Let’s Encrypt-Zertifikate bieten dieselbe Verschlusselungsstarke wie Zertifikate, die $100-$500 pro Jahr kosten. Die Verschlusselungsalgorithmen, Schlussellangen und TLS-Protokolle sind identisch. Ein Besucher Ihrer Website kann keinen Sicherheitsunterschied feststellen.
Warum gibt es also kostenpflichtige Zertifikate? Und brauchen Sie eines?
Kurzantwort: Die meisten Websites nicht. Der Rest dieses Artikels erklart die tatsachlichen Unterschiede — nicht das Marketing.
Schnellvergleich
| Aspekt | Let’s Encrypt (kostenlos) | Kostenpflichtiges SSL (kommerzielle CA) |
|---|---|---|
| Verschlusselungsstarke | Gleich (TLS 1.2/1.3, AES-256) | Gleich |
| Schlusseltypen | RSA 2048/4096, ECDSA P-256/P-384 | Gleich |
| Validierungsstufe | Nur DV | DV, OV, EV |
| Zertifikatsgultigkeit | 90 Tage | 1 Jahr (wird auf 47 Tage bis 2029 reduziert) |
| Wildcard | ✅ (kostenlos) | ✅ |
| Multi-Domain (SAN) | ✅ (bis zu 100 Namen) | ✅ |
| Garantie | Keine | $10K — $1,75M |
| Technischer Support | Community-Forum | Dedizierter Support |
| Browser-Vertrauen | Alle grossen Browser | Alle grossen Browser |
| Gruner Balken / Firmenname | Nein (DV) | Nein — 2019 aus Browsern entfernt |
| Website-Siegel | Nein | Ja (Marketing-Badge) |
| Kosten pro Domain/Jahr | $0 | $50 — $500+ |
Die Verschlusselung ist identisch
Dies ist der wichtigste Punkt und derjenige, den kommerzielle CAs in ihrem Marketing verschleiern: Die Verschlusselung ist dieselbe.
Ein Let’s Encrypt DV-Zertifikat und ein $500 DigiCert EV-Zertifikat:
- Verwenden dieselben TLS 1.2/1.3-Protokolle
- Handeln dieselben Cipher Suites aus (AES-256-GCM, ChaCha20-Poly1305)
- Verwenden dieselben Schlusselaustausch-Mechanismen (ECDHE)
- Bieten dieselbe Forward Secrecy
- Sind von allen Browsern und Betriebssystemen gleichermassen vertrauenswurdig
Keine kommerzielle CA verwendet “bessere Verschlusselung”. Die Standards werden durch die TLS-Spezifikation definiert, nicht durch die CA. Mehr zu zahlen bringt Ihnen Validierung und Services — nie starkere Verschlusselung.
Wofur Sie tatsachlich bezahlen
1. Validierungsstufe (DV vs OV vs EV)
Der einzige substanzielle technische Unterschied:
| Stufe | Was die CA verifiziert | Wie lange | Browseranzeige (2026) |
|---|---|---|---|
| DV | Sie kontrollieren die Domain | Minuten (automatisiert) | Schloss |
| OV | Domain + Organisation existiert | 1-3 Tage | Schloss (wie DV) |
| EV | Domain + grundliche Org-Prufung | 1-2 Wochen | Schloss (wie DV) |
Alle drei zeigen dasselbe Schloss in jedem grossen Browser. Es gibt keinen visuellen Unterschied.
Detaillierte Aufschlusselung von DV, OV und EV →
2. Der grune Balken ist weg
Kommerzielle CAs vermarkten EV-Zertifikate immer noch als “den grunen Adressbalken mit Ihrem Firmennamen”. Das ist veraltet.
Zeitlinie der Entfernung des grunen Balkens:
- Chrome 69 (September 2018): Entfernung des grunen “Sicher”-Labels
- Chrome 77 (September 2019): Entfernung des EV-Organisationsnamens aus der Adressleiste
- Firefox 70 (Oktober 2019): Entfernung des EV-Indikators
- Safari (2020): Entfernung der EV-Unterscheidung
- Edge: Folgt Chrome
2026 zeigt kein grosser Browser irgendeinen visuellen Unterschied zwischen DV-, OV- und EV-Zertifikaten. Benutzer konnen Organisationsdetails noch einsehen, indem sie auf Schloss → Zertifikat klicken, aber fast niemand tut das.
