SSL-Zertifikate haben eine begrenzte Gültigkeitsdauer. Let's Encrypt-Zertifikate (die häufigste kostenlose Option) laufen nach 90 Tagen ab. Kommerzielle Zertifikate von Anbietern wie DigiCert oder Sectigo sind bis zu 1 Jahr gültig. Ist ein Zertifikat abgelaufen, zeigt der Browser eine Sicherheitswarnung und Besucher verlassen die Seite sofort. Prüfe regelmäßig dein Zertifikat mit unserem SSL-Check.
Let's Encrypt empfiehlt die Erneuerung alle 60 Tage (30 Tage vor Ablauf). Mit Certbot lässt sich das vollständig automatisieren. Certbot ist ein kostenloses Tool das die Erneuerung selbstständig durchführt.
Installation und Einrichtung unter Ubuntu/Debian:
Der letzte Befehl testet die automatische Erneuerung. Certbot richtet dabei einen Cronjob ein der zweimal täglich prüft ob eine Erneuerung nötig ist.
Falls die automatische Erneuerung nicht funktioniert, kann man manuell erneuern:
Bei kommerziellen Zertifikaten (DigiCert, Sectigo, Comodo usw.) läuft die Erneuerung über den Anbieter:
1. CSR erstellen – ein Certificate Signing Request enthält deine Domain-Informationen und den öffentlichen Schlüssel. Erstellen mit: openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr
2. CSR beim Anbieter einreichen – im Kundenportal des Zertifikat-Anbieters.
3. Domain-Validierung – per E-Mail, DNS-Eintrag oder Datei-Upload.
4. Zertifikat installieren – die heruntergeladenen Dateien (.crt, .ca-bundle) auf dem Server hinterlegen.
Viele Webhoster bieten die Zertifikatsverwaltung über cPanel an: cPanel → SSL/TLS → Zertifikate verwalten → Erneuern. Bei Hostings mit AutoSSL (Sectigo) erneuert sich das Zertifikat automatisch.
Ist das Zertifikat abgelaufen, sollte man schnell handeln. Bei Let's Encrypt einfach sudo certbot renew --force-renewal ausführen. Bei kommerziellen Anbietern den Erneuerungsprozess sofort starten. In der Zwischenzeit kann man Besucher über HTTP umleiten (HSTS deaktivieren) – aber das ist keine dauerhafte Lösung. Prävention ist besser als Reaktion: Richte Erinnerungen 30 und 7 Tage vor Ablauf ein.