Warum überhaupt SSL?
Ohne SSL (HTTPS) markieren Browser deine Seite als „nicht sicher". Außerdem werden alle Daten — inklusive Login-Cookies und Formulareingaben — im Klartext über das Internet geschickt. Suchmaschinen ranken HTTP-Seiten schlechter, und manche Browser-APIs (z.B. Geolocation, Service Worker) funktionieren nur über HTTPS.
Let's Encrypt vs. gekauftes Zertifikat
- Let's Encrypt: kostenlos, automatisierbar, 90 Tage Laufzeit, DV-Zertifikate (Domain-Validated). Für 95% aller Use-Cases ausreichend.
- Gekaufte Zertifikate (DigiCert, Sectigo, GlobalSign): oft 1 Jahr Laufzeit, OV (Organization) oder EV (Extended Validation). Sinnvoll, wenn du Vertrauenssiegel für Banking oder hochpreisige Online-Shops brauchst.
Browser-mäßig ist der Sicherheits-Effekt identisch — kein technischer Vorteil bei gekauften Zertifikaten.
Let's Encrypt mit Certbot (Nginx)
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d deine-domain.de -d www.deine-domain.deCertbot konfiguriert Nginx automatisch und richtet Auto-Renewal als Systemd-Timer ein. Manuelle Aktion nicht mehr nötig.
Caddy — HTTPS ohne Konfiguration
Caddy ist ein Webserver, der HTTPS standardmäßig aktiviert. Eine minimale Caddyfile:
deine-domain.de {
reverse_proxy localhost:3000
}Caddy holt das Let's-Encrypt-Zertifikat automatisch, erneuert es im Hintergrund. Beim Nytrix-No-IP-vServer läuft Caddy bereits vorgeschaltet — du musst nichts einrichten.
Wildcard-Zertifikate
Ein Wildcard-Zertifikat (*.deine-domain.de) deckt alle Subdomains gleichzeitig ab. Let's Encrypt unterstützt das, aber nur über die DNS-01-Challenge — du brauchst API-Zugriff auf deine DNS-Zone.
sudo certbot certonly --manual --preferred-challenges dns -d "*.deine-domain.de" -d deine-domain.deAuto-Renewal testen
Certbot installiert einen Timer, der täglich prüft, ob Zertifikate erneuert werden müssen. Den manuellen Trockenlauf machst du mit:
sudo certbot renew --dry-runHäufige Probleme
- „Failed challenge": Port 80 muss erreichbar sein (HTTP-01-Challenge). Firewall öffnen.
- Rate Limits: Let's Encrypt erlaubt 50 Zertifikate pro Woche pro Domain. Bei Tests immer Staging-Server nutzen.
- Mixed Content: nach Umstellung von HTTP auf HTTPS müssen alle internen Links angepasst werden, sonst meckert der Browser.