SSL-Zertifikat prüfen: Gültigkeit und Ablaufdatum

Der schnellste Weg zu erkennen, ob eine Website sicher ist, führt über ihr Zertifikat. Doch wie lässt sich ein SSL-Zertifikat prüfen und sein Gültigkeitszeitraum ermitteln? In dieser Anleitung zeigen wir drei Methoden (Browser, Kommandozeile und Online-Tools) Schritt für Schritt und erklären, worauf Sie genau achten müssen und wie Sie dem Ablauf zuvorkommen.

Im Browser prüfen

Am einfachsten ist das Schloss-Symbol in der Adressleiste. So gelangen Sie zu den Zertifikatsdetails:

  1. Öffnen Sie die Zielseite mit https://.
  2. Klicken Sie auf das Schloss-Symbol in der Adressleiste.
  3. Wählen Sie Verbindung ist sicher und dann Zertifikat ist gültig.
  4. Im Zertifikatsfenster sehen Sie unter Gültigkeit die Felder Gültig ab und Gültig bis mit dem Ablaufdatum.
  5. Prüfen Sie Ausgestellt für (CN) und die Zertifizierungsstelle.

Ist das Zertifikat abgelaufen oder stimmt die Domain nicht überein, zeigt der Browser eine deutliche Warnung, die zugleich auf das Problem hinweist.

Auf der Kommandozeile (openssl)

Für eine technischere Prüfung ist openssl ideal; ein einziger Befehl zeigt das Ablaufdatum:

openssl s_client -connect beispiel.de:443 -servername beispiel.de </dev/null 2>/dev/null | openssl x509 -noout -enddate

Die Zeile notAfter in der Ausgabe nennt das Ablaufdatum. Den gesamten Gültigkeitszeitraum sehen Sie mit:

openssl s_client -connect beispiel.de:443 -servername beispiel.de </dev/null 2>/dev/null | openssl x509 -noout -dates

Domain-Abgleich (CN und SAN) sowie Aussteller prüfen Sie so:

openssl s_client -connect beispiel.de:443 -servername beispiel.de </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer -ext subjectAltName

Tipp: Der Parameter -servername ist für SNI entscheidend; teilen sich mehrere Seiten eine IP, stellt er das korrekte Zertifikat sicher.

Mit Online-Tools

Ohne Kommandozeilenzugriff erledigen Online-SSL-Checker die Arbeit. Sie geben Ihre Domain ein, und das Tool meldet innerhalb von Sekunden:

  • Ablaufdatum und verbleibende Tage
  • Vollständigkeit der Zertifikatskette (fehlt das Zwischenzertifikat?)
  • Unterstützte TLS-Versionen und unsichere Protokolle
  • Konfigurationswarnungen (schwache Verschlüsselung, defekte Kette usw.)

Da diese Tools von außen verbinden, wie ein Besucher, finden sie serverseitige Probleme, die Ihnen lokal entgehen könnten.

Was zu prüfen ist

Welche Methode Sie auch wählen, achten Sie auf diese fünf Punkte:

  • Ablaufdatum: Wie viele Tage bleiben? Planen Sie die Erneuerung, sobald es unter 30 Tage fällt.
  • Vollständige Kette: Fehlt das Zwischenzertifikat, stufen manche Browser die Seite als nicht vertrauenswürdig ein.
  • Domain-Abgleich: CN- oder SAN-Einträge müssen exakt zur besuchten Domain passen; www und die Root-Domain sollten beide abgedeckt sein.
  • TLS-Version: Moderne Seiten sollten TLS 1.2 und 1.3 unterstützen und TLS 1.0/1.1 abschalten.
  • Häufige Fehler: Falsche Daten, defekte Kette oder ein selbstsigniertes Zertifikat sind die häufigsten Probleme.

Dem Ablauf zuvorkommen

Ein abgelaufenes Zertifikat bedeutet, dass Besucher eine abschreckende Sicherheitswarnung sehen. Das verhindern Sie durch regelmäßige Überwachung. Notieren Sie das Datum im Kalender oder nutzen Sie automatische Erinnerungen. Für Zertifikate, die Sie mit unserem kostenlosen SSL-Assistenten erstellen, benachrichtigt Sie 90dayfreessl per E-Mail vor dem Ablauf, sodass Sie rechtzeitig erneuern.

Zusammenfassung

Sie können Ihr SSL-Zertifikat in Sekunden über das Schloss-Symbol, mit openssl-Befehlen oder Online-Tools prüfen. Kontrollieren Sie regelmäßig Ablaufdatum, vollständige Kette, Domain-Abgleich und TLS-Version. Ist Ihr Zertifikat abgelaufen oder fehlt es ganz, erstellen Sie mit unserem kostenlosen SSL-Assistenten in Minuten ein neues Let's-Encrypt-Zertifikat, ohne Anmeldung und als einzelnes ZIP. Zudem sendet 90dayfreessl vor dem Ablauf eine E-Mail-Erinnerung, damit Ihre Website stets sicher bleibt.