Website auf HTTPS umstellen: SSL-Zertifikat einrichten und Fehler vermeiden

Was ist SSL/HTTPS und warum ist es wichtig?

Rufen Sie heute eine Website auf, schauen die meisten Nutzer reflexartig auf das Schloss-Symbol links neben der Adressleiste. Erscheint stattdessen ein durchgestrichenes Schloss oder der Text „Nicht sicher”, verlassen viele Besucher die Seite sofort – noch bevor sie einen einzigen Inhalt gelesen haben. Dieses Sicherheitssignal steht für das HTTPS-Protokoll, das durch ein SSL-Zertifikat aktiviert wird.

Wie die Verschlüsselung funktioniert – vereinfacht erklärt

Wenn jemand Ihre Website aufruft, tauscht sein Browser mit Ihrem Server Daten aus. Ohne Verschlüsselung geschieht das im Klartext – theoretisch kann jede zwischengeschaltete Station (Router, Internetanbieter, offenes WLAN) diese Daten lesen oder manipulieren. SSL/TLS löst dieses Problem durch eine verschlüsselte Verbindung: Browser und Server einigen sich auf einen gemeinsamen Schlüssel, alle übertragenen Daten werden damit kodiert und sind für Dritte nicht lesbar.

Das HTTPS-Protokoll (Hypertext Transfer Protocol Secure) ist nichts anderes als das bekannte HTTP kombiniert mit dieser SSL/TLS-Verschlüsselung. Ein SSL-Zertifikat bestätigt dabei zusätzlich, dass der Server tatsächlich zu der aufgerufenen Domain gehört – es ist also auch ein Echtheitsbeweis.

Warum HTTPS heute unverzichtbar ist

Vier Gründe sprechen dafür, keine Website mehr ohne HTTPS zu betreiben:

1. Browser-Warnungen: Chrome, Firefox und Safari zeigen bei unverschlüsselten Seiten sichtbare Sicherheitswarnungen. Das gilt besonders, sobald ein Formular auf der Seite vorhanden ist. Für Besucher wirkt das abschreckend und unprofessionell.

2. Google-Ranking: Google hat HTTPS bereits 2014 als Rankingfaktor eingeführt. Seiten ohne SSL-Verschlüsselung haben im direkten Vergleich mit gleichwertigen HTTPS-Seiten einen messbaren Nachteil in den Suchergebnissen.

3. DSGVO-Anforderungen: Wer auf seiner Website personenbezogene Daten erhebt – sei es über ein Kontaktformular, eine Newsletter-Anmeldung oder einen Login – ist nach der Datenschutz-Grundverordnung verpflichtet, diese Übertragung zu verschlüsseln. HTTP erfüllt diese Anforderung nicht.

4. Vertrauen und Conversion: Studien zeigen, dass Besucher eher Kontaktformulare ausfüllen oder Produkte kaufen, wenn sie eine verschlüsselte Verbindung sehen. Das Schloss-Symbol ist zum visuellen Vertrauensanker geworden.

SSL bei Homepage-Baukästen: Alles automatisch

Wenn Sie Ihre Website mit einem Homepage-Baukasten erstellen, ist die gute Nachricht: Sie müssen sich um SSL in der Regel überhaupt nicht kümmern. Alle etablierten Anbieter – Wix, IONOS, Jimdo, Squarespace, Webflow und andere – stellen SSL-Zertifikate automatisch und kostenlos für jede gehostete Domain bereit.

Das bedeutet konkret: Sobald Sie Ihre eigene Domain mit dem Baukasten verbinden oder eine neue Subdomain aktivieren, richtet der Anbieter im Hintergrund ein Let’s Encrypt-Zertifikat ein und verlängert es automatisch alle 90 Tage. Sie müssen nichts konfigurieren, nichts kaufen und nichts manuell erneuern.

So prüfen Sie, ob SSL bei Ihrem Baukasten aktiv ist

Auch wenn SSL automatisch aktiv sein sollte, lohnt sich eine kurze Überprüfung – besonders nach dem Verbinden einer neuen Domain:

1. Rufen Sie Ihre Website im Browser auf und achten Sie auf das Schloss-Symbol in der Adressleiste.
2. Klicken Sie auf das Symbol, um die Zertifikatsdetails anzuzeigen. Dort sehen Sie, für welche Domain das Zertifikat ausgestellt wurde und wann es abläuft.
3. Prüfen Sie, ob die Adresszeile https:// zeigt – nicht http://.

Was tun, wenn das Schloss-Symbol fehlt?

