Zurück zum Blog

SSL-Zertifikat abgelaufen - was tun

· 6 Min. Lesezeit

Kurz gesagt: Der Ablauf eines SSL-Zertifikats führt dazu, dass Browser den Zugang mit der Meldung "Ihre Verbindung ist nicht privat" blockieren. Die Conversion fällt auf null, bis Sie das Zertifikat erneuern. Dieser Artikel ist eine schnelle Anleitung, was sofort zu tun ist und wie man dem vorbeugt.

Kurz gesagt: Der Ablauf eines SSL-Zertifikats führt dazu, dass Browser den Zugang mit der Meldung "Ihre Verbindung ist nicht privat" blockieren. Die Conversion fällt auf null, bis Sie das Zertifikat erneuern. Dieser Artikel ist eine schnelle Anleitung, was sofort zu tun ist und wie man dem vorbeugt.

Was der Besucher sieht

Ein abgelaufenes Zertifikat löst im Browser eine Vollbildwarnung aus:

  • Chrome / Edge: "Your connection is not private" (NET::ERR_CERT_DATE_INVALID)
  • Firefox: "Warning: Potential Security Risk Ahead" (SEC_ERROR_EXPIRED_CERTIFICATE)
  • Safari: "This Connection Is Not Private"

Ein normaler Besucher klickt "Zurück". Über 95 % des organischen Traffics verlassen die Seite einfach. Bot-Crawler (Googlebot, Bingbot) hören mit dem Indexieren auf und nach ein paar Tagen verlieren Sie Positionen in der Suche.

Vorgehen, wenn es gerade abgelaufen ist

  1. Identifizieren Sie, wer den Cert ausgestellt hat. Im Terminal: openssl s_client -connect mywebsite.com:443 -servername mywebsite.com < /dev/null 2>/dev/null | openssl x509 -noout -issuer -dates
  2. Let's Encrypt (kostenlos, 90-tägige Gültigkeit): typischerweise über certbot renew oder über das Hosting-Panel (One-click renewal).
  3. Kommerzieller Cert (DigiCert, Sectigo, GlobalSign): Melden Sie sich im Admin-Panel des Ausstellers an, generieren Sie einen neuen CSR, führen Sie die Domain-Validierung durch (DNS TXT oder E-Mail).
  4. Spielen Sie das neue Cert ein in den Reverse-Proxy (nginx, Caddy, Traefik) und starten / reloaden Sie den Prozess.
  5. Verifizieren Sie über SSL Labs oder unser SSL-Check-Tool, ob das Cert korrekt ausgeliefert wird und die Chain vollständig ist.

Achtung: Vergessen Sie nicht das Intermediate Cert - ohne es können moderne Browser die Chain zwar über AIA nachladen, aber ältere Clients und einige API-Bibliotheken werden fehlschlagen.

Automatische Erneuerung: Let's Encrypt + certbot

Die einfachste Prävention ist, die Erneuerung komplett zu automatisieren. Das Let's-Encrypt-Cert erneuert sich alle 90 Tage über certbot:

# /etc/cron.d/certbot-renew
0 3 * * * root certbot renew --quiet --deploy-hook "systemctl reload nginx"

Dieser Cron läuft täglich um 3:00 Uhr morgens. Certbot prüft intern, ob sich das Cert dem Ablauf nähert (standardmäßig 30 Tage im Voraus). Wenn ja, erneuert es das Cert und reloadet nginx bei Erfolg. Sonst tut es nichts.

Caddy und Traefik: vollautomatisch

Wenn Sie Caddy oder Traefik als Reverse-Proxy nutzen, ist die ACME-Challenge im Binary eingebaut. Sie müssen nur die Domain im Config markieren und der Server fordert und erneuert das Cert selbst:

# Caddyfile
mywebsite.com {
  reverse_proxy localhost:3000
}

Kein certbot, kein Cron. Caddy ruft im Hintergrund die Let's Encrypt API auf und verwaltet den Renewal-Cycle.

Kommerzielle Certs: 1-3 Jahre Gültigkeit

Seit September 2020 haben alle öffentlich vertrauenswürdigen Certs eine maximale Lebensdauer von 397 Tagen (CA/B Forum Baseline). Einige Firmen bevorzugen weiterhin kommerzielle CAs aus folgenden Gründen:

  • Extended Validation (EV) zeigt die Organisation in der Adresszeile (Chrome stellt sie seit 2019 nicht mehr prominent dar).
  • Wildcard für viele Subdomains obwohl Let's Encrypt Wildcards inzwischen über DNS-01 unterstützt.
  • Warranty finanzielle Haftung der CA bei Kompromittierung.
  • Compliance / Audit einige Branchen haben externe Anforderungen.

Für die meisten Websites reicht Let's Encrypt oder eine andere kostenlose CA (ZeroSSL, Buypass).

Ablauf-Monitoring als Sicherheitsnetz

Auch wenn Sie automatische Erneuerung haben, fungiert Ablauf-Monitoring als Versicherung. Renewal kann fehlschlagen wegen:

  • Rate Limit seitens der CA (Let's Encrypt: 5 Duplikate / 7 Tage)
  • DNS-Änderung, die die ACME-Challenge bricht
  • Firewall-Regel, die Port 80 blockiert (HTTP-01 Challenge)
  • Absturz von certbot oder cron, den niemand bemerkt hat

ePulz.io überwacht den Ablauf jedes überwachten Endpoints und sendet Alerts 30, 14, 7, 3 und 1 Tag vor Gültigkeitsende. Ein grünes Signal reicht, dass das Cert rechtzeitig erneuert wurde - und Sie haben Gewissheit, dass die Automatik funktioniert.

Aktivieren Sie SSL-Monitoring

Alerts 30/14/7/3/1 Tage vor Ablauf. Keine Konfiguration, keine DNS-Änderungen. 7 Tage kostenlos.

Monitoring starten →

ePulz.io kostenlos testen - 7 Tage, ohne Kreditkarte.

Konto erstellen