Es gibt 2026 mehrere Moglichkeiten, ein kostenloses SSL-Zertifikat zu erhalten. Aber “kostenlos” bedeutet nicht, dass alle gleich sind — sie unterscheiden sich darin, wie viele Zertifikate Sie erhalten konnen, ob Ihr privater Schlussel privat bleibt, in der Wildcard-Unterstutzung und was passiert, wenn Sie den Anbieter verlassen mochten.
Dies ist der Vergleich, den keine andere Website anbietet: Wir analysieren, wo Ihr privater Schlussel erzeugt wird — denn wenn der Anbieter Ihren Schlussel hat, ist Ihre Verschlusselung an der Quelle kompromittiert.
Schnellvergleich: alle Anbieter auf einen Blick
| Anbieter | Typ | Gultigkeit | Wildcard (kostenlos) | Konto erforderlich | Privater Schlussel | Kostenloses Limit | Auto-Erneuerung |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | Eigenstandige CA | 90 Tage | ✅ DNS-01 | Nein | ✅ Lokal | Unbegrenzt | Uber ACME-Client |
| ZeroSSL | Eigenstandige CA | 90 Tage | ❌ Nur kostenpflichtig | ⚠️ Kommt darauf an | 3 Zertifikate | Uber ACME | |
| Buypass Go | Eigenstandige CA | 180 Tage | ❌ | Nein | ✅ Lokal | Unbegrenzt | Uber ACME |
| Google Trust Services | Eigenstandige CA | 90 Tage | ✅ DNS-01 | Google Cloud | ✅ Lokal | Unbegrenzt | Uber ACME |
| Cloudflare | CDN-Proxy | Automatisch | ✅ | ❌ Cloudflare halt ihn | Unbegrenzt | Automatisch | |
| SSL For Free | Web-Tool | 90 Tage | ❌ | ⚠️ Serverseitig erzeugt | 3 Zertifikate | Nein | |
| Hosting-Anbieter | Gebundelt | 90+ Tage | Variiert | Hosting-Konto | ✅ Auf Ihrem Server | Unbegrenzt | Meist automatisch |
| AWS ACM | Cloud-Dienst | Automatisch | ✅ | AWS-Konto | ❌ AWS halt ihn | Unbegrenzt | Automatisch |
Eigenstandige Zertifizierungsstellen
Diese CAs stellen Zertifikate aus, die Sie herunterladen und besitzen. Sie konnen sie uberall installieren — auf jedem Server, jeder Plattform, bei jedem Anbieter.
Let’s Encrypt — Der Industriestandard
Let’s Encrypt ist eine gemeinnuitzige CA, die von der Internet Security Research Group (ISRG) betrieben wird. Sie dominiert den Markt mit 63,9 % globalem CA-Anteil und uber 300 Millionen aktiven Zertifikaten.
Warum sie die Standardwahl ist:
- Wirklich unbegrenzt — keine Limits im kostenlosen Tarif, keine Upsells, keine kostenpflichtigen Plane
- Wildcard-Zertifikate — uber DNS-01 Challenge, kostenlos
- Riesiges Okosystem — 50+ ACME-Clients: GetHTTPS (Browser), Certbot (CLI), acme.sh (Shell), Caddy (integriert) und viele mehr
- Kein Konto erforderlich — ACME-Kontenschlussel werden lokal erzeugt, keine E-Mail-Registrierung
- Certificate Transparency — alle ausgestellten Zertifikate werden offentlich protokolliert fur Nachvollziehbarkeit
- Unterstutzt von Mozilla, Google, EFF, Meta, Cisco und anderen
Einschrankungen:
- 90 Tage Gultigkeit (erfordert Erneuerungsplanung — Anleitung)
- Nur DV — kein OV oder EV (brauchen Sie diese?)
