SSL-Zertifikat: Warum eine unverschlüsselte Website Vertrauen, Kunden und Rankings kostet
SSL steht für Secure Sockets Layer und ist ein Verschlüsselungsprotokoll, das die Datenübertragung zwischen dem Browser eines Besuchers und Ihrem Webserver absichert. Erkennbar ist SSL an dem Schloss-Symbol in der Adressleiste des Browsers und an “https://” statt “http://” vor Ihrer Domain. Seit 2014 ist HTTPS ein offizieller Google-Rankingfaktor – und seit 2018 markiert Chrome Websites ohne SSL-Zertifikat aktiv als “Nicht sicher”. Über 95 Prozent aller Websites in den Google-Top-10 nutzen HTTPS.
Für Unternehmen ist ein SSL-Zertifikat keine optionale Zusatzfunktion, sondern absolute Pflicht. Eine Website ohne SSL verliert Vertrauen (Besucher sehen die Warnung “Nicht sicher”), Rankings (Google bevorzugt verschlüsselte Seiten) und ist in vielen Fällen nicht DSGVO-konform (die Datenschutz-Grundverordnung verlangt den Schutz personenbezogener Daten bei der Übertragung). Wer 2026 noch ohne SSL-Zertifikat online ist, verliert aktiv Kunden.
Ihre Website zeigt “Nicht sicher” an? Jetzt handeln – kostenlose Beratung anfordern.
Wie funktioniert SSL technisch?
Wenn ein Besucher Ihre Website aufruft, findet ein sogenannter SSL-Handshake statt. Dabei tauschen Browser und Server einen verschlüsselten Schlüssel aus, mit dem alle nachfolgenden Daten verschlüsselt werden. Kontaktformulare, Login-Daten, persönliche Informationen – alles, was der Besucher eingibt, wird vor dem Zugriff Dritter geschützt. Ohne SSL werden diese Daten im Klartext übertragen und können theoretisch abgefangen werden.
Technisch gesehen ist SSL der Vorgänger von TLS (Transport Layer Security), das die aktuelle und sicherere Version des Protokolls ist. Im allgemeinen Sprachgebrauch wird aber weiterhin “SSL” verwendet, auch wenn moderne Zertifikate auf TLS 1.3 basieren. Für Sie als Website-Betreiber macht der Unterschied in der Praxis keinen Unterschied – wichtig ist, dass ein gültiges Zertifikat installiert und korrekt konfiguriert ist.
Es gibt verschiedene Arten von SSL-Zertifikaten: Domain Validation (DV) bestätigt nur die Inhaberschaft der Domain und reicht für die meisten Unternehmenswebsites aus. Organization Validation (OV) prüft zusätzlich das Unternehmen. Extended Validation (EV) durchläuft die strengste Prüfung und zeigte früher einen grünen Balken im Browser, der heute aber nicht mehr angezeigt wird. Für KMU ist ein DV-Zertifikat, wie es Let’s Encrypt kostenlos anbietet, in der Regel vollkommen ausreichend.
SSL und Google-Rankings
Google hat HTTPS 2014 als Rankingfaktor eingeführt und seitdem den Druck kontinuierlich erhöht. Heute ist SSL kein Wettbewerbsvorteil mehr – es ist die Mindestanforderung. Websites ohne SSL werden von Google aktiv benachteiligt, während HTTPS als einer der OnPage-SEO-Faktoren die Rankings positiv beeinflusst.
Die Auswirkung von SSL auf die Rankings ist als einzelner Faktor moderat – aber in Kombination mit anderen Signalen kann sie den Ausschlag geben. In wettbewerbsintensiven Nischen, wo der Unterschied zwischen Position drei und Position fünf Hunderte von Besuchern pro Monat ausmacht, zählt jeder Faktor. Und SSL ist einer der am einfachsten umzusetzenden.
Darüber hinaus beeinflusst SSL indirekt weitere Ranking-Signale. Besucher, die eine “Nicht sicher”-Warnung sehen, verlassen die Seite sofort – das erhöht die Absprungrate und verringert die Verweildauer. Beide Metriken interpretiert Google als negatives Nutzersignal. Eine verschlüsselte Website vermeidet dieses Problem von vornherein.
SSL und DSGVO: Rechtliche Pflicht für Unternehmen
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, personenbezogene Daten durch “geeignete technische Massnahmen” zu schützen. Sobald Ihre Website ein Kontaktformular, ein Login, ein Buchungssystem oder auch nur ein Newsletter-Anmeldefeld hat, übertragen Besucher personenbezogene Daten. Ohne SSL-Verschlüsselung ist diese Übertragung nicht geschützt – und damit potentiell ein DSGVO-Verstoss.
Abmahnungen wegen fehlender SSL-Verschlüsselung sind in Deutschland keine Theorie. Wettbewerber und Verbraucherschutzverbände können Unternehmen abmahnen, die personenbezogene Daten ohne ausreichende Verschlüsselung übertragen. Die Kosten einer Abmahnung übersteigen die Kosten eines SSL-Zertifikats um ein Vielfaches – selbst wenn das Zertifikat nicht kostenlos wäre.
