SSL-Zertifikat abgelaufen?
Besucher bekommen die rote Browser-Warnung "Ihre Verbindung ist nicht privat"? Ihr Online-Shop verliert Bestellungen, weil Kunden die Seite verlassen? Wir reparieren abgelaufene Zertifikate, kaputte Let's-Encrypt-Renewals und fehlerhafte HTTPS-Konfigurationen in der Regel innerhalb 30 bis 60 Minuten.
- Let's-Encrypt-Renewal-Diagnose und Reparatur
- ACME-Challenge debuggen, DNS- und HTTP-Validierung
- Auto-Renewal-Setup mit Monitoring
- ssllabs.com A+ Konfiguration als Standard
Die häufigsten Ursachen
Sechs Probleme, die in 95 Prozent der Fälle hinter abgelaufenen Zertifikaten stecken.
Let's-Encrypt-Renewal fehlgeschlagen
Das automatische Renewal von Let's Encrypt soll alle 60 Tage laufen. Wenn der certbot-Timer abgeschaltet wurde oder die ACME-Challenge fehlschlägt, läuft das Zertifikat nach 90 Tagen ab. Symptom: ssllabs zeigt das Ablaufdatum in der Vergangenheit.
Cron-Job tot
Klassischer Fehler bei selbst-gehosteten Servern: certbot wurde mal manuell installiert, der Cron-Job aber nie aktiviert oder vom Admin abgeschaltet. Folge: das initiale Zertifikat funktioniert 90 Tage, dann gar nicht mehr. Wir aktivieren systemd-timer oder cron.daily korrekt.
ACME-Challenge blockiert
Die Validierung läuft über /.well-known/acme-challenge/. Wenn der Webserver diesen Pfad blockiert (Firewall, .htaccess, fehlende Konfiguration), schlägt das Renewal fehl. Häufig nach Apache- oder Nginx-Konfigurationsänderungen. Wir prüfen das mit certbot --dry-run.
Provider-Wechsel ohne Re-Issue
Nach Migration zu neuem Hoster ist das Zertifikat noch beim alten Provider, der Server liefert ein altes oder gar kein Zertifikat aus. Lösung: neues Zertifikat beim neuen Provider ausstellen lassen, was bei Hostpoint, Infomaniak und cyon meist auf Knopfdruck geht.
DNS-Verifizierung fehlt
Wildcard-Zertifikate (*.ihrefirma.ch) erfordern DNS-01-Challenge statt HTTP-01. Wenn die API-Credentials zum DNS-Provider ungültig sind oder fehlen, schlägt das Renewal fehl. Wir richten das mit acme.sh oder certbot-dns-plugins korrekt ein.
Kommerzielles Zertifikat abgelaufen
Bei Sectigo, DigiCert oder GoDaddy-Zertifikaten gibt es kein Auto-Renewal, Sie müssen manuell verlängern. Vergessen ist die häufigste Ursache. Wir empfehlen die Migration auf Let's Encrypt mit Auto-Renewal, das spart Geld und ist technisch gleichwertig.
Selbst-Diagnose in 5 Minuten
Diese Tests können Sie selbst durchführen, bevor Sie uns kontaktieren.
ssllabs.com Test
Auf ssllabs.com/ssltest Ihre Domain eingeben. Der Test dauert 1 bis 2 Minuten und gibt eine Note von A+ bis F. Bei abgelaufenem Zertifikat zeigt der Test direkt das Ablaufdatum und meist eine F-Bewertung. Auch Konfigurations-Schwächen sind sichtbar.
Browser-Details prüfen
Bei der Browser-Warnung auf Erweitert klicken. Chrome und Firefox zeigen den genauen Fehler: NET::ERR_CERT_DATE_INVALID (abgelaufen), SEC_ERROR_OCSP_INVALID_SIGNING_CERT (Zertifikatskette kaputt), ERR_CERT_AUTHORITY_INVALID (selbst signiert oder unbekannte CA).
Hosting-Panel prüfen
Bei Hostpoint, Infomaniak und cyon im Control Panel den SSL-Bereich öffnen. Dort sehen Sie das aktuelle Zertifikat mit Ablaufdatum und Renewal-Status. Bei automatischen Renewals sollte das Datum in der Zukunft liegen, sonst ist das Renewal kaputt.
Server-Logs prüfen
Auf eigenem Server: /var/log/letsencrypt/letsencrypt.log enthält die Renewal-Versuche mit Fehlermeldungen. Suche nach "failed" oder "error". Die Fehlermeldung zeigt meist klar, ob es ein DNS-, Webserver- oder API-Problem ist.
DNS und Domain prüfen
Wenn das Zertifikat für ihrefirma.ch ausgestellt war, die Domain aber jetzt auf neue.ihrefirma.ch zeigt, gibt es einen Mismatch. Auch CAA-Records (Certificate Authority Authorization) in der DNS-Zone prüfen, die können Let's Encrypt aktiv blockieren.
So helfen wir
Strukturierte Diagnose und Fix mit klarem Festpreis. Meist innerhalb 30 bis 60 Minuten erledigt.
Diagnose (CHF 130)
Innerhalb weniger Stunden: ssllabs-Test, Zertifikats-Kette, Renewal-Status, DNS-CAA und Konfigurations-Bericht mit Massnahmen-Plan. Bei Beauftragung der Reparatur kostenlos angerechnet.