- Rate Limits: 50 Zertifikate pro registrierter Domain pro Woche (grosszugig fur jede legitime Nutzung)
- Kein dedizierter Support — nur Community-Forum
Wie Sie ein Let’s Encrypt-Zertifikat erhalten:
| Tool | Typ | Am besten fur |
|---|---|---|
| GetHTTPS | Browser | Keine Installation, Schlussel bleibt im Browser |
| Certbot | CLI | Auto-Erneuerung auf Linux-Servern |
| acme.sh | Shell-Skript | Ohne Root, 150+ DNS-Plugins |
| Caddy | Webserver | HTTPS ohne Konfiguration |
ZeroSSL — Kostenloses Angebot mit Einschrankungen
ZeroSSL ist eine kommerzielle CA, die von Sectigo unterstutzt wird. Sie bietet ein kostenloses Angebot neben kostenpflichtigen Planen ($10-100/Monat).
Vorteile gegenuber Let’s Encrypt:
- Web-Dashboard zur Zertifikatsverwaltung
- REST API fur programmatische Ausstellung
- E-Mail-Validierung (kein Serverzugriff erforderlich)
- 1-Jahres-Zertifikate in kostenpflichtigen Planen
Die Haken:
- Kostenloser Tarif: nur 3 Zertifikate — danach benotigen Sie einen kostenpflichtigen Plan
- Wildcard: nur kostenpflichtig — Let’s Encrypt bietet Wildcards kostenlos an
- Bedenken zum privaten Schlussel: Bei Nutzung des Web-Dashboards wird der Schlussel moglicherweise auf dem ZeroSSL-Server erzeugt, nicht in Ihrem Browser. Die Nutzung ihres ACME-Endpunkts mit einem lokalen Client halt den Schlussel lokal.
- Im Besitz von Sectigo — eine kommerzielle CA mit kommerziellen Interessen
Fazit: ZeroSSL ist fur 1-3 Websites in Ordnung, wenn Sie ein Dashboard wollen. Fur alles daruber hinaus hat Let’s Encrypt keine Limits. Detaillierter Vergleich →
Buypass Go SSL — Langere Gultigkeit, weniger Funktionen
Buypass ist eine norwegische CA, die kostenlose DV-Zertifikate mit 180 Tagen Gultigkeit anbietet — doppelt so lang wie Let’s Encrypt.
Vorteile:
- 180 Tage Gultigkeit = weniger Erneuerungen
- ACME-Protokoll-Unterstutzung (funktioniert mit Certbot, acme.sh)
- Kein Konto erforderlich
- Europaische CA (relevant fur DSGVO-bewusste Organisationen)
- Unbegrenzte kostenlose Zertifikate
Einschrankungen:
- Keine Wildcard-Unterstutzung — Ausschlusskriterium, wenn Sie
*.example.combenotigen - Kleinere Community — weniger Dokumentation, weniger getestete Integrationen
- Geringerer Bekanntheitsgrad
Am besten fur: Einfache Websites, die langere Gultigkeit ohne Wildcards wunschen.
Google Trust Services — Googles eigene CA
Google Trust Services stellt kostenlose DV-Zertifikate uber ACME aus, unterstutzt durch Googles Infrastruktur.
Vorteile:
- Wildcard-Unterstutzung uber DNS-01
- Google-Grade Zuverlassigkeit
- ACME-kompatibel (Certbot, acme.sh)
Einschrankungen:
- Erfordert ein Google Cloud-Konto fur den ACME-Endpunkt
- Weniger Community-Dokumentation als Let’s Encrypt
- 90 Tage Gultigkeit
- Google Cloud-Abhangigkeit
Am besten fur: Teams, die bereits auf Google Cloud sind und ein einheitliches Okosystem wunschen.
CDN- und Cloud-verwaltetes SSL
Diese Anbieter verwalten Zertifikate fur Sie — aber Sie besitzen sie nicht.
Cloudflare — Kostenloses SSL als Teil des CDN
Cloudflare bietet “Universal SSL” in seinem kostenlosen Plan. Aber dies unterscheidet sich grundlegend von einem herunterladbaren Zertifikat.
Wie Cloudflare SSL tatsachlich funktioniert:
Besucher ──HTTPS──→ Cloudflare Edge ──???──→ Ihr Origin-Server
(Cloudflares Zertifikat) (moglicherweise unverschlusselt!)
