WhoisDE Blog

SSL-Zertifikat prüfen: Was das Schloss im Browser wirklich aussagt

Das kleine Schloss neben der Adresszeile ist für viele Nutzer die wichtigste Sicherheitsanzeige im Internet: Schloss da, alles gut. Ganz so einfach ist es leider nicht, denn das Schloss beweist etwas anderes, als die meisten glauben. In diesem Artikel klären wir, was ein SSL-Zertifikat wirklich leistet, warum es trotzdem für jede Website Pflicht ist, wie du das Zertifikat einer beliebigen Domain in Sekunden prüfst und woran du echte Warnsignale erkennst.

Was ein SSL-Zertifikat tatsächlich macht

Ein SSL-Zertifikat, technisch korrekt heißt es heute TLS, erledigt zwei Aufgaben. Erstens verschlüsselt es die Verbindung zwischen deinem Browser und dem Server. Alles, was du auf einer Website eintippst, vom Suchbegriff bis zum Passwort, wandert dadurch unlesbar durchs Netz. Ohne diese Verschlüsselung könnte jeder, der zwischen dir und dem Server sitzt, etwa im offenen WLAN eines Cafés, den Datenverkehr im Klartext mitlesen.

Zweitens bestätigt das Zertifikat, dass du wirklich mit der Domain sprichst, die in der Adresszeile steht. Eine Zertifizierungsstelle hat geprüft, dass der Serverbetreiber die Kontrolle über genau diese Domain hat, und das kryptografisch beglaubigt. Dein Browser prüft diese Beglaubigung bei jedem Aufruf und schlägt Alarm, wenn etwas nicht stimmt.

Und jetzt der wichtige Teil: Mehr sagt das Schloss nicht aus. Es beweist eine verschlüsselte Verbindung zur angezeigten Domain, aber nichts über den Betreiber dahinter. Auch ein Betrugsshop kann sich in Minuten ein gültiges Zertifikat besorgen, die Verbindung zu ihm ist dann tadellos verschlüsselt. Das Schloss heißt also: Niemand lauscht auf dem Weg. Es heißt nicht: Dem Ziel kannst du vertrauen. Für die Vertrauensfrage brauchst du andere Signale, das Impressum, das Alter der Domain, Bewertungen.

Warum HTTPS trotzdem Pflicht ist

Auch wenn das Schloss kein Gütesiegel ist, führt an HTTPS kein Weg vorbei, und zwar aus drei Richtungen. Die Browser machen Druck: Seiten ohne Verschlüsselung werden als „Nicht sicher" markiert, und spätestens bei einem Formular wird die Warnung unübersehbar. Für Besucher wirkt das zu Recht abschreckend.

Der Datenschutz verlangt es: Wer personenbezogene Daten über ein Kontaktformular entgegennimmt, muss sie nach Stand der Technik schützen, und unverschlüsselte Übertragung ist das Gegenteil davon. Eine Website mit Formular ohne HTTPS ist damit auch ein rechtliches Risiko.

Und Google mag es: Verschlüsselung ist seit Jahren ein Ranking-Signal. Kein großes, aber bei sonst gleichen Seiten hat die verschlüsselte die Nase vorn. Zusammengenommen gibt es schlicht kein Argument mehr für eine Website ohne HTTPS, zumal Zertifikate längst nichts mehr kosten müssen.

Kostenlos oder bezahlt? Eine ehrliche Einordnung

Seit es Let's Encrypt gibt, eine gemeinnützige Zertifizierungsstelle, bekommt jede Website kostenlose Zertifikate, und die meisten Hoster richten sie automatisch ein und verlängern sie selbstständig. Die Verschlüsselung ist dabei exakt so stark wie bei Bezahl-Zertifikaten, da gibt es technisch keinen Unterschied.

Bezahl-Zertifikate bieten im Kern zwei Dinge: längere manuelle Laufzeiten und bei den teureren Varianten eine erweiterte Prüfung der Organisation, die hinter der Domain steht. Diese Organisationsprüfung ist für Banken und große Shops sinnvoll, für die normale Firmen-Website oder das Projekt nebenan aber verzichtbar, zumal Browser den Unterschied kaum noch sichtbar machen. Unsere ehrliche Empfehlung für die meisten Fälle: das automatische Kostenlos-Zertifikat des Hosters nutzen und das gesparte Geld in gute Inhalte stecken.

So prüfst du das Zertifikat einer Domain

Der schnelle Weg im Browser: Klick auf das Schloss beziehungsweise das Einstellungssymbol in der Adresszeile, dann auf die Zertifikatsdetails. Dort siehst du, für welche Domain das Zertifikat ausgestellt wurde, von welcher Zertifizierungsstelle es stammt und wie lange es gültig ist.