Ein SSL-Zertifikat allein macht Ihre Website nicht DSGVO-konform. Dazu gehören auch eine rechtskonforme Datenschutzerklärung, ein Cookie-Consent-Banner, Auftragsverarbeitungsverträge mit Drittanbietern und die korrekte Einbindung von Tracking-Tools. SSL ist aber die technische Grundvoraussetzung, ohne die alle anderen DSGVO-Massnahmen unvollständig sind.
Sie möchten eine sichere, DSGVO-konforme Website? Jetzt Beratung anfragen.
SSL-Zertifikat einrichten: So geht es
Die meisten professionellen Hosting-Anbieter bieten kostenlose SSL-Zertifikate über Let’s Encrypt an, die sich automatisch erneuern. Bei der Einrichtung einer neuen WordPress-Website wird SSL typischerweise direkt aktiviert. Wenn Ihre bestehende Website noch auf HTTP läuft, muss die Umstellung sorgfältig geplant werden, um keine SEO-Rankings zu verlieren.
Die Umstellung von HTTP auf HTTPS umfasst mehrere Schritte: SSL-Zertifikat installieren, WordPress-URLs auf HTTPS umstellen, 301-Weiterleitungen von allen HTTP-URLs auf die HTTPS-Varianten einrichten, interne Links aktualisieren und die Google Search Console über die neue URL-Version informieren. Eine fehlerhafte Umstellung – etwa fehlende Weiterleitungen oder Mixed Content (HTTP-Ressourcen auf HTTPS-Seiten) – kann die Rankings temporär verschlechtern.
Professionelle WordPress-Agenturen übernehmen die SSL-Einrichtung und -Umstellung als Teil des Website-Projekts. Das Zertifikat selbst ist bei den meisten Hostern kostenlos, die technische Einrichtung dauert bei einer neuen Website wenige Minuten. Bei einer Umstellung einer bestehenden Website sollten Sie ein bis zwei Stunden einplanen – inklusive Überprüfung aller internen und externen Ressourcen.
Häufige SSL-Fehler
Fehler Nummer eins: SSL einrichten, aber keine Weiterleitungen setzen. Wenn Ihre Website sowohl unter HTTP als auch unter HTTPS erreichbar ist, haben Sie Duplicate Content – und Google weiss nicht, welche Version indexiert werden soll. Richten Sie 301-Redirects ein, die alle HTTP-Anfragen automatisch auf HTTPS weiterleiten.
Fehler Nummer zwei: Mixed Content ignorieren. Mixed Content entsteht, wenn Ihre HTTPS-Seite HTTP-Ressourcen lädt – etwa Bilder, Skripte oder Stylesheets von unsicheren Quellen. Der Browser zeigt dann trotz SSL-Zertifikat keine vollständige Sicherheit an. Prüfen Sie alle eingebundenen Ressourcen und ersetzen Sie HTTP-URLs durch HTTPS.
Fehler Nummer drei: Abgelaufenes Zertifikat. SSL-Zertifikate haben eine begrenzte Laufzeit. Let’s Encrypt-Zertifikate laufen nach 90 Tagen ab und werden normalerweise automatisch erneuert. Wenn die automatische Erneuerung fehlschlägt, zeigt der Browser eine Sicherheitswarnung – und kein vernünftiger Nutzer wird Ihre Website dann noch besuchen. Überwachen Sie die Gültigkeit Ihres Zertifikats.
Fehler Nummer vier: SSL als alleinige Sicherheitsmassnahme betrachten. SSL verschlüsselt die Datenübertragung, schützt aber nicht vor Hackerangriffen auf Ihren Server, vor Malware in Plugins oder vor Brute-Force-Attacken auf Ihr WordPress-Login. SSL ist eine von vielen Sicherheitsmassnahmen – kein Ersatz für ein umfassendes Sicherheitskonzept mit regelmässigen Updates, Backups und Monitoring.
Kostenloser Sicherheits-Check für Ihre Website
Erfahren Sie in 15 Minuten, wie sicher Ihre Website ist – inklusive SSL-Status, Plugin-Sicherheit und konkreter Handlungsempfehlungen.
Was ist SSL? – Zusammenfassung
SSL ist ein Verschlüsselungsprotokoll, das die Datenübertragung zwischen Browser und Server absichert – erkennbar am Schloss-Symbol und HTTPS in der Adressleiste. Es ist ein Google-Rankingfaktor, eine DSGVO-Anforderung und ein grundlegendes Vertrauenssignal für Website-Besucher. Für Unternehmen ist SSL keine Option, sondern Pflicht. Die Einrichtung ist bei den meisten Hostern kostenlos und in wenigen Minuten erledigt – der Schaden einer fehlenden Verschlüsselung ist dagegen erheblich: verlorene Rankings, verlorenes Vertrauen und im schlimmsten Fall eine Abmahnung.