Die verschlusselte Verbindung Ihrer Besucher endet bei Cloudflare, nicht bei Ihrem Server. Cloudflare entschlusselt den Datenverkehr, verarbeitet ihn (Caching, WAF usw.) und stellt dann eine separate Verbindung zu Ihrem Origin her.
Das Problem: Im “Flexible”-Modus (der Standard fur viele) ist die Verbindung Cloudflare→Origin unverschlusseltes HTTP. Ihre Besucher sehen ein Schloss, aber der Backend-Verkehr ist unverschlusselt. Verwenden Sie immer den “Full (Strict)“-Modus mit einem echten Zertifikat auf Ihrem Origin.
Was Sie nicht bekommen:
- Eine Zertifikatsdatei zum Herunterladen
- Einen privaten Schlussel, den Sie kontrollieren
- Ein Zertifikat, das ohne Cloudflare funktioniert
- Datenschutz vor Cloudflare (sie sehen den gesamten Verkehr im Klartext)
- Nutzung fur Nicht-Web-Dienste (E-Mail, APIs nicht hinter Cloudflare)
Was Sie bekommen:
- Null Zertifikatsverwaltung
- Automatische Erneuerung
- DDoS-Schutz, CDN und andere Cloudflare-Funktionen
- Wildcard-Abdeckung
Am besten fur: Websites, die bereits auf Cloudflare sind und das Proxy-Modell akzeptieren. Kein Ersatz fur ein echtes Zertifikat, wenn Sie Ende-zu-Ende-Verschlusselung oder Portabilitat wunschen. Vollstandiger Vergleich →
AWS Certificate Manager (ACM) — Nur fur AWS-Dienste
ACM stellt kostenlose Zertifikate fur AWS Load Balancer (ALB/NLB), CloudFront und API Gateway bereit.
Wichtige Einschrankung: Sie konnen den privaten Schlussel nicht herunterladen. ACM-Zertifikate funktionieren nur mit AWS-verwalteten Diensten — nicht direkt auf EC2 oder einem Nicht-AWS-Server. Vollstandige AWS SSL-Anleitung →
Webbasierte Tools (Vorsicht geboten)
SSL For Free — Komfort mit Datenschutzkosten
SSL For Free war ein einfaches Web-Tool zum Erhalten von Let’s Encrypt-Zertifikaten. Es gehort jetzt ZeroSSL/Sectigo und leitet zu ZeroSSL weiter.
⚠️ Kritisches Datenschutzproblem: Die Web-Oberflache von SSL For Free erzeugte Ihren privaten Schlussel auf deren Server und sendete ihn an Sie. Das bedeutet, sie hatten Zugriff auf Ihren privaten Schlussel — das einzige, was geheim bleiben sollte. Falls ihre Systeme jemals kompromittiert wurden, konnten alle jemals erzeugten Schlussel gefahrdet sein.
Dies ist der Kernunterschied zwischen SSL For Free und GetHTTPS: GetHTTPS erzeugt den Schlussel in Ihrem Browser mit der Web Crypto API. Der Schlussel existiert nur im Browser-Speicher, bis Sie ihn herunterladen. Kein Server sieht ihn jemals. Detaillierter Vergleich →
Hosting-Anbieter mit integriertem SSL
Die meisten modernen Hosting-Anbieter bieten kostenloses SSL — meist Let’s Encrypt uber AutoSSL oder ihre eigene Integration:
| Host | Kostenloses SSL | Wildcard | Auto-Erneuerung | Wie aktivieren |
|---|---|---|---|---|
| Hostinger | ✅ Let’s Encrypt | ✅ | ✅ | hPanel → Sicherheit → SSL |
| SiteGround | ✅ Let’s Encrypt | ✅ | ✅ | Site Tools → Sicherheit → SSL |
| Bluehost | ✅ Let’s Encrypt | ❌ | ✅ | My Sites → Security |
| Namecheap | ✅ AutoSSL | ❌ | ✅ | cPanel → SSL/TLS Status |
| A2 Hosting | ✅ Let’s Encrypt | ✅ | ✅ | cPanel → SSL/TLS |
| DreamHost | ✅ Let’s Encrypt | ✅ | ✅ | Panel → Secure Hosting |
| DigitalOcean | ❌ | — | — | Verwenden Sie GetHTTPS oder Certbot |
| Hetzner | ❌ | — | — | Verwenden Sie GetHTTPS oder Certbot |
| Vultr | ❌ | — | — | Verwenden Sie GetHTTPS oder Certbot |
Wenn Ihr Host kostenloses SSL enthalt — nutzen Sie es. Es ist der Weg des geringsten Widerstands.
