Sie besuchen die Website eines Handwerkers, um eine Offerte anzufragen. Bevor Sie das Formular ausfüllen, fällt Ihr Blick auf die Adresszeile des Browsers: Kein Schloss-Symbol, stattdessen der Hinweis "Nicht sicher". Sie schliessen das Tab und suchen weiter.
Genau das passiert täglich auf tausenden Websites, die noch kein SSL-Zertifikat eingerichtet haben. Die technische Grundlage für dieses Schloss-Symbol ist HTTPS, und dieser Artikel erklärt, was dahintersteckt und warum es für jede professionelle Website heute nicht verhandelbar ist.
Warum HTTPS heute keine Option mehr ist
Google hat 2018 damit begonnen, alle HTTP-Websites in Chrome als "Nicht sicher" zu markieren. Chrome ist mit Abstand der meistgenutzte Browser weltweit und auch in der Schweiz. Wer eine Website ohne SSL betreibt, zeigt jedem Besucher mit Chrome, Firefox oder Safari eine Sicherheitswarnung an.
Das hat zwei direkte Konsequenzen:
Erstens verlassen viele Besucher die Website sofort. Wer ein Formular ausfüllen soll und gleichzeitig "Nicht sicher" liest, vertraut dem Anbieter weniger. Das ist besonders problematisch bei Kontaktformularen, Buchungssystemen oder Onlineshops.
Zweitens bewertet Google HTTPS als Rankingfaktor. Websites ohne SSL werden in den Suchergebnissen tendenziell schlechter eingestuft. Für Schweizer KMU, die auf lokale Suchanfragen angewiesen sind, ist das ein echter Nachteil gegenüber Mitbewerbern mit korrekt eingerichtetem HTTPS.
Was SSL und TLS eigentlich bedeuten
SSL steht für "Secure Sockets Layer", TLS für "Transport Layer Security". TLS ist die modernere und sichere Weiterentwicklung von SSL. In der Praxis wird der Begriff "SSL-Zertifikat" weiterhin für beide verwendet, auch wenn heute technisch TLS zum Einsatz kommt.
Was diese Technologie konkret tut: Sie verschlüsselt die Verbindung zwischen dem Browser des Besuchers und dem Webserver. Ohne Verschlüsselung werden alle Daten, die zwischen Browser und Server ausgetauscht werden, im Klartext übertragen. Ein Angreifer im selben Netzwerk, zum Beispiel in einem öffentlichen WLAN, kann diese Daten mitlesen. Mit TLS-Verschlüsselung ist das nicht möglich.
Das SSL-Zertifikat hat dabei zwei Aufgaben: Es aktiviert die Verschlüsselung, und es bestätigt die Identität des Servers. Wer "hostbott.ch" aufruft, kann durch das Zertifikat sicherstellen, dass er wirklich mit dem HostBott-Server verbunden ist und nicht mit einer gefälschten Website dazwischen.
Die drei Zertifikatstypen und wann sie relevant sind
Es gibt drei Kategorien von SSL-Zertifikaten, die sich in der Tiefe der Überprüfung unterscheiden.
Domain Validation (DV)
Das DV-Zertifikat bestätigt nur, dass der Antragsteller die Kontrolle über die betreffende Domain hat. Es gibt keinerlei Prüfung des dahinterstehenden Unternehmens. Die Ausstellung erfolgt vollautomatisch, oft in wenigen Minuten.
Let's Encrypt, eine gemeinnützige Zertifizierungsstelle, stellt DV-Zertifikate kostenlos aus. Die meisten seriösen Hosting-Anbieter integrieren Let's Encrypt direkt in ihre Pakete, so dass das Zertifikat automatisch ausgestellt und erneuert wird.
Für wen ein DV-Zertifikat ausreicht: für die grosse Mehrheit der Websites, darunter Unternehmenswebsites, Blogs, Portfolios, Kontaktformulare und kleine Onlineshops. Die Verschlüsselung ist technisch identisch mit teureren Zertifikaten.
Organization Validation (OV)
Das OV-Zertifikat geht einen Schritt weiter: Die Zertifizierungsstelle prüft die Existenz des Unternehmens anhand von Registereintragen oder Dokumenten. Der Besucher kann im Zertifikat den Namen der Organisation einsehen.
OV-Zertifikate kosten zwischen CHF 50 und CHF 200 pro Jahr. Sie werden hauptsächlich von Organisationen eingesetzt, bei denen Glaubwürdigkeit und Nachweisbarkeit eine Rolle spielen, etwa NGOs, Verbände oder grössere Unternehmen.
Extended Validation (EV)
EV-Zertifikate erfordern eine aufwändige Überprüfung des Unternehmens durch die Zertifizierungsstelle. Früher zeigten Browser bei EV-Zertifikaten einen grünen Balken mit dem Firmennamen an. Dieser visuelle Unterschied wurde von den grossen Browsern (Chrome, Firefox) inzwischen entfernt, was den praktischen Vorteil für den Endnutzer erheblich reduziert hat.
