Wenn Sie eine Website aufrufen und in der Adressleiste ein kleines Schloss-Symbol sehen, ist die Verbindung verschluesselt. Sehen Sie stattdessen den Hinweis "Nicht sicher" — dann nicht. Diese einfache Unterscheidung hat enorme Auswirkungen: auf das Vertrauen Ihrer Besucher, auf Ihr Google-Ranking und auf die Rechtssicherheit Ihrer Website.
Was ein SSL-Zertifikat ist
SSL steht fuer Secure Sockets Layer — eine Technologie, die die Datenverbindung zwischen dem Browser Ihres Besuchers und Ihrem Webserver verschluesselt. Technisch korrekt heisst der aktuelle Standard TLS (Transport Layer Security), aber der Begriff SSL-Zertifikat hat sich umgangssprachlich durchgesetzt.
Ein SSL-Zertifikat ist eine digitale Datei, die auf Ihrem Server installiert wird. Sie enthaelt einen oeffentlichen Schluessel, Informationen ueber den Inhaber und eine digitale Signatur einer Zertifizierungsstelle (Certificate Authority).
Wie die Verschluesselung funktioniert
Wenn ein Besucher Ihre Website aufruft, passiert in Sekundenbruchteilen Folgendes:
- Der Browser fragt das SSL-Zertifikat Ihres Servers an
- Der Server sendet das Zertifikat mit dem oeffentlichen Schluessel
- Der Browser prueft die Gueltigkeit des Zertifikats
- Beide Seiten vereinbaren einen temporaeren Sitzungsschluessel
- Alle weiteren Daten werden mit diesem Schluessel verschluesselt
Das Ergebnis: Niemand, der den Datenverkehr abfaengt, kann die uebertragenen Informationen lesen. Kein Passwort, keine Kreditkartennummer, keine persoenliche Nachricht.
HTTP vs. HTTPS: Der entscheidende Buchstabe
HTTP (HyperText Transfer Protocol) ist das Protokoll, ueber das Webseiten uebertragen werden. Es existiert seit den Anfaengen des World Wide Web und funktioniert — aber unverschluesselt.
HTTPS fuegt diesem Protokoll eine Verschluesselungsschicht hinzu. Das S steht fuer Secure. Inhaltlich aendert sich nichts an der Uebertragung — aber alles, was uebertragen wird, ist vor fremdem Zugriff geschuetzt.
Was ohne HTTPS passieren kann
Auf einer unverschluesselten Verbindung kann theoretisch jeder, der sich im gleichen Netzwerk befindet, den Datenverkehr mitlesen. In einem oeffentlichen WLAN — Cafe, Flughafen, Hotel — ist das ein reales Szenario.
Konkret bedeutet das:
- Formulardaten (Kontaktformulare, Login-Daten) werden im Klartext uebertragen
- Passwörter koennen abgefangen werden
- Die aufgerufenen Seiten sind sichtbar
- Theoretisch koennen Inhalte manipuliert werden (Man-in-the-Middle-Angriff)
HTTPS als Google-Ranking-Faktor
Google hat HTTPS im August 2014 offiziell als Ranking-Signal bestaetigt. Das war ungewoehnlich — Google nennt selten konkrete Ranking-Faktoren.
Wie stark ist der Einfluss?
Ehrlich gesagt: HTTPS allein katapultiert Sie nicht auf Seite 1. Es ist ein sogenanntes "Tiebreaker-Signal" — bei ansonsten gleichen Voraussetzungen bevorzugt Google die HTTPS-Variante.
Aber der indirekte Einfluss ist groesser, als viele denken:
Nutzerverhalten: Eine "Nicht sicher"-Warnung schreckt Besucher ab. Die Absprungrate steigt, die Verweildauer sinkt — beides negative Signale fuer Google.
Vertrauenssignal: HTTPS gehoert fuer Google zum Thema Technisches SEO und E-E-A-T (Experience, Expertise, Authoritativeness, Trustworthiness). Eine unsichere Website signalisiert mangelndes Qualitaetsbewusstsein.
Chrome als Verstaerker: Chrome — mit ueber 65 Prozent Marktanteil der meistgenutzte Browser — zeigt seit 2018 bei jeder HTTP-Seite prominent "Nicht sicher" an. Das betrifft die Mehrheit Ihrer Besucher.
