Seit wann ist HTTPS Pflicht? Was passiert ohne SSL? Und was kostet ein Zertifikat wirklich? Alle Antworten.
HTTPS ist 2026 keine Option mehr — es ist gesetzliche Pflicht. Wer ein Kontaktformular oder einen Newsletter auf seiner Website hat und kein SSL-Zertifikat nutzt, verstößt gegen die DSGVO. Das kann teuer werden: Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.
Chrome und Firefox markieren HTTP-Seiten seit 2018 als 'Nicht sicher'. 85% der Nutzer verlassen eine Website, wenn der Browser diese Warnung zeigt.
Die rechtliche Situation in Deutschland ist eindeutig:
Die DSGVO (Art. 32) verlangt 'geeignete technische und organisatorische Maßnahmen' zum Schutz personenbezogener Daten. Verschlüsselung wird explizit als Beispiel genannt. Sobald deine Website personenbezogene Daten verarbeitet — Kontaktformular, Newsletter-Anmeldung, Login — brauchst du HTTPS.
Das TMG (Telemediengesetz) und der neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) verpflichten Diensteanbieter ebenfalls, den aktuellen Stand der Technik bei der Sicherheit einzuhalten. HTTPS ist 2026 unbestreitbar Stand der Technik.
Auch ohne Kontaktformular empfehlen Datenschutzbehörden HTTPS, da bereits das Erfassen von IP-Adressen durch den Webserver als Verarbeitung personenbezogener Daten gilt.
Selbst wenn die rechtliche Pflicht dich nicht überzeugt — die Browser-Warnungen sollten es. Chrome zeigt bei HTTP-Seiten eine deutliche 'Nicht sicher'-Warnung in der Adressleiste. Firefox macht dasselbe. Safari markiert die Seite als unsicher.
Was passiert wenn ein potenzieller Kunde deine Website öffnet und 'Nicht sicher' sieht? Er geht zum Konkurrenten. Keine Diskussion, kein 'Aber meine Seite ist trotzdem okay'. Die Warnung zerstört Vertrauen sofort.
Für Formulare verschärfen Browser die Warnung noch: Chrome zeigt eine rote Warnung wenn ein Nutzer in ein Eingabefeld auf einer HTTP-Seite klickt. Bei Passwort-Feldern wird die Warnung ganzseitig.
Google nutzt HTTPS seit 2014 als Ranking-Signal. Der direkte Effekt ist moderat — HTTPS allein bringt dich nicht auf Platz 1. Aber bei gleicher Relevanz rankt die HTTPS-Seite höher als die HTTP-Seite.
Wichtiger ist der indirekte Effekt: HTTP-Seiten haben höhere Bounce Rates (wegen der Warnung), niedrigere Verweildauer und weniger Conversions. All das sind negative Nutzersignale, die das Ranking verschlechtern.
Außerdem: HTTP/2 und HTTP/3 — die schnelleren Protokolle — funktionieren nur über HTTPS. Ohne SSL-Zertifikat steckst du auf dem langsamen HTTP/1.1 fest.
Let's Encrypt ist eine kostenlose Certificate Authority (CA), die seit 2015 existiert. Die Zertifikate sind technisch identisch mit kostenpflichtigen Domain-Validated (DV) Zertifikaten. Der einzige Unterschied: Sie laufen nach 90 Tagen ab und müssen erneuert werden — was automatisiert werden sollte und bei jedem guten Hosting auch ist.
Let's Encrypt stellt 2026 über 400 Millionen aktive Zertifikate. Es ist sicher, kostenlos und der Standard. Für ein lokales Unternehmen gibt es keinen Grund, für ein SSL-Zertifikat zu bezahlen.
Du hast HTTPS eingerichtet, aber der Browser zeigt trotzdem Warnungen? Wahrscheinlich Mixed Content. Das passiert wenn deine HTTPS-Seite Ressourcen über HTTP lädt — Bilder, Scripts, Stylesheets, Fonts.
Typische Ursachen:
Die Lösung: Alle internen URLs auf relative Pfade oder HTTPS umstellen. Für externe Ressourcen: Prüfen ob HTTPS verfügbar ist (fast immer ja) und umstellen. In WordPress gibt es Plugins wie 'Better Search Replace' für Massen-Ersetzungen in der Datenbank.
HSTS (HTTP Strict Transport Security) ist ein HTTP-Header, der dem Browser sagt: 'Lade diese Domain immer über HTTPS. Akzeptiere nie HTTP.' Das verhindert Downgrade-Attacken und versehentliche HTTP-Zugriffe.
Der Header sieht so aus: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload. Das bedeutet: Ein Jahr lang nur HTTPS, auch für Subdomains, und bitte in die Browser-Preload-Liste aufnehmen.
Wichtig: Aktiviere HSTS erst wenn du 100% sicher bist, dass HTTPS überall funktioniert. HSTS kann nicht einfach rückgängig gemacht werden — der Browser blockiert HTTP-Zugriffe für die eingestellte Dauer.
HTTPS einzurichten dauert 2026 unter 10 Minuten. Let's Encrypt ist kostenlos, die meisten Hoster bieten One-Click-Einrichtung. Es gibt null Gründe, es nicht zu tun — und erhebliche rechtliche, SEO- und Vertrauens-Risiken, es zu lassen.
Bei 24HWEB ist HTTPS mit Let's Encrypt und HSTS-Header bei jeder Website Standard. Automatische Zertifikatserneuerung inklusive.
Teilen
Gründer & CEO bei 24HWEB. Weil am Rhein / Basel.
Sichere Website ab 449€
HTTPS, HSTS, DSGVO-konform — kostenlose Vorschau in 24h