Wenn Ihr Host es nicht enthalt (DigitalOcean, Hetzner, Vultr, Linode oder jeder VPS) — verwenden Sie GetHTTPS fur ein schnelles Zertifikat oder Certbot fur die automatische Erneuerung.
Die Datenschutzdimension: Wo ist Ihr privater Schlussel?
Dies ist der Vergleich, den kein anderer “beste kostenlose SSL”-Artikel anstellt — und es ist die wichtigste Sicherheitsfrage:
| Anbieter | Wo wird der private Schlussel erzeugt? | Wer hat Zugriff? | Risikoniveau |
|---|---|---|---|
| GetHTTPS | Ihr Browser (Web Crypto API) | Nur Sie | ✅ Niedrigstes |
| Certbot / acme.sh | Ihr Server (OpenSSL) | Sie + jeder mit Root | ✅ Normal |
| Let’s Encrypt (jeder Client) | Hangt vom Client ab — siehe oben | Hangt vom Client ab | Variiert |
| ZeroSSL (ACME-Client) | Ihr Server | Sie + Root | ✅ Normal |
| ZeroSSL (Web-Dashboard) | ZeroSSLs Server | ZeroSSL + Sie | ⚠️ Hoher |
| SSL For Free (Web) | Deren Server | SSLForFree + Sie | ⚠️ Hoher |
| Cloudflare | Cloudflares Infrastruktur | Cloudflare | ⚠️ Sie haben ihn nicht |
| AWS ACM | AWS-Infrastruktur | AWS | ⚠️ Sie haben ihn nicht |
| Hosting AutoSSL | Ihr Hosting-Server | Host + Sie | ✅ Normal |
Warum das wichtig ist: Ihr privater Schlussel ist das Fundament der Sicherheit Ihres Zertifikats. Wenn jemand anderes ihn hat, kann er Ihre Website imitieren. Die meisten “kostenlose SSL-Anbieter”-Vergleiche ignorieren dies vollstandig.
Entscheidungsmatrix
| Ihre Situation | Empfohlen | Warum |
|---|---|---|
| Die meisten Websites | Let’s Encrypt uber GetHTTPS | Keine Limits, bester Datenschutz, funktioniert uberall |
| Auto-Erneuerung benotigt | Let’s Encrypt uber Certbot | Einmal einrichten, fur immer vergessen |
| Shared Hosting mit cPanel | AutoSSL Ihres Hosts | Bereits vorhanden, null Aufwand |
| Bereits auf Cloudflare | Cloudflare + Origin-Zertifikat von GetHTTPS | CDN-Vorteile + echte Origin-Verschlusselung |
| Bereits auf AWS | ACM fur ALB/CloudFront + GetHTTPS fur EC2 | ACM ist kostenlos und erneuert sich automatisch |
| Langere Gultigkeit gewunscht | Buypass Go uber Certbot | 180 Tage vs 90 |
| 1-3 schnelle Zertifikate mit Dashboard benotigt | ZeroSSL | Web-UI, E-Mail-Validierung |
| Datenschutzsensibel | Let’s Encrypt uber GetHTTPS | Schlussel verlasst nie Ihren Browser |
| Google Cloud-Nutzer | Google Trust Services | Native Integration |
Unsere Empfehlung
Fur die meisten Websites: Let’s Encrypt ist der klare Gewinner.