Erscheint nach dem Verbinden Ihrer Domain kein Schloss, gibt es meistens einen dieser Gründe:

• Das Zertifikat wird noch ausgestellt. Nach einer Domain-Verbindung kann es bis zu 24 Stunden dauern, bis das SSL-Zertifikat aktiv ist. Warten Sie einen Tag und prüfen Sie erneut.
• Die Domain zeigt noch auf einen anderen Server. Wenn die DNS-Einträge noch nicht vollständig übertragen wurden, kann das Zertifikat nicht ausgestellt werden. Prüfen Sie im Baukasten-Dashboard, ob die Domain korrekt verknüpft ist.
• Sie rufen die HTTP-Variante auf. Versuchen Sie, direkt https://ihre-domain.de einzugeben – manche Baukästen leiten nicht automatisch weiter, wenn die Domain frisch verbunden wurde.

Wenn keiner dieser Punkte zutrifft, wenden Sie sich an den Support des Anbieters. Die meisten Baukasten-Anbieter lösen SSL-Probleme schnell, da verschlüsselte Verbindungen zu ihrem Standardangebot gehören.

SSL-Zertifikat für WordPress und eigenes Hosting einrichten

Wer WordPress selbst hostet oder ein eigenes Webhosting-Paket betreibt, muss das SSL-Zertifikat selbst einrichten. Das klingt aufwendiger als es ist – die meisten modernen Hosting-Anbieter haben diesen Prozess stark vereinfacht.

Weg 1: One-Click-SSL im Hosting-Panel (empfohlen)

Die meisten deutschen Hosting-Anbieter – darunter IONOS, All-Inkl, Strato, Hostinger und DomainFactory – bieten einen integrierten SSL-Assistenten in ihrem Verwaltungspanel an. Das Vorgehen ist fast überall gleich:

1. Melden Sie sich in Ihrem Hosting-Panel an (cPanel, Plesk oder das eigene Dashboard des Anbieters).
2. Suchen Sie den Bereich „SSL/TLS”, „Sicherheit” oder direkt nach „Let’s Encrypt”.
3. Wählen Sie die Domain aus, für die Sie das Zertifikat ausstellen möchten.
4. Klicken Sie auf „Kostenlos einrichten” oder „Let’s Encrypt aktivieren”.

Der Anbieter beantragt daraufhin automatisch ein Zertifikat bei Let’s Encrypt, installiert es und aktiviert in der Regel auch die automatische Verlängerung. Der gesamte Vorgang dauert meist unter fünf Minuten.

Weg 2: SSL über die WordPress-Einstellungen aktivieren

Nachdem das Zertifikat auf Serverebene installiert ist, muss WordPress ebenfalls auf HTTPS umgestellt werden. Standardmäßig kennt WordPress nur die URL, die bei der Installation eingetragen wurde – und das war häufig noch http://.

Gehen Sie in WordPress unter Einstellungen → Allgemein und ändern Sie dort sowohl „WordPress-Adresse (URL)” als auch „Website-Adresse (URL)” von http:// auf https://. Speichern Sie die Einstellungen. WordPress leitet Sie danach automatisch zur HTTPS-Version weiter.

Weg 3: Plugin Really Simple SSL

Wer den manuellen Weg scheut, kann das Plugin Really Simple SSL verwenden. Es ist kostenlos, hat über fünf Millionen aktive Installationen und erledigt nach dem Aktivieren nahezu alles automatisch:

• Erkennt, ob ein SSL-Zertifikat auf dem Server vorhanden ist
• Ändert die WordPress-URLs auf HTTPS
• Setzt den notwendigen 301-Redirect von HTTP auf HTTPS (über .htaccess)
• Bereinigt die häufigsten Mixed-Content-Probleme

Installieren Sie das Plugin über Plugins → Installieren → „Really Simple SSL” suchen und aktivieren Sie es. Nach der Aktivierung führt ein kurzer Assistent durch die Einrichtung.

Mixed Content beheben

Eines der häufigsten Probleme nach der HTTPS-Umstellung ist Mixed Content. Das Schloss-Symbol in der Adressleiste bleibt ausgegraut oder zeigt ein Warnzeichen, obwohl das Zertifikat korrekt installiert ist. Der Grund: Die Seite wird zwar über HTTPS ausgeliefert, lädt aber einzelne Ressourcen noch über unverschlüsseltes HTTP.

Was gilt als Mixed Content?

Jedes Element Ihrer Seite, das über eine http://-Adresse referenziert wird, verursacht Mixed Content – unabhängig davon, ob es sich um aktive oder passive Ressourcen handelt:

• Passiver Mixed Content: Bilder, Audio- und Videodateien, die per HTTP geladen werden. Browser zeigen das Schloss mit Warnzeichen, blockieren die Ressource aber nicht immer.
• Aktiver Mixed Content: Skripte, Stylesheets, iframes und andere ausführbare Elemente per HTTP. Browser blockieren diese Ressourcen in der Regel vollständig und zeigen eine Fehlermeldung.