Was die Daten sagen
Ueber 95 Prozent des gesamten Web-Traffics in Chrome laufen inzwischen ueber HTTPS. Websites ohne SSL sind die Ausnahme — und werden von Nutzern und Suchmaschinen zunehmend als Ausnahme behandelt.
Die verschiedenen SSL-Zertifikat-Typen
Nicht jedes Zertifikat ist gleich. Es gibt drei Validierungsstufen.
Domain Validation (DV)
Die einfachste Form: Es wird nur geprueft, ob Sie die Domain kontrollieren. Kein Nachweis der Unternehmensidentitaet.
Kosten: Kostenlos (Let's Encrypt) bis ca. 50 Euro pro Jahr.
Geeignet fuer: Die meisten Websites — Unternehmensseiten, Blogs, Portfolios.
Organization Validation (OV)
Zusaetzlich zur Domain wird die Existenz des Unternehmens geprueft. Der Unternehmensname erscheint in den Zertifikatsdetails.
Kosten: 50 bis 200 Euro pro Jahr.
Geeignet fuer: Mittelstaendische Unternehmen, die zusaetzliches Vertrauen signalisieren wollen.
Extended Validation (EV)
Die hoechste Validierungsstufe. Umfangreiche Pruefung der Unternehmensidentitaet, des Standorts und der Berechtigung des Antragstellers.
Kosten: 100 bis 500 Euro pro Jahr.
Geeignet fuer: Banken, grosse Online-Shops, Versicherungen — ueberall dort, wo maximales Vertrauen entscheidend ist.
Welches Zertifikat brauchen Sie?
Fuer die allermeisten Unternehmenswebsites reicht ein DV-Zertifikat von Let's Encrypt voellig aus. Die Verschluesselung ist technisch identisch — der Unterschied liegt nur in der Identitaetspruefung.
SSL-Zertifikat einrichten: So geht es
Bei modernen Hosting-Plattformen
Wenn Sie Ihre Website bei Vercel, Netlify, Cloudflare Pages oder aehnlichen Plattformen hosten, ist SSL automatisch integriert. Sie muessen nichts einrichten — das Zertifikat wird beim Deployment automatisch erstellt und erneuert.
Bei klassischem Webhosting
Die meisten Hosting-Anbieter bieten Let's Encrypt-Integration ueber das Control Panel (cPanel, Plesk). In der Regel genuegen wenige Klicks:
- SSL/TLS-Bereich im Control Panel oeffnen
- Let's Encrypt auswaehlen
- Domain auswaehlen und Zertifikat anfordern
- Automatische Erneuerung aktivieren
Bei WordPress
WordPress-Hoster wie All-Inkl, IONOS oder Raidboxes bieten SSL-Zertifikate direkt im Hosting-Paket an. Nach der Aktivierung muessen Sie sicherstellen, dass WordPress intern auch HTTPS verwendet: In den Einstellungen die WordPress-URL und die Website-URL auf HTTPS aendern.
Die haeufigsten Fehler bei der HTTPS-Umstellung
Mixed Content
Der haeufigste Fehler nach einer HTTPS-Umstellung: Die Seite selbst laedt ueber HTTPS, aber einzelne Ressourcen (Bilder, Scripts, Stylesheets) werden noch ueber HTTP geladen. Das fuehrt zu Browserwarnungen und kann die Verschluesselung teilweise aufheben.
Loesung: Alle internen URLs von HTTP auf HTTPS umstellen. Relative URLs oder protokollrelative URLs verwenden.
Fehlende Weiterleitungen
Nach der Umstellung muessen alle HTTP-URLs per 301-Redirect auf die HTTPS-Variante weiterleiten. Ohne Weiterleitung sind beide Versionen erreichbar — das fuehrt zu Duplicate Content und verwirrt Suchmaschinen.
Abgelaufene Zertifikate
SSL-Zertifikate haben eine begrenzte Gueltigkeit — bei Let's Encrypt 90 Tage. Wenn die automatische Erneuerung fehlschlaegt, sehen Besucher eine alarmierende Sicherheitswarnung, die quasi jeden abschreckt.
Loesung: Automatische Erneuerung einrichten und mit einem Monitoring-Tool ueberwachen.