- 63,9 % globaler Marktanteil — der bewiesene Standard
- Keine Limits, keine Upsells, keine Bedingungen
- Riesiges Tool-Okosystem
Verwenden Sie GetHTTPS als Ihren Client, wenn Sie wollen:
- Keine Installation (nur Browser)
- Privater Schlussel wird lokal in Ihrem Browser erzeugt
- Direkte Verbindung zu Let’s Encrypt, kein Vermittler
- Vorab-Verifizierung vor der Challenge-Ubermittlung
Vermeiden Sie Tools, die Ihren privaten Schlussel auf deren Server erzeugen. Wenn der Tool-Anbieter Ihren Schlussel hat, ist die Verschlusselung an der Wurzel gebrochen.
Haufig gestellte Fragen
Sind kostenlose SSL-Zertifikate genauso sicher wie kostenpflichtige?
Ja. Alle SSL-Zertifikate — kostenlos oder kostenpflichtig — verwenden dieselbe TLS-Verschlusselung. Ein kostenloses DV-Zertifikat von Let’s Encrypt bietet identische Verschlusselungsstarke wie ein $500 EV-Zertifikat. Der Unterschied liegt in der Identitatsvalidierungsstufe (DV/OV/EV), nicht in der Verschlusselung. Vollstandiger Vergleich →
Warum beschranken einige Anbieter kostenlose Zertifikate auf 3?
Geschaftsmodell. Kommerzielle CAs (ZeroSSL/Sectigo) nutzen den kostenlosen Tarif als Marketing-Trichter fur kostenpflichtige Plane. Let’s Encrypt hat als gemeinnutzige Organisation keinen Anreiz, die Ausstellung zu begrenzen.
Ist Cloudflare SSL ein “echtes” Zertifikat?
Cloudflare stellt ein echtes Zertifikat fur Ihre Domain aus — aber es befindet sich auf Cloudflares Servern, nicht auf Ihren. Ihre Besucher erhalten verschlusselte Verbindungen zu Cloudflare, aber die Verbindung zwischen Cloudflare und Ihrem Origin ist separat (und kann im “Flexible”-Modus unverschlusselt sein). Sie besitzen oder kontrollieren das Zertifikat nicht. Details →
Was passiert, wenn die Gultigkeit 2029 auf 47 Tage sinkt?
Das CA/Browser Forum hat beschlossen, die maximale Gultigkeit auf 47 Tage zu reduzieren. Dies betrifft alle Anbieter gleichermassen. Automatische Erneuerung (Certbot, acme.sh, Hosting AutoSSL) wird unverzichtbar. Fur manuelle Workflows (GetHTTPS) wurden Sie etwa alle 30 Tage erneuern.
Kann ich mehrere Anbieter gleichzeitig nutzen?
Ja. Sie konnten Let’s Encrypt fur Ihre Hauptseite, Cloudflare fur eine CDN-gesicherte Eigenschaft und ACM fur einen AWS Load Balancer verwenden. Zertifikate von verschiedenen CAs stehen nicht in Konflikt.
Welcher kostenlose Anbieter ist am besten fur WordPress?
Das integrierte SSL Ihres Hosting-Anbieters ist am einfachsten. Wenn Ihr Host es nicht enthalt, verwenden Sie GetHTTPS, um ein Let’s Encrypt-Zertifikat zu erhalten, und installieren Sie es uber cPanel. Vollstandige WordPress SSL-Anleitung →
Wie wechsle ich den Anbieter?
Erzeugen Sie ein neues Zertifikat vom neuen Anbieter und ersetzen Sie die Dateien auf Ihrem Server. Keine Migration, keine Koordination mit dem alten Anbieter. Zertifikate sind unabhangig — eines durch ein anderes zu ersetzen bedeutet einfach Dateien auszutauschen.
Ist Let’s Encrypt zuverlassig genug fur den Produktionseinsatz?
Ja. Let’s Encrypt bedient 63,9 % des Marktes und wird von einer gut finanzierten gemeinnutzigen Organisation (ISRG) mit Sponsoren wie Google, Mozilla, Meta und Cisco unterstutzt. Grosse Unternehmen, Regierungen und Millionen von Produktionsseiten verlassen sich darauf. Es ist finanziell stabiler als viele kommerzielle CAs.