Noch schneller geht es mit unserem Domaincheck: Domain eingeben, und in der Ergebnistabelle stehen Aussteller und Gültigkeitszeitraum des Zertifikats, zusammen mit der Antwortzeit des Servers und den übrigen technischen Daten. Praktisch ist das vor allem, wenn du mehrere Domains vergleichen oder eine fremde Seite einschätzen willst, ohne sie erst besuchen zu müssen.

Die Warnsignale, auf die es ankommt

Drei Befunde sollten dich aufhorchen lassen. Ein abgelaufenes Zertifikat: Das passiert auch seriösen Betreibern mal, ist aber bei einer aktiv gepflegten Website ein Zeichen für Schlamperei, denn die Verlängerung läuft heute überall automatisch. Bleibt es länger abgelaufen, kümmert sich offenbar niemand mehr um die Seite.

Ein Zertifikat für die falsche Domain: Wenn die Adresszeile shop-beispiel.de zeigt, das Zertifikat aber auf einen ganz anderen Namen ausgestellt ist, warnt der Browser deutlich, und diese Warnung solltest du ernst nehmen und die Seite verlassen. Und schließlich ein blutjunges Zertifikat auf einer angeblich etablierten Seite: In Kombination mit einer frisch registrierten Domain ist das ein typisches Muster kurzlebiger Betrugsshops. Jedes Signal für sich ist harmlos erklärbar, die Kombination ist es selten.

Und ein letzter Tipp für den Alltag: Verlass dich nicht auf das Schloss allein, sondern lies die Adresszeile mit. Betrüger arbeiten gern mit Domains, die dem Original zum Verwechseln ähnlich sehen, mit vertauschten Buchstaben oder angehängten Wörtern. Das Zertifikat solcher Seiten ist formal völlig in Ordnung, es beglaubigt nur eben die falsche Adresse. Schloss plus richtige Domain, erst diese Kombination ist die halbwegs verlässliche Anzeige.

Einzeldomain, Wildcard, Multi-Domain: die drei Typen kurz erklärt

Wenn du selbst ein Zertifikat einrichtest, begegnen dir drei Varianten, und die Wahl ist einfacher, als die Namen klingen. Das Einzeldomain-Zertifikat gilt für genau einen Namen, in der Praxis meist inklusive der www-Variante. Für die klassische Website ist das die richtige und häufigste Wahl, und genau diese Variante richten Hoster automatisch ein.

Das Wildcard-Zertifikat deckt zusätzlich alle Subdomains einer Domain ab, also shop.beispiel.de, blog.beispiel.de und was sonst noch kommt. Das lohnt sich, wenn du viele Subdomains betreibst oder regelmäßig neue anlegst, denn du sparst dir die Einzeleinrichtung. Und das Multi-Domain-Zertifikat bündelt mehrere völlig verschiedene Domains in einem einzigen Zertifikat, was vor allem Agenturen und Betreiber ganzer Domain-Portfolios nutzen, um die Verwaltung zu vereinfachen.

Für die Prüfung von außen ist der Typ übrigens ein kleines Indiz: Siehst du im Zertifikat einer Seite eine lange Liste fremder Domains, liegt sie vermutlich auf einer großen Shared-Hosting-Plattform, deren Betreiber viele Kunden über ein Sammelzertifikat absichert. Das ist völlig normal und kein Sicherheitsproblem, erklärt aber, warum im Zertifikat manchmal Namen stehen, die mit der besuchten Seite nichts zu tun haben.

Häufige Fragen

Bedeutet das Schloss, dass eine Website vertrauenswürdig ist?

Nein. Es bestätigt nur die verschlüsselte Verbindung zur angezeigten Domain. Über die Seriosität des Betreibers sagt es nichts aus, auch Betrugsseiten nutzen gültige Zertifikate.

Sind kostenlose Zertifikate unsicherer als bezahlte?

Nein, die Verschlüsselung ist identisch stark. Bezahl-Zertifikate bieten vor allem eine erweiterte Prüfung der Organisation, die für die meisten Websites verzichtbar ist.

Was passiert, wenn mein Zertifikat abläuft?

Browser zeigen Besuchern eine bildschirmfüllende Warnung, die die meisten sofort vertreibt. Bei automatischer Verlängerung über den Hoster passiert das praktisch nie, prüfen schadet trotzdem gelegentlich.

Zum Schluss in einfacher Sprache

Das Schloss im Browser zeigt: Die Verbindung zu der Website ist verschlüsselt. Niemand kann mitlesen, was man dort eintippt.

Aber Achtung: Das Schloss sagt nicht, dass die Website ehrlich ist. Auch Betrüger können ein Schloss haben. Man muss also trotzdem aufpassen.

Jede Website sollte heute verschlüsselt sein. Das nennt man HTTPS. Browser warnen vor Seiten ohne Verschlüsselung.

Gute Nachricht: Die Verschlüsselung kostet nichts mehr. Die meisten Anbieter richten sie automatisch ein.

Mit unserem Domaincheck kann man das Zertifikat jeder Domain prüfen. Man sieht, wer es ausgestellt hat und wie lange es gilt.