Standard-Fix CHF 170 bis 340
Let's-Encrypt-Renewal reparieren, certbot-Timer aktivieren, ACME-Challenge debuggen, neues Zertifikat ausstellen und installieren. Anschliessend Auto-Renewal mit Monitoring-Hook eingerichtet.
Komplexer Fix
Wildcard-Zertifikate mit DNS-Challenge, Multi-Domain-Setups, Cloudflare-Origin-Zertifikate, Migration von kommerziell zu Let's Encrypt, Reverse-Proxy- und Load-Balancer-Konfiguration. Aufwand-basiert, Richtwert CHF 340 bis 680.
SSL-Probleme bei Schweizer Hostern
Hostpoint: Bietet Let's-Encrypt-Zertifikate kostenlos mit Auto-Renewal direkt im Control Panel. Probleme treten meist bei eigenen Subdomains auf, die nach Aktivierung manuell ein Zertifikat angefordert haben müssen. Wir aktivieren das und prüfen die DNS-Konfiguration. Bei E-Mail-Subdomains (mail.ihrefirma.ch) muss zusätzlich der MX-Record stimmen.
Infomaniak: Let's Encrypt ist Standard, Auto-Renewal funktioniert in 99 Prozent der Fälle ohne Eingriff. Wenn ein Renewal fehlschlägt, sehen Sie das im Manager unter Sicherheit. Meist liegt es an einer DNS-Zone, die nicht mehr bei Infomaniak verwaltet wird. Lösung: DNS-Zone zurückholen oder CAA-Records bei externem DNS-Provider setzen.
cyon: Hat ein eigenes Cert-Manager-System mit automatischem Let's Encrypt. Bei eigenen Domains, die per CNAME auf cyon zeigen, gibt es gelegentlich Validierungs-Probleme. Wir lösen das mit korrekten CNAME-Targets oder Aliases für die Validierung. Bei Premium-Kunden auch kommerzielle Zertifikate möglich.
Eigener Server (Hetzner, Exoscale, AWS): Hier müssen Sie certbot oder acme.sh selbst betreiben. Wir richten systemd-timer ein, fügen Monitoring per Healthcheck.io hinzu und konfigurieren Nginx oder Apache so, dass Zero-Downtime-Reload nach Renewal funktioniert. Für Production-Setups empfehlen wir zusätzlich ein Backup-Zertifikat in der Schublade.
Verwandte Themen
DNS, Hosting und Sicherheits-Themen, die mit SSL zusammenhängen.
Bereit für ein sauberes SSL-Setup?
Schicken Sie uns Ihre Domain. Erstdiagnose pauschal CHF 130, bei Beauftragung der Reparatur kostenlos angerechnet. Standard-Fixes meist innerhalb 30 bis 60 Minuten erledigt.
SSL-Fix anfordernHäufige Fragen zu SSL-Problemen
Warum ist mein SSL-Zertifikat abgelaufen?
Meist Let's-Encrypt-Renewal fehlgeschlagen (Cron-Job tot, ACME-Challenge blockiert), Provider-Wechsel ohne Re-Issue, manuell gekauftes Zertifikat ohne Erinnerung verlängert, oder DNS-Verifizierung schlägt fehl.
Was bedeutet NET::ERR_CERT_DATE_INVALID?
Zwei Ursachen: SSL-Zertifikat ist abgelaufen (häufigster Fall) oder Client-Uhrzeit ist falsch. Bei mehreren Besuchern mit normaler Uhrzeit immer Variante eins. Serverseitig zu beheben.
Wie repariere ich ein Let's-Encrypt-Zertifikat?
certbot renew als root oder via systemd-timer. Bei Fehler certbot certificates ausführen und Fehlermeldung lesen. Häufig HTTP-Challenge blockiert oder DNS-API-Credentials ungültig. Wir beheben das remote in 30-60 Minuten.
Welche Tools nutzt ihr zur SSL-Diagnose?
Extern: ssllabs.com/ssltest, crt.sh für Certificate Transparency. Server: openssl s_client, certbot logs, Nginx/Apache Error Logs. Bei Cloudflare zusätzlich Origin-Zertifikate separat prüfen.
Wie lange ist ein SSL-Zertifikat gültig?
Let's Encrypt 90 Tage (Renewal alle 60 Tage). Kommerziell meist 1 Jahr, max. 13 Monate seit Sep 2020. Apple plant ab 2027 maximal 45 Tage, weshalb Auto-Renewal alternativlos wird.
Soll ich Let's Encrypt oder ein bezahltes Zertifikat nutzen?
Für 95 Prozent der Fälle ist Let's Encrypt ausreichend und technisch gleichwertig. Bezahlte EV-Zertifikate lohnen nur in Sonderfällen (Auditor-Bericht, explizite Garantien). Browser zeigen EV seit 2019 nicht mehr besonders an.
Was kostet die SSL-Reparatur?
Diagnose CHF 130. Standard-Fix CHF 170-340. Komplexe Fälle (Wildcard, Multi-Domain, Cloudflare-Origin) CHF 340-680. Monitoring im Wartungsabo ab CHF 30 monatlich.
Kontakt aufnehmen
Lass uns etwas
Grossartiges bauen.
Ob neue App, Web-Plattform oder Rebranding, wir sind bereit für die nächste Herausforderung. Erzähl uns von deiner Vision.