SSL-Zertifikat und HTTPS: 2 Tests, die Ihre Glaubwürdigkeit ruinieren können

Ein abgelaufenes Zertifikat löst eine Vollbild-Warnung aus. Eine fehlende HTTPS-Weiterleitung lässt Daten durchsickern. Die Tests #09 und #36 erkennen beides.

Es gibt zwei Arten von Website-Problemen: die, die Besucher irgendwann bemerken, und die, die ihnen sofort ins Gesicht springen. Ein abgelaufenes SSL-Zertifikat gehört zur zweiten Kategorie. Der Browser zeigt eine Vollbild-Warnung — „Ihre Verbindung ist nicht privat" — und die meisten Besucher verlassen die Seite, ohne sie je zu sehen.

Aber selbst wenn das Zertifikat gültig ist, können Probleme auftreten. Wenn HTTP nicht zu HTTPS weiterleitet, können Besucher auf einer unsicheren Version landen. Wenn die Seite gemischte Inhalte lädt (HTTP-Ressourcen auf einer HTTPS-Seite), verschwindet das Schloss-Symbol. Vertrauen erodiert leise.

Orilyt führt zwei ergänzende Tests durch. Test #09 validiert das SSL-Zertifikat — ist es gültig, stimmt es mit der Domain überein, wann läuft es ab? Test #36 prüft die HTTPS-Durchsetzung — leitet HTTP zu HTTPS weiter, gibt es Mixed-Content-Probleme? Zusammen decken sie die gesamte HTTPS-Sicherheitsfläche ab.

Test #09: Ist Ihr SSL-Zertifikat gültig?

Test #09 führt einen echten TLS-Handshake mit dem Server durch und prüft das Zertifikat:

1. TLS-Handshake — kann der Server eine sichere Verbindung herstellen? Wenn der Handshake komplett fehlschlägt, ist die Bewertung 0. Die Website ist über HTTPS praktisch unerreichbar
2. Zertifikatsablauf — wie viele Tage bis zum Ablauf? Unter 7 Tage = Bewertung 55, unter 14 = 65, unter 30 = 75. Bereits abgelaufen = Bewertung 20
3. Domainübereinstimmung — stimmt der CN oder SAN des Zertifikats mit der Domain überein? Eine Nichtübereinstimmung löst eine Browser-Warnung aus. Bewertung fällt auf 20
4. TLS-Protokollversion — der Test meldet, welche TLS-Version ausgehandelt wurde (TLS 1.2, 1.3). Ältere Protokolle wie TLS 1.0/1.1 sind veraltet und unsicher

Ein gesundes Zertifikat mit mehr als 30 Tagen bis zum Ablauf und übereinstimmender Domain erhält 100. Wenn die auditierte URL HTTP statt HTTPS verwendet (selbst mit gültigem Zertifikat), wird die Bewertung auf 80 begrenzt.

Test #36: Wird HTTPS tatsächlich durchgesetzt?

Ein gültiges Zertifikat ist notwendig, aber nicht ausreichend. Test #36 prüft zwei Dinge:

1. HTTP-zu-HTTPS-Weiterleitung — wenn ein Besucher http://ihreseite.de eingibt, leitet der Server zu https:// weiter? Ohne dies führt jeder direkte Besuch oder alte Link zur unsicheren Version. Bewertung: 95 mit Weiterleitung, 60 ohne
2. Mixed Content — selbst auf einer HTTPS-Seite, wenn Bilder, Skripte oder Stylesheets über HTTP geladen werden, markiert der Browser die Seite als teilweise unsicher. Das Schloss verschwindet. Bewertung: 70 bei Mixed Content

Wenn die auditierte URL selbst HTTP verwendet (nicht HTTPS), fällt die Bewertung auf 0. Das bedeutet, die Website hat überhaupt kein HTTPS.

Mixed Content ist besonders tückisch, weil er unbemerkt bleiben kann. Die Seite lädt, alles sieht normal aus — aber das Schloss-Symbol ist verschwunden, und sicherheitsbewusste Besucher (und Google) bemerken es.

Häufige Ursachen und schnelle Korrekturen

Die meisten SSL/HTTPS-Probleme lassen sich leicht beheben, sobald sie identifiziert sind:

1. Zertifikat abgelaufen — automatische Erneuerung fehlgeschlagen (Let's-Encrypt-Cron defekt, Hosting-Panel falsch konfiguriert). Korrektur: manuell erneuern, dann Auto-Erneuerung reparieren. 5 Minuten
2. Keine HTTP→HTTPS-Weiterleitung — .htaccess oder Serverkonfiguration leitet nicht weiter. Korrektur: RewriteRule hinzufügen. Zwei Zeilen Code
3. Mixed Content — alte Inhalte haben fest kodierte http://-URLs. Korrektur: Suchen und Ersetzen in der Datenbank oder Content-Security-Policy: upgrade-insecure-requests Header
4. Falsche Domain im Zertifikat — ausgestellt für www.example.com, aber die Site läuft auf example.com. Korrektur: mit SAN für beide Varianten neu ausstellen

Das Muster: alles Konfigurationsprobleme, keine Code-Probleme. Schnell behebbar und hohe Wirkung — genau die Art von Befund, die einen Audit rechtfertigt.

SSL/HTTPS als Verkaufsargument

Für Freelancer und Agenturen gehören SSL/HTTPS-Befunde zu den wirkungsvollsten in jedem Audit. Sie sind visuell, dringend und universell verständlich:

Im Orilyt-Bericht generieren die beiden Tests klare FIA-Empfehlungen:

1. Fakt: „SSL-Zertifikat läuft in 5 Tagen ab" oder „Keine HTTP-zu-HTTPS-Weiterleitung erkannt"
2. Auswirkung: „Der Browser wird die Website in 5 Tagen blockieren" oder „Besucher über HTTP sehen keine Verschlüsselung — Daten werden im Klartext übertragen"
3. Aktion: „Zertifikat sofort erneuern" oder „301-Weiterleitung von HTTP zu HTTPS in der Serverkonfiguration hinzufügen"

Diese Befunde erzeugen Dringlichkeit. Ein Kunde, der „Ihr Zertifikat läuft in 5 Tagen ab" sieht, handelt sofort. Ein Kunde, der „keine HTTPS-Weiterleitung" sieht, versteht das Risiko ohne technische Erklärung. Es ist der am leichtesten verkaufbare Audit-Befund.

Das Fundament des Vertrauens — in 2 Sekunden geprüft

HTTPS ist keine Funktion. Es ist eine Grundvoraussetzung. Google verlangt es für das Ranking. Browser warnen ohne. Besucher gehen beim ersten Zeichen von Unsicherheit. Tests #09 und #36 überprüfen dieses Fundament in Sekunden.

Wenn das Zertifikat gültig ist, die Weiterleitung funktioniert und kein Mixed Content vorliegt — alles in Ordnung. Wenn eines davon fehlschlägt, ist es das Erste, was behoben werden muss.

Für Kunden-Audits ist SSL/HTTPS der Gesprächsstarter. Es ist visuell, dringend und schnell behebbar. Wenn Sie hier ein Problem finden, haben Sie den Audit bereits gerechtfertigt.