Wie Sie Mixed Content finden

Der schnellste Weg führt über die Entwicklertools Ihres Browsers:

1. Öffnen Sie Ihre Website und drücken Sie F12 (oder Rechtsklick → „Untersuchen”).
2. Wechseln Sie zum Reiter „Konsole”.
3. Alle Mixed-Content-Warnungen erscheinen dort mit der betroffenen URL in gelb oder rot. Notieren Sie sich die Pfade.

Alternativ können Sie kostenlose Online-Tools wie „Why No Padlock?” (whynopadlock.com) nutzen – dort geben Sie Ihre URL ein und erhalten eine Liste aller unsicheren Ressourcen.

Wie Sie Mixed Content beheben

Für WordPress-Seiten gibt es mehrere Wege, je nach Ursache:

Interne Bilder und Medien: Öffnen Sie in WordPress unter Einstellungen → Medien die Medienbibliothek und prüfen Sie, ob Bilder mit http:// referenziert werden. Ein SQL-Update in der Datenbank oder das Plugin „Better Search Replace” können alle http://ihre-domain.de-Vorkommen in der Datenbank auf https://ihre-domain.de ändern.

Eingebettete externe Ressourcen: Bei eingebetteten YouTube-Videos, Google Maps oder Social-Media-Widgets überprüfen Sie, ob der Einbettungscode http:// verwendet. Ersetzen Sie es manuell durch https:// – die meisten modernen Dienste unterstützen HTTPS-Einbettungen.

Themes und Plugins: Manchmal laden veraltete Themes oder Plugins statische Ressourcen per HTTP. Aktualisieren Sie zunächst alle Plugins und das Theme. Falls das Problem bestehen bleibt, wenden Sie sich an den Plugin-Entwickler oder wechseln Sie zu einer gepflegten Alternative.

Weiterleitungen einrichten: HTTP → HTTPS

Selbst wenn SSL korrekt installiert ist und Mixed Content bereinigt wurde, bleibt ein wichtiger Schritt: Sie müssen sicherstellen, dass alle Besucher, die Ihre Seite über http:// aufrufen, automatisch und dauerhaft auf https:// weitergeleitet werden. Dasselbe gilt für Suchmaschinen-Crawler.

Die korrekte Methode ist eine 301-Weiterleitung – das Signal an Browser und Suchmaschinen, dass sich die Seite dauerhaft unter der neuen Adresse befindet. Eine 302-Weiterleitung (temporär) würde dazu führen, dass Google das Ranking der ursprünglichen HTTP-Seite nicht auf die HTTPS-Version überträgt.

301-Weiterleitung per .htaccess (Apache-Server)

Auf den meisten klassischen Shared-Hosting-Paketen läuft ein Apache-Webserver. Die Weiterleitung erfolgt über die .htaccess-Datei im Stammverzeichnis Ihrer Website. Öffnen Sie die Datei per FTP oder dem Dateimanager im Hosting-Panel und fügen Sie folgende Zeilen am Anfang der Datei ein:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Diese drei Zeilen bewirken: Wenn eine Anfrage ohne HTTPS eingeht, wird sie dauerhaft (301) auf die identische URL mit HTTPS weitergeleitet.

WordPress-Adresse aktualisieren und Sitemap erneuern

Nach der Weiterleitung müssen Sie Google über die Änderung informieren:

1. Google Search Console: Falls Sie Ihre Website dort bereits eingetragen haben, legen Sie eine neue Property für die HTTPS-Version Ihrer Domain an. Reichen Sie die aktualisierte Sitemap unter der neuen Property ein.

2. Sitemap aktualisieren: Prüfen Sie, ob Ihre Sitemap ausschließlich HTTPS-URLs enthält. WordPress-Plugins wie Yoast SEO oder Rank Math generieren die Sitemap automatisch auf Basis der in den Einstellungen hinterlegten Website-URL – sobald diese auf HTTPS umgestellt wurde, passt sich die Sitemap entsprechend an.

3. Interne Links prüfen: Durchsuchen Sie Ihre Website nach internen Links, die noch auf http://-Adressen zeigen. Das Plugin „Broken Link Checker” oder das bereits erwähnte „Better Search Replace” helfen dabei.

Häufige Fehler und Problemlösungen

Auch mit der besten Vorbereitung können nach der HTTPS-Umstellung Probleme auftreten. Die folgenden Fehler begegnen Website-Betreibern am häufigsten.

Abgelaufenes Zertifikat

Symptom: Browser zeigen eine Fehlermeldung wie „Die Verbindung ist nicht sicher” oder „Ihr Zertifikat ist abgelaufen”, obwohl das Zertifikat früher funktioniert hat.