Canonical-URL nicht angepasst
Die Canonical-URL in Ihrem HTML und in der Sitemap muss auf die HTTPS-Version zeigen. Sonst signalisieren Sie Google widersprüchliche Informationen ueber die bevorzugte URL.
Google Search Console nicht aktualisiert
HTTPS ist fuer Google eine andere Property als HTTP. Nach der Umstellung muessen Sie die HTTPS-Version in der Google Search Console hinzufuegen und die Sitemap neu einreichen.
HTTPS und die DSGVO
Die DSGVO verlangt technische Massnahmen zum Schutz personenbezogener Daten. Wenn Ihre Website ein Kontaktformular hat — und das haben die meisten — uebertragen Sie personenbezogene Daten. Ohne HTTPS geschieht das unverschluesselt.
Streng genommen ist eine Website mit Kontaktformular ohne HTTPS ein DSGVO-Verstoss. Die Datenschutzbehoerden haben das mehrfach bestaetigt. Bussgelder sind theoretisch moeglich, auch wenn sie in der Praxis selten fuer HTTPS-Verstoesse allein verhaengt werden.
Aber warum das Risiko eingehen, wenn die Loesung kostenlos ist?
HTTPS und Performance: Ist verschluesselt langsamer?
Ein verbreiteter Mythos: HTTPS macht Websites langsamer. Das stimmte vielleicht vor 15 Jahren. Heute ist das Gegenteil der Fall.
HTTP/2 und HTTP/3
Die modernen Protokolle HTTP/2 und HTTP/3 — die deutliche Performance-Verbesserungen bringen — funktionieren ausschliesslich ueber HTTPS. Ohne SSL-Zertifikat bleibt Ihre Website auf dem veralteten HTTP/1.1 stecken.
HTTP/2 bietet Multiplexing (mehrere Anfragen ueber eine Verbindung), Header-Komprimierung und Server Push. HTTP/3 nutzt QUIC statt TCP und reduziert die Latenz weiter.
TLS 1.3: Schnellerer Handshake
Die aktuelle TLS-Version 1.3 hat den Verbindungsaufbau auf einen einzigen Roundtrip reduziert. Bei wiederkehrenden Verbindungen sogar auf null (0-RTT). Die Verschluesselung kostet praktisch keine messbare Ladezeit mehr.
Checkliste: HTTPS richtig umsetzen
- SSL-Zertifikat installieren (Let's Encrypt oder Provider-Zertifikat)
- Automatische Erneuerung einrichten und testen
- 301-Redirects von HTTP auf HTTPS einrichten
- Alle internen URLs auf HTTPS aktualisieren
- Mixed Content pruefen und beheben
- Canonical-URLs auf HTTPS setzen
- Sitemap mit HTTPS-URLs aktualisieren und einreichen
- Google Search Console: HTTPS-Property hinzufuegen
- Externe Links wo moeglich auf HTTPS aktualisieren
- HSTS-Header setzen (Strict-Transport-Security)
- Regelmaessig auf abgelaufene Zertifikate pruefen
Was wir bei PAKU Media empfehlen
Jede Website, die wir bauen, hat von Tag eins ein SSL-Zertifikat. Bei unseren Vercel-Deployments ist das automatisch integriert — kein manueller Aufwand, keine Kosten, keine vergessenen Erneuerungen.
Fuer bestehende Websites, die noch auf HTTP laufen, ist die Umstellung in der Regel innerhalb eines Tages erledigt. Und die Investition — meist null Euro fuer das Zertifikat selbst — zahlt sich sofort aus: besseres Ranking, mehr Vertrauen, weniger Abspruenge.
Fazit
Ein SSL-Zertifikat ist kein Nice-to-have — es ist eine Grundvoraussetzung fuer jede Website in 2026. Es schuetzt Ihre Besucher, verbessert Ihr Ranking, erfuellt DSGVO-Anforderungen und ermoeglicht moderne Performance-Protokolle.
Die gute Nachricht: Es war noch nie so einfach und guenstig wie heute. Let's Encrypt macht Verschluesselung kostenlos, moderne Hosting-Plattformen automatisieren die Einrichtung, und der Performance-Overhead ist praktisch verschwunden.
Wenn Ihre Website noch kein HTTPS hat, ist heute der richtige Tag fuer die Umstellung.