· Rexoma Team · IT-Sicherheit · 7 min read
HTTPS und TLS für KMU-Server: Zertifikate richtig einrichten und absichern
Abgelaufene Zertifikate, veraltete TLS-Versionen oder fehlendes HSTS – viele KMU-Server haben kritische HTTPS-Lücken. So richten Sie TLS korrekt ein und halten es dauerhaft sicher.
Ein abgelaufenes SSL-Zertifikat reicht aus, um Kunden zu verunsichern und Suchmaschinen abzuschrecken. Doch viele KMU-Server laufen mit veralteten TLS-Versionen, schwachen Cipher-Suites oder ohne automatische Zertifikatserneuerung – und niemand bemerkt es, bis der Browser die rote Warnseite zeigt. Im Juni 2026 wurden in OpenSSL allein 18 Sicherheitslücken auf einmal geschlossen: ein klares Signal, dass TLS-Konfiguration kein einmaliges Setup ist, sondern laufende Wartung braucht.
Warum HTTPS und TLS für KMU unverzichtbar sind
Was TLS eigentlich schützt
TLS (Transport Layer Security) verschlüsselt die Verbindung zwischen Browser und Server. Ohne TLS können Angreifer im gleichen Netzwerk – etwa im Homeoffice-Router, im Café-WLAN oder in einem kompromittierten Unternehmensnetz – den gesamten Datenverkehr mitlesen. Das betrifft Anmeldeformulare, Kundendaten, interne Tools und API-Aufrufe.
HTTPS ist aber mehr als Verschlüsselung: Google bevorzugt HTTPS-Seiten im Ranking, moderne Browser zeigen für reine HTTP-Verbindungen eine Sicherheitswarnung, und die DSGVO verlangt technische Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung. Wer seine Kontaktformulare oder Kundendaten unverschlüsselt überträgt, riskiert nicht nur Datenverlust, sondern auch Bußgelder.
Die aktuelle Bedrohungslage
Veraltete TLS-Implementierungen sind aktiv angegriffene Ziele. TLS 1.0 und 1.1 sind seit 2020 von der IETF offiziell als veraltet eingestuft und können für sogenannte Downgrade-Angriffe missbraucht werden: Ein Angreifer zwingt Client und Server zur Aushandlung einer schwächeren, angreifbaren Verschlüsselung. Schwache Cipher-Suites wie RC4, 3DES oder exportbeschränkte Algorithmen aus den 1990ern tauchen auf manchen KMU-Servern immer noch auf – dort, wo niemand die Konfiguration nach der Ersteinrichtung angefasst hat.
TLS richtig konfigurieren: Die wichtigsten Einstellungen
TLS-Version: Nur 1.2 und 1.3 erlauben
Die erste und wichtigste Maßnahme: ältere Protokollversionen deaktivieren. Für Nginx:
ssl_protocols TLSv1.2 TLSv1.3;Für Apache:
SSLProtocol -all +TLSv1.2 +TLSv1.3TLS 1.3 ist dabei die bevorzugte Version: Der Handshake benötigt weniger Runden (schnellere Verbindungsaufbauzeit), und veraltetes Schlüsselmaterial wird prinzipbedingt ausgeschlossen.
Cipher-Suites: Starke Algorithmen erzwingen
Die Cipher-Suites legen fest, welche Kombination aus Schlüsselaustausch, Authentifizierung und Verschlüsselung verwendet wird. Empfohlene Konfiguration für Nginx:
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;Das ssl_prefer_server_ciphers off ist bei TLS 1.3 korrekt: Der Client-Browser wählt aus den angebotenen Optionen die für ihn beste. Für TLS 1.2 ist es Geschmackssache – wichtig ist vor allem, dass RC4, 3DES, MD5 und NULL-Ciphers nicht in der Liste auftauchen.
HSTS: Browser dauerhaft auf HTTPS zwingen
HTTP Strict Transport Security (HSTS) ist ein Response-Header, der dem Browser mitteilt: Diese Domain ist ausschließlich per HTTPS erreichbar. Der Browser ignoriert dann HTTP-Anfragen und erzwingt HTTPS ohne Umleitung – das schließt auch Angriffe aus, bei denen jemand versucht, die erste HTTP-Anfrage abzufangen.
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;Wichtig: HSTS ist schwer rückgängig zu machen. Der Browser merkt sich den Header für max-age Sekunden. Testen Sie zuerst mit einem kurzen Wert (z. B. max-age=3600), prüfen Sie, dass HTTPS auf allen Subdomains funktioniert, und erhöhen Sie dann auf 31536000 (ein Jahr).