Ursache: Let’s Encrypt-Zertifikate laufen nach 90 Tagen ab. Normalerweise erneuert der Hosting-Anbieter sie automatisch. Schlägt die automatische Verlängerung fehl, erscheint die Fehlermeldung.

Lösung: Melden Sie sich im Hosting-Panel an und lösen Sie die Verlängerung manuell aus. Prüfen Sie danach, ob die automatische Verlängerung aktiviert ist. Einige Anbieter senden vor Ablauf eine E-Mail-Warnung – tragen Sie dafür eine aktiv überwachte Adresse ein.

Redirect-Schleife (Too Many Redirects)

Symptom: Browser zeigen „ERR_TOO_MANY_REDIRECTS” oder eine ähnliche Fehlermeldung. Die Seite lädt sich permanent selbst weiter.

Ursache: Häufig entsteht das Problem, wenn sowohl die .htaccess-Datei als auch ein Plugin (wie Really Simple SSL) gleichzeitig Weiterleitungen definieren. Die Weiterleitungsregeln widersprechen sich.

Lösung: Deaktivieren Sie vorübergehend alle SSL-Plugins und prüfen Sie, ob die .htaccess-Datei doppelte oder widersprüchliche Regeln enthält. Behalten Sie nur eine Weiterleitungsquelle bei – entweder .htaccess oder das Plugin, nicht beides.

Mixed Content bleibt bestehen

Symptom: Das Schloss-Symbol bleibt nach allen Korrekturen ausgegraut oder zeigt weiterhin eine Warnung.

Ursache: Einzelne HTTP-Ressourcen wurden bei der Bereinigung übersehen – oft eingebettete Widgets, Schriftarten von externen Servern oder Ressourcen, die per JavaScript dynamisch nachgeladen werden.

Lösung: Öffnen Sie die Browser-Konsole erneut und prüfen Sie die verbleibenden Warnungen. Dynamisch geladene Inhalte sind in der Konsole oft leichter zu identifizieren als im Quellcode der Seite. Suchen Sie gezielt nach dem angezeigten Pfad im Code Ihres Themes oder der betroffenen Plugins.

HTTP-Version taucht weiter in den Google-Suchergebnissen auf

Symptom: Google zeigt in den Suchergebnissen noch die alten http://-URLs, obwohl die Weiterleitung bereits aktiv ist.

Ursache: Google muss die neuen HTTPS-Seiten erst neu crawlen und indexieren. Das kann mehrere Wochen dauern.

Lösung: Reichen Sie die HTTPS-Sitemap in der Google Search Console ein und beantragen Sie für die wichtigsten Seiten über das URL-Prüftool eine erneute Indexierung. Beschleunigen lässt sich dieser Prozess durch interne Verlinkungen: Stellen Sie sicher, dass alle internen Links auf die HTTPS-Versionen zeigen.

Fazit

HTTPS ist heute kein optionales Feature mehr, sondern die Mindestanforderung für jede seriöse Website. Browser-Warnungen, DSGVO-Anforderungen und der Einfluss auf das Google-Ranking machen die Umstellung zu einer der wichtigsten technischen Maßnahmen, die Sie für Ihre Website treffen können.

Die gute Nachricht: Für Baukasten-Nutzer ist die Arbeit bereits erledigt. Wix, IONOS, Jimdo, Squarespace und alle anderen etablierten Anbieter aktivieren SSL automatisch. Überprüfen Sie lediglich, dass das Schloss-Symbol in der Adressleiste erscheint – und bei Problemen hilft der Support des Anbieters schnell weiter.

Für selbst gehostete WordPress-Seiten ist der Aufwand überschaubar: Let’s Encrypt über das Hosting-Panel aktivieren, die WordPress-URLs anpassen, eine 301-Weiterleitung einrichten und Mixed Content bereinigen. Mit Really Simple SSL lässt sich ein Großteil davon automatisieren.

Die wichtigsten Schritte im Überblick:

1. SSL-Zertifikat über Hosting-Panel oder Let’s Encrypt aktivieren
2. WordPress-URLs auf HTTPS umstellen (Einstellungen → Allgemein)
3. 301-Weiterleitung von HTTP auf HTTPS in der .htaccess einrichten
4. Mixed Content per Browser-Konsole identifizieren und bereinigen
5. Google Search Console mit HTTPS-Property aktualisieren und Sitemap einreichen

Wer diese Schritte systematisch abarbeitet, hat eine saubere, vollständig verschlüsselte Website – ohne Sicherheitswarnungen, ohne Ranking-Nachteile und DSGVO-konform für Formulare und Nutzerinteraktionen.

Noch auf der Suche nach dem richtigen Baukasten für Ihre Website? Auf unserer Vergleichsseite finden Sie alle Anbieter mit Testergebnissen, Preisen und konkreten Empfehlungen für Ihren Anwendungsfall.