EV-Zertifikate werden noch von Banken, grossen Finanzdienstleistern und Behörden eingesetzt, sind aber für die meisten KMU nicht notwendig.
Was passiert, wenn ein SSL-Zertifikat abläuft
SSL-Zertifikate haben eine begrenzte Gültigkeitsdauer. Let's Encrypt-Zertifikate laufen nach 90 Tagen ab, kommerzielle Zertifikate nach einem Jahr. Wenn ein Zertifikat abläuft, zeigt der Browser nicht einfach wieder die alte HTTP-Ansicht, sondern eine explizite Fehlermeldung: "Die Verbindung zu dieser Website ist nicht sicher. Netz-Zertifikat ist abgelaufen."
Besucher können diese Warnung zwar umgehen, aber die meisten tun es nicht. Eine abgelaufene Zertifizierung unterbricht den Betrieb der Website für alle praktischen Zwecke.
Deshalb ist die automatische Erneuerung entscheidend. Ein guter Hosting-Anbieter erneuert das SSL-Zertifikat automatisch, ohne dass Sie manuell eingreifen müssen. Wer sein Zertifikat manuell verwaltet, sollte eine Erinnerung mindestens drei Wochen vor dem Ablaufdatum setzen.
SSL und das Schweizer Datenschutzgesetz
Das revidierte Schweizer Datenschutzgesetz (DSG), in Kraft seit dem 1. September 2023, verlangt "angemessene technische Massnahmen" zum Schutz von Personendaten. Die Übertragung von Personendaten ohne Verschlüsselung gilt nicht als angemessen geschützt.
Konkret bedeutet das: Jedes Kontaktformular, das Namen und E-Mail-Adressen überträgt, muss über eine verschlüsselte Verbindung laufen. Ein Kontaktformular auf einer HTTP-Website, die keine SSL-Verschlüsselung hat, überträgt diese Personendaten im Klartext. Das ist nach DSG problematisch und kann im Fall einer Datenpanne als unzureichende Schutzmassnahme gewertet werden.
Für Schweizer KMU ist SSL damit nicht nur eine technische Empfehlung, sondern Teil der gesetzlichen Anforderungen an den Betrieb einer Website mit Personendaten.
So prüfen Sie Ihre aktuelle Situation
Eine kurze Checkliste, die in wenigen Minuten durchgegangen werden kann:
Ist HTTPS aktiv? Öffnen Sie Ihre Website im Browser. Wird ein Schloss-Symbol in der Adresszeile angezeigt? Wenn ja, ist HTTPS aktiv. Wenn stattdessen "Nicht sicher" erscheint, fehlt ein gültiges SSL-Zertifikat.
Läuft die automatische Erneuerung? Fragen Sie Ihren Hosting-Anbieter oder prüfen Sie im Hosting-Control-Panel, ob das Zertifikat automatisch erneuert wird. Das Ablaufdatum des Zertifikats können Sie auch über den Browser einsehen: Klicken Sie auf das Schloss-Symbol und dann auf "Zertifikat anzeigen".
Ist die HTTP-zu-HTTPS-Weiterleitung aktiv? Geben Sie Ihre Domain mit "http://" statt "https://" in die Adresszeile ein. Sie sollten automatisch auf die HTTPS-Version weitergeleitet werden. Passiert das nicht, gibt es eine Lücke: Wer Ihre Website mit http:// aufruft, landet auf einer unverschlüsselten Seite, auch wenn HTTPS technisch eingerichtet ist.
Gibt es Mixed Content? Eine Website kann HTTPS aktiv haben, aber trotzdem unsichere Elemente laden, zum Beispiel Bilder oder Skripte über HTTP. Browser zeigen in diesem Fall kein Schloss-Symbol oder ein Warnsymbol. Das "Why No Padlock"-Tool (whynopadlock.com) analysiert Ihre Website auf solche Mixed-Content-Probleme kostenlos.
Zusammenfassung: Was Sie als nächstes tun sollten
Wenn Ihre Website noch kein SSL-Zertifikat hat, ist der erste Schritt, Ihren Hosting-Anbieter zu kontaktieren. Bei seriösen Anbietern ist Let's Encrypt inklusive und lässt sich mit wenigen Klicks aktivieren. Wenn Ihr Anbieter kein kostenloses SSL anbietet, ist das ein ernstes Qualitätsmerkmal.
Wenn SSL bereits aktiv ist, lohnt sich die Kontrolle der drei Punkte oben: automatische Erneuerung, HTTP-zu-HTTPS-Weiterleitung und Mixed Content. Diese Punkte werden oft einmalig eingerichtet, aber nicht regelmässig überprüft.
Eine Website ohne HTTPS zu betreiben ist heute nicht mehr zu rechtfertigen. Die Technologie ist kostenlos verfügbar, die Einrichtung dauert Minuten, und der Schaden durch fehlende Verschlüsselung ist real: verlorene Besucher, schlechteres Ranking und potenzielle DSG-Risiken.