OCSP Stapling: Zertifikatsstatus effizient liefern
OCSP (Online Certificate Status Protocol) prüft, ob ein Zertifikat zurückgerufen wurde. Ohne Stapling fragt der Browser bei der CA nach – das kostet Zeit und verrät dem CA-Betreiber, welche Seiten der Nutzer besucht. Mit OCSP Stapling holt der Server die Statusantwort selbst ab und liefert sie beim TLS-Handshake direkt mit:
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s;
resolver_timeout 5s;Let’s Encrypt: Kostenlose Zertifikate automatisch verwalten
Warum Let’s Encrypt für KMU die richtige Wahl ist
Kostenpflichtige Zertifikate kosten 50 bis 300 Euro pro Jahr und bieten für Standard-HTTPS keinen messbaren Sicherheitsvorteil. Let’s Encrypt wird von allen gängigen Browsern und Betriebssystemen als vertrauenswürdige Certificate Authority anerkannt, ist kostenlos und vollautomatisch erneuerbar. Für ostdeutsche KMU, die IT-Kosten im Blick behalten müssen, ist das ein klarer Vorteil.
Einrichtung mit Certbot auf Ubuntu/Debian
apt install certbot python3-certbot-nginx
certbot --nginx -d ihre-domain.de -d www.ihre-domain.deCertbot passt die Nginx-Konfiguration automatisch an und richtet einen systemd-Timer für die Erneuerung ein. Status prüfen:
systemctl status certbot.timerTrockenlauf der Erneuerung testen:
certbot renew --dry-runWildcard-Zertifikate für mehrere Subdomains
Wer Subdomains wie mail.firma.de, intern.firma.de oder vpn.firma.de betreibt, kann mit einem Wildcard-Zertifikat alle auf einmal absichern:
certbot certonly --manual --preferred-challenges dns -d "*.ihre-domain.de" -d ihre-domain.deDas erfordert einen DNS-TXT-Eintrag zur Validierung. Für automatische Erneuerung bietet Certbot DNS-Plugins für gängige Anbieter (Cloudflare, IONOS, Hetzner) – einmalig konfiguriert, danach vollautomatisch.
Zertifikate überwachen: Ablauf rechtzeitig erkennen
Monitoring-Tools für KMU ohne eigenes SOC
Ein abgelaufenes Zertifikat fällt oft erst durch Kundenbeschwerden auf. Professionelle KMU überwachen den Ablauf proaktiv:
- UptimeRobot (kostenlos): Prüft SSL-Ablauf, sendet E-Mail- oder Slack-Alarm
- Checkmk / Nagios: SSL-Check-Plugin, Alarm X Tage vor Ablauf
- Grafana + Blackbox Exporter: Für Betriebe, die bereits Prometheus einsetzen – TLS-Ablauf als Metrik
Für Unternehmen in Dresden und Sachsen, die ihre Server bei Rexoma IT betreiben lassen, ist automatisches Zertifikats-Monitoring Teil des Standard-Setups. Als Faustregel gilt: Alarm spätestens 30 Tage vor Ablauf.
Manueller Schnelltest
openssl s_client -connect ihre-domain.de:443 -servername ihre-domain.de \
| openssl x509 -noout -datesHäufige Fehler und wie Sie sie vermeiden
Mixed Content: HTTP-Ressourcen auf HTTPS-Seiten
Wenn eine HTTPS-Seite Bilder, Skripte oder Stylesheets per HTTP nachlädt, warnt der Browser mit einem Schlosssymbol mit Ausrufezeichen. Das passiert häufig nach einer Migration von HTTP auf HTTPS, wenn Links im CMS nicht angepasst wurden.
Prüfung: Browser-Entwicklertools (F12 → Console → Mixed Content-Warnungen). Lösung: Alle Medien-URLs auf relative Pfade (/bild.jpg) oder vollständige HTTPS-URLs umstellen.
Fehlende Zertifikatskette
Ein einzelnes Zertifikat reicht nicht – der Browser muss die vollständige Vertrauenskette bis zur Root-CA nachvollziehen können. Let’s Encrypt liefert die Intermediate-Zertifikate automatisch mit. Bei kommerziellen Zertifikaten muss die CA-Bundle-Datei manuell eingebunden werden.
Test:
openssl s_client -connect ihre-domain.de:443 -verify_return_errorEine vollständige Kette endet ohne Fehlermeldung.
