SSL-Zertifikat überwachen — Ablauf erkennen und Ausfälle verhindern (2026)

Was passiert, wenn ein SSL-Zertifikat abläuft?

Ein abgelaufenes SSL-Zertifikat ist einer der peinlichsten — und vermeidbarsten — Gründe für Website-Ausfälle. Sobald ein Zertifikat abläuft, sehen Besucher Ihrer Website eine vollseitige Browser-Warnung:

"Ihre Verbindung ist nicht privat. Angreifer könnten versuchen, Ihre Daten von [ihreseite.de] zu stehlen."

Die meisten Nutzer schließen den Tab sofort. Suchmaschinen wie Google senken das Ranking von Seiten mit ungültigen Zertifikaten oder entfernen sie aus dem Index. API-Clients erhalten TLS-Fehler und funktionieren nicht mehr. Der Umsatz stoppt. Das Vertrauen leidet.

Die schmerzliche Ironie: Das ist zu 100 % vermeidbar. SSL-Zertifikate laufen nicht ohne Vorwarnung ab — sie haben ein festes Ablaufdatum, das Monate im Voraus sichtbar ist. Das Problem ist, dass Teams vergessen, sie zu erneuern.

Wie SSL-Zertifikate funktionieren (kurze Übersicht)

SSL/TLS-Zertifikate sind digitale Berechtigungsnachweise, die von Zertifizierungsstellen (CAs) ausgestellt werden und:

1. Die Identität Ihrer Website bestätigen
2. Den Datenverkehr zwischen Browser und Server verschlüsseln (HTTPS)
3. Das Vertrauenszeichen im Browser aktivieren (Schloss-Symbol)

Gültigkeitsdauern:

• Standard-Zertifikate (DV, OV, EV): Maximal 398 Tage — soll 2026 auf 90 Tage reduziert werden
• Let's Encrypt (kostenlos): 90 Tage Gültigkeit, normalerweise alle 60 Tage automatisch erneuert per certbot
• Wildcard-Zertifikate: Decken alle Subdomains ab, gleiche Gültigkeitsdauern

Warum Zertifikate trotzdem noch ablaufen

Obwohl Auto-Renewal weit verbreitet ist, laufen Zertifikate immer noch ab. Häufige Ursachen:

• Auto-Renewal schlägt lautlos fehl: certbot lief, aber die DNS-Validierung schlug fehl oder der Server war falsch konfiguriert — niemand bemerkte es bis zum Ablauf
• Manuelle Erneuerungsprozesse: Teams, die Zertifikate manuell erneuern, vergessen es — besonders wenn das ursprüngliche Teammitglied die Firma verlassen hat
• Über Registrare gekaufte Zertifikate: Erneuerungserinnerungen gehen an eine alte E-Mail-Adresse oder landen im Spam
• Wildcard-Zertifikate auf vielen Subdomains: Wenn eines abläuft, fallen alle Subdomains gleichzeitig aus
• Drittanbieter-Dienste: CDNs, Load Balancer oder Reverse Proxies, die eigene Zertifikate verwalten und Sie nicht bei Ablauf benachrichtigen

SSL-Ablaufdatum prüfen

Methode 1: Browser

1. Besuchen Sie Ihre Website in Chrome oder Firefox
2. Klicken Sie auf das Schloss-Symbol in der Adressleiste
3. Klicken Sie auf "Verbindung ist sicher" → "Zertifikat ist gültig"
4. Das Ablaufdatum steht unter "Gültig bis"

Methode 2: OpenSSL-Befehlszeile

echo | openssl s_client -servername ihreseite.de -connect ihreseite.de:443 2>/dev/null | openssl x509 -noout -dates

Gibt notBefore und notAfter-Daten direkt aus dem Zertifikat aus.

Methode 3: AlertSleep SSL-Checker

Verwenden Sie unseren kostenlosen SSL-Zertifikat-Checker — geben Sie Ihre Domain ein und sehen Sie sofort Ablaufdatum, Aussteller und verbleibende Tage.

Automatisches SSL-Monitoring einrichten

Manuelle Überprüfungen sind unzuverlässig — der Sinn der Sache ist, das zu automatisieren, sodass Sie automatisch gewarnt werden, bevor Zertifikate ablaufen. So richten Sie automatisches SSL-Monitoring in AlertSleep ein:

1. Monitor hinzufügen für Ihre Domain in AlertSleep
2. SSL-Monitoring ist standardmäßig aktiviert — AlertSleep prüft bei jeder Überprüfung das Ablaufdatum
3. Alert-Schwellenwerte konfigurieren: AlertSleep warnt Sie standardmäßig 30, 14 und 7 Tage vor Ablauf
4. Alert-Kanäle einstellen: E-Mail für die 30-Tage-Warnung, SMS für die 7-Tage-Warnung

AlertSleep überwacht bei jeder Prüfung folgende SSL-Attribute:

• Zertifikats-Ablaufdatum und verbleibende Tage
• Gültigkeit der Zertifikatskette (Zwischenzertifikate)
• Hostname-Übereinstimmung des Zertifikats
• TLS-Version (Warnung bei veralteten TLS 1.0/1.1)

Was tun, wenn das Zertifikat bald abläuft?

Für Let's Encrypt (Auto-Renewal)

1. Per SSH auf den Server und ausführen: certbot renew --dry-run
2. Bei Fehler prüfen: DNS-Konfiguration, Webroot-Pfad, Firewall-Regeln (Port 80 muss für HTTP-01-Challenge erreichbar sein)
3. Problem beheben, dann: certbot renew
4. Neues Ablaufdatum prüfen: certbot certificates

Für kostenpflichtige Zertifikate vom CA/Registrar

1. In das CA/Registrar-Konto einloggen und das Zertifikat erneuern
2. Neuen CSR generieren falls erforderlich
3. Neues Zertifikat auf dem Server installieren
4. Testen mit: openssl s_client -connect ihreseite.de:443

SSL-Monitoring für mehrere Domains

Wenn Sie mehrere Domains oder Subdomains verwalten, ist manuelle SSL-Überprüfung unpraktisch. AlertSleep überwacht SSL-Zertifikate für alle Ihre Domains in einem Dashboard — mit individuellen Ablauf-Alerts pro Domain, damit Sie bei einem Portfolio von Websites keine Erneuerung verpassen.

Der kostenlose Plan enthält SSL-Monitoring für alle 5 Monitore. Bezahlte Pläne ermöglichen die Überwachung von 20–100 Domains mit 1-Minuten-Prüfintervallen und SMS-Alerts bei kritischen Ablaufwarnungen.

SSL-Monitoring kostenlos starten — keine Kreditkarte erforderlich. Oder verwenden Sie jetzt unseren kostenlosen SSL-Zertifikat-Checker für eine einmalige Prüfung.