Dies eliminiert das primare Marketingargument fur EV-Zertifikate.
3. Garantie
Kostenpflichtige Zertifikate enthalten eine “Garantie” — typischerweise $10K bis $1,75M. Aber lesen Sie das Kleingedruckte:
- Sie deckt CA-Fehlausstellung ab — wenn die CA ein Zertifikat an jemanden ausstellt, der die Domain nicht kontrolliert, und ein Besucher als direkte Folge einen finanziellen Verlust erleidet
- Sie deckt NICHT ab, wenn Ihre Website gehackt wird
- Sie deckt NICHT Datenschutzverletzungen ab
- Sie deckt NICHT Phishing-Angriffe ab
- Anspruche erfordern den Nachweis, dass die CA einen Fehler in ihrem Validierungsprozess gemacht hat
Keine bedeutende Garantieauszahlung wurde jemals offentlich dokumentiert. Die Garantie ist ein Marketing-Instrument, kein bedeutsamer Sicherheitsvorteil.
4. Technischer Support
Let’s Encrypt: Community-Forum (letsencrypt.org/community). Kein Telefon, keine E-Mail, kein Ticketsystem.
Kommerzielle CAs: E-Mail, Telefon und Chat-Support mit SLAs fur Enterprise-Plane.
Wann das wichtig ist: Grosse Unternehmen mit Compliance-Anforderungen, die “Herstellersupport” fur alle Infrastrukturkomponenten vorschreiben. Wenn Ihre Beschaffungscheckliste einen Posten “Supportvertrag” hat, brauchen Sie eine kostenpflichtige CA.
Wann das nicht wichtig ist: Fur die meisten Teams, die einer Anleitung folgen und Fehlermeldungen googeln konnen.
5. Website-Siegel
Einige kostenpflichtige CAs stellen ein “Vertrauenssiegel” bereit — ein Badge, das Sie auf Ihrer Website anzeigen konnen. Studien aus den fruhen 2010er Jahren zeigten, dass diese die Konversionsraten steigerten.
Die Realitat 2026: Die meisten Benutzer erkennen CA-Logos nicht. Das Schloss-Symbol (das alle Zertifikate erhalten) ist der universelle Vertrauensindikator. Keine kontrollierte Studie hat gezeigt, dass ein DigiCert- oder Sectigo-Siegel das Schloss allein auf modernen Websites ubertrifft.
Wann Let’s Encrypt ausreicht (90%+ der Websites)
Let’s Encrypt DV-Zertifikate sind ausreichend fur:
- Personliche Websites und Blogs — DV bietet volle Verschlusselung
- SaaS-Anwendungen — Google, Facebook und zahllose SaaS-Unternehmen verwenden DV-Zertifikate
- APIs und Microservices — kein nutzergerichtetes Vertrauensproblem
- E-Commerce — PCI DSS erfordert Verschlusselung, nicht OV/EV. Stripe, PayPal und Zahlungsdienstleister handhaben die sensiblen Kartendaten ohnehin.
- Startups und kleine Unternehmen — sparen Sie $50-500/Jahr pro Domain
- Interne Tools — keine externen Vertrauensanforderungen
- Staging/Entwicklung — kein Grund, fur Testumgebungen zu bezahlen
Wann Sie tatsachlich kostenpflichtiges SSL brauchen
Sie sollten ein kostenpflichtiges Zertifikat nur in Betracht ziehen, wenn einer dieser Punkte zutrifft:
1. Compliance oder Beschaffung erfordert OV/EV
Einige Enterprise-Kaufer, Regierungsbehorden oder branchenspezifische Compliance-Frameworks erfordern OV- oder EV-Zertifikate. Dies ist ein Beschaffungshaken — keine Sicherheitsanforderung. Prufen Sie die tatsachliche Vorschrift, bevor Sie dies annehmen.
