SSL-Zertifikat abgelaufen - was tun
· 6 Min. Lesezeit
Ein abgelaufenes SSL-Zertifikat blockiert den Zugriff mit einer Warnung vor unsicherer Verbindung, die Konversion fällt auf null. Was tun und wie vorbeugen.
Was der Besucher sieht
Ein abgelaufenes Zertifikat löst im Browser eine Vollbildwarnung aus:
- Chrome / Edge: "Your connection is not private" (NET::ERR_CERT_DATE_INVALID)
- Firefox: "Warning: Potential Security Risk Ahead" (SEC_ERROR_EXPIRED_CERTIFICATE)
- Safari: "This Connection Is Not Private"
Ein normaler Besucher klickt „Zurück". Die überwiegende Mehrheit der Besucher verlässt die Seite bei einer solchen Warnung. Such-Crawler (Googlebot, Bingbot) hören mit dem Indexieren auf, und nach ein paar Tagen verlieren Sie Positionen in der Suche.
Vorgehen, wenn es gerade abgelaufen ist
- Identifizieren Sie, wer das Cert ausgestellt hat. Im Terminal:
openssl s_client -connect mywebsite.com:443 -servername mywebsite.com < /dev/null 2>/dev/null | openssl x509 -noout -issuer -dates - Let's Encrypt (kostenlos, 90-tägige Gültigkeit): typischerweise über
certbot renewoder über das Hosting-Panel (One-click renewal). - Kommerzielles Cert (DigiCert, Sectigo, GlobalSign): Melden Sie sich im Admin-Panel des Ausstellers an, generieren Sie einen neuen CSR und führen Sie die Domain-Validierung durch (DNS-TXT-Record oder E-Mail).
- Spielen Sie das neue Cert ein in den Reverse-Proxy (nginx, Caddy, Traefik) und starten oder reloaden Sie den Prozess.
- Verifizieren Sie über SSL Labs oder unser SSL-Check-Tool, ob das Cert korrekt ausgeliefert wird und die Zertifikatskette vollständig ist.
Achtung: Vergessen Sie nicht das Intermediate Cert - ohne es können moderne Browser die Chain zwar über AIA nachladen, aber ältere Clients und einige API-Bibliotheken werden fehlschlagen.
Automatische Erneuerung: Let's Encrypt + certbot
Die einfachste Prävention ist, die Erneuerung komplett zu automatisieren. Das Let's-Encrypt-Cert erneuert sich alle 90 Tage über certbot:
# /etc/cron.d/certbot-renew
0 3 * * * root certbot renew --quiet --deploy-hook "systemctl reload nginx"
Dieser Cron läuft täglich um 3:00 Uhr morgens. Certbot prüft intern, ob sich das Cert dem Ablauf nähert (wenn weniger als ein Drittel seiner Lebensdauer verbleibt, was bei einem 90-tägigen Let's-Encrypt-Cert etwa 30 Tage vor dem Ende ergibt). Wenn ja, erneuert es das Cert und reloadet bei Erfolg nginx. Sonst tut es nichts.
Caddy und Traefik: vollautomatisch
Wenn Sie Caddy oder Traefik als Reverse-Proxy nutzen, ist die ACME-Challenge direkt im Binary eingebaut. Sie müssen nur die Domain im Config markieren, und der Server fordert und erneuert das Cert selbst:
# Caddyfile
mywebsite.com {
reverse_proxy localhost:3000
}
Kein certbot, kein Cron. Caddy ruft im Hintergrund die Let's Encrypt API auf und verwaltet den gesamten Renewal-Cycle.
Kommerzielle Certs: 1-3 Jahre Gültigkeit
Seit September 2020 haben alle öffentlich vertrauenswürdigen Certs eine maximale Lebensdauer von 398 Tagen (CA/B Forum Baseline). Manche Firmen bevorzugen dennoch weiterhin kommerzielle CAs, und zwar aus folgenden Gründen:
- Extended Validation (EV) zeigt die Organisation in der Adresszeile (Chrome stellt sie seit 2019 nicht mehr prominent dar).
- Wildcard für viele Subdomains obwohl Let's Encrypt Wildcards inzwischen über DNS-01 unterstützt.
- Warranty finanzielle Haftung der CA bei Kompromittierung.
- Compliance / Audit einige Branchen haben externe Anforderungen.
Für die meisten Websites reicht Let's Encrypt oder eine andere kostenlose CA (ZeroSSL, Buypass).
Ablauf-Monitoring als Sicherheitsnetz
Auch wenn Sie automatische Erneuerung haben, fungiert Ablauf-Monitoring als Versicherung. Die Erneuerung kann nämlich aus mehreren Gründen fehlschlagen:
- Rate Limit seitens der CA (Let's Encrypt: 5 Duplikate / 7 Tage)
- DNS-Änderung, die die ACME-Challenge bricht
- Firewall-Regel, die Port 80 blockiert (HTTP-01 Challenge)
- Absturz von certbot oder Cron, den niemand bemerkt hat
ePulz.io überwacht den Ablauf jedes überwachten Endpoints und sendet Alerts 30, 14, 7, 3 und 1 Tag vor Gültigkeitsende. Ein grünes Signal reicht, dass das Cert rechtzeitig erneuert wurde - und Sie haben Gewissheit, dass die Automatik funktioniert.
Aktivieren Sie SSL-Monitoring
Alerts 30/14/7/3/1 Tage vor Ablauf. Keine Konfiguration, keine DNS-Änderungen. 7 Tage kostenlos.
ePulz.io kostenlos testen - 7 Tage, ohne Kreditkarte.
Konto erstellen