Stammzertifikat vollständig und vertrauenswürdig ist.
  • Schlüssel- und Signaturinformationen sowie das ausgehandelte TLS-Protokoll.

Um Ihre eigene Einrichtung zu sehen, öffnen Sie unser SSL-Checker-Tool und geben Ihre Domain ein.

So lesen Sie das Ergebnis

Bleiben Sie nicht beim grün/roten Gesamturteil stehen, sondern lesen Sie die Details. Gehen Sie sie der Reihe nach durch: Ist der Aussteller eine bekannte, vertrauenswürdige CA? Bleiben mehr als 30 Tage übrig? Enthält die SAN-Liste sowohl example.com als auch www.example.com? Ist die Kette als "vollständig" markiert? Findet das Tool in einem dieser Felder ein Problem, gibt es eine klare Warnung aus. Die eigentliche Kunst ist es, diese Warnung richtig zu deuten.

Die häufigsten SSL-Fehler und ihre Behebung

1. Unvollständige Zertifikatskette

Das ist der häufigste und verwirrendste Fehler: Die Seite funktioniert in einigen Browsern, scheitert aber auf dem Handy oder mit curl. Die Ursache: Der Server sendet seine Zwischenzertifikate nicht mit. Die Lösung besteht darin, die vollständige Kette (Serverzertifikat + Zwischenzertifikate) auf dem Server zu installieren. Meist genügt es, die Datei fullchain.pem zu verwenden. Bei Nginx richten Sie die Direktive ssl_certificate auf die fullchain-Datei statt auf das bloße Zertifikat; bei Apache fügen Sie das CA-Bundle mit SSLCertificateChainFile hinzu.

2. Hostname-Abweichung

Wurde das Zertifikat für example.com ausgestellt, ein Besucher landet aber auf www.example.com, warnt der Browser. Die Lösung ist, ein neues Zertifikat auszustellen, das beide Namen (die Root-Domain und www) abdeckt. In unserem Assistenten für kostenlose Zertifikate können Sie vor der Ausstellung alle benötigten Domains zum SAN-Feld hinzufügen.

3. Abgelaufenes Zertifikat

Zertifikate haben eine begrenzte Laufzeit, und nach Ablauf blockiert der Browser den Zugriff vollständig. Die Lösung ist einfach: das Zertifikat erneuern. Am besten automatisieren Sie die Erneuerung; ohne Automatisierung sollten Sie den Checker regelmäßig ausführen, das Ablaufdatum beobachten und erneuern, sobald weniger als 30 Tage verbleiben.

4. Nicht vertrauenswürdiges Stamm- oder selbstsigniertes Zertifikat

Selbstsignierte Zertifikate, die Sie zum Testen erstellen, oder Zertifikate einer CA, die Browser nicht kennen, gelten als nicht vertrauenswürdig. In der Produktion ist die Lösung, ein Zertifikat einer echten Zertifizierungsstelle zu verwenden. Eine kostenlose, weithin vertrauenswürdige CA wie Let's Encrypt beseitigt dieses Problem vollständig.

Nach jeder Korrektur erneut prüfen

Führen Sie den Checker nach jeder Änderung erneut aus. Stellen Sie sicher, dass Sie den Webserver neu gestartet haben, und bestätigen Sie dann, dass die Kette jetzt "vollständig", die Hostname-Übereinstimmung "bestanden" und die verbleibenden Tage gesund sind. Betreiben Sie mehrere Server hinter einem Load Balancer, prüfen Sie jeden einzeln; oft liefert nur ein Knoten noch das alte Zertifikat aus.

Zusammenfassung

Ein SSL-Checker zeigt Ihnen, wie Ihre Installation für den Rest der Welt aussieht, unabhängig vom Browser-Cache. Prüfen Sie Aussteller, Ablaufdatum, abgedeckte Domains und Integrität der Kette; beheben Sie eine unvollständige Kette mit der fullchain-Datei, eine Hostname-Abweichung durch Neuausstellung mit den richtigen SANs, einen Ablauf durch Erneuerung und nicht vertrauenswürdige Zertifikate durch den Wechsel zu einer echten CA. Nutzen Sie zum Start das SSL-Checker-Tool, und erstellen Sie bei Bedarf Ihr kostenloses 90-Tage-Zertifikat in nur wenigen Minuten.