2. Ihr Auditor verlangt Organisationsidentitat im Zertifikat
Einige Sicherheitsaudits oder SOC 2-Kontrollen spezifizieren, dass Zertifikate eine Organisationsidentitat enthalten mussen. OV/EV-Zertifikate betten den offiziellen Namen Ihrer Organisation in die Zertifikatsmetadaten ein. (Die meisten Auditoren akzeptieren allerdings DV mit entsprechender Begrundung.)
3. Versicherungsanforderungen
In seltenen Fallen kann Ihre Cyber-Versicherungspolice auf Zertifikatsgarantien verweisen. Prufen Sie dies mit Ihrem Versicherer.
Die 47-Tage-Gultigkeitsanderung
Das CA/Browser Forum hat beschlossen, die maximale Zertifikatsgultigkeit bis 2029 auf 47 Tage zu reduzieren:
| Datum | Max. Gultigkeit |
|---|---|
| Vor Marz 2026 | 398 Tage (1 Jahr) |
| Marz 2026 | 200 Tage |
| Marz 2027 | 100 Tage |
| Marz 2029 | 47 Tage |
Dies eliminiert den letzten praktischen Vorteil kostenpflichtiger Zertifikate: langere Gultigkeit. Bis 2029 mussen sowohl kostenpflichtige als auch kostenlose Zertifikate monatlich erneuert werden. Das “einrichten und vergessen”-Wertversprechen von 1-Jahres-Zertifikaten wird verschwinden.
Kostenanalyse
| Szenario | Let’s Encrypt | Kostenpflichtig (DigiCert DV) | Kostenpflichtig (Sectigo OV) | Ersparnis |
|---|---|---|---|---|
| 1 Domain, 1 Jahr | $0 | $268 | $88 | $88-268 |
| 5 Domains, 1 Jahr | $0 | $1.340 | $440 | $440-1.340 |
| Wildcard, 1 Jahr | $0 | $528 | $245 | $245-528 |
| 10 Domains, 5 Jahre | $0 | $13.400 | $4.400 | $4.400-13.400 |
Fur ein Unternehmen mit 10 Domains uber 5 Jahre: $4.400 bis $13.400 gespart bei identischer Verschlusselung.
Das Fazit
| Ihre Situation | Empfehlung |
|---|---|
| Personliche Website, Blog, Portfolio | Let’s Encrypt — kein Grund zu bezahlen |
| Startup, kleines Unternehmen | Let’s Encrypt — geben Sie die $200/Jahr fur etwas Nutzliches aus |
| SaaS, API, E-Commerce | Let’s Encrypt — DV ist ausreichend, PCI DSS stimmt zu |
| Enterprise mit OV/EV-Beschaffungshaken | Kostenpflichtig — aber nur wegen des Hakens |
| Regulierte Branche, die OV/EV per Vorschrift verlangt | Kostenpflichtig — verifizieren Sie zuerst die tatsachliche Vorschrift |
| Alle anderen | Let’s Encrypt |
Holen Sie Ihr kostenloses Zertifikat jetzt: GetHTTPS — 5 Minuten, keine Installation, privater Schlussel bleibt in Ihrem Browser.
Haufig gestellte Fragen
Wird Google meine Website mit einem kostenlosen SSL-Zertifikat schlechter ranken?
Nein. Google hat bestatigt, dass der Typ des SSL-Zertifikats (DV, OV, EV) das Suchranking nicht beeinflusst. Jedes gultige HTTPS-Zertifikat liefert dasselbe SEO-Signal.
Ist ein kostenloses Zertifikat sicher fur E-Commerce?
Ja. PCI DSS (der Zahlungskartenindustrie-Standard) erfordert verschlusselte Verbindungen, spezifiziert aber keine Validierungsstufe. DV-Zertifikate erfullen die PCI-Anforderungen. Ihr Zahlungsdienstleister (Stripe, PayPal, Square) handhabt die sensibelsten Teile der Zahlungssicherheit — nicht Ihr Zertifikat.
Vertrauen Kunden kostenlosem SSL weniger?
Kunden sehen dasselbe Schloss-Symbol unabhangig vom Zertifikatstyp. Seit 