Veraltete OpenSSL-Version auf dem Server
Die Sicherheit von TLS hängt auch von der OpenSSL-Version auf dem Server ab. Regelmäßige Updates sind Pflicht:
apt update && apt upgrade openssl
openssl versionAuf Debian/Ubuntu-Systemen werden kritische OpenSSL-Patches in der Regel über den normalen Paketmanager eingespielt – aber nur, wenn unattended-upgrades für Security-Updates konfiguriert ist.
Checkliste: TLS-Audit für KMU-Server
- ☐ TLS 1.0 und 1.1 deaktiviert
- ☐ Nur starke Cipher-Suites aktiv (kein RC4, 3DES, MD5, NULL)
- ☐ HSTS-Header gesetzt (mindestens 1 Jahr,
includeSubDomains) - ☐ Automatische Zertifikatserneuerung aktiv und getestet (
--dry-run) - ☐ Monitoring für Zertifikatsablauf (Alarm 30 Tage vorher)
- ☐ Mixed-Content-Fehler behoben
- ☐ Zertifikatskette vollständig
- ☐ OCSP Stapling aktiviert
- ☐ OpenSSL aktuell (Security-Updates automatisiert)
- ☐ TLS-Konfiguration mit SSL Labs (A-Rating angestrebt)
Der SSL Server Test von Qualys ist der Industriestandard: Er bewertet Protokollversionen, Cipher-Suites, Zertifikatskette und HSTS kostenlos und ohne Registrierung. Ziel ist Note A oder besser.
Unterstützung für KMU in Dresden und Sachsen
TLS-Konfiguration ist kein einmaliges Setup – sie umfasst initiale Härtung, Zertifikatsmanagement, Monitoring, regelmäßige OpenSSL-Updates und wiederkehrende Konfigurationsaudits. Viele ostdeutsche KMU haben nach der Ersteinrichtung niemanden, der diese Aufgaben systematisch erledigt.
Rexoma IT aus Dresden übernimmt für KMU in Sachsen die vollständige Einrichtung und laufende Betreuung: Let’s Encrypt-Automatisierung, TLS-Hardening nach aktuellem Stand, Zertifikats-Monitoring und jährliche Sicherheitsaudits. Wir analysieren Ihre bestehende TLS-Konfiguration und zeigen konkrete Handlungsbedarfe auf. Sprechen Sie uns an – unkompliziert und auf Augenhöhe.
FAQ
Brauche ich für ein internes Firmennetzwerk auch TLS?
Ja. Auch für interne Anwendungen – Intranet, Wiki, Monitoring-Dashboard, Nextcloud – empfiehlt sich TLS. Nutzen Sie dafür entweder eine interne CA (z. B. mit step-ca oder easy-rsa) oder Let’s Encrypt mit DNS-Challenge. Unverschlüsselte interne Kommunikation ist ein unterschätztes Risiko: Ein Angreifer mit Zugang zum internen Netz kann Credentials abgreifen.
Wie lange sind Let’s Encrypt Zertifikate gültig?
90 Tage. Certbot erneuert automatisch 30 Tage vor Ablauf. Das kurze Gültigkeitsfenster ist ein Sicherheitsvorteil: Kompromittierte Zertifikate werden schnell ungültig, ohne dass eine manuelle Sperrung nötig ist.
Was kostet ein kommerzielles SSL-Zertifikat im Vergleich zu Let’s Encrypt?
Kommerzielle Einzelzertifikate kosten 50 bis 300 Euro pro Jahr, Wildcard-Zertifikate mehr. Für Standard-HTTPS und interne Systeme gibt es keinen messbaren Sicherheitsvorteil gegenüber Let’s Encrypt. Extended Validation (EV) Zertifikate mit Unternehmensanzeige werden von modernen Browsern kaum noch anders dargestellt als DV-Zertifikate.
Wie teste ich meine TLS-Konfiguration ohne externe Tools?
# Protokollversion und Zertifikat prüfen
openssl s_client -connect ihre-domain.de:443 -tls1_2
# Ablaufdatum prüfen
echo | openssl s_client -connect ihre-domain.de:443 2>/dev/null | openssl x509 -noout -enddate
# HSTS-Header prüfen
curl -sI https://ihre-domain.de | grep -i strictWas ist der Unterschied zwischen SSL und TLS?
SSL ist veraltet und seit Jahren außer Betrieb. TLS ist der aktuelle Standard – SSLv2 und SSLv3 sind deaktiviert. Der Begriff “SSL-Zertifikat” ist ein historischer Überbleibsel: Gemeint ist heute immer ein TLS-Zertifikat. In Konfigurationsdateien sollten Sie niemals SSLv2 oder SSLv3 aktivieren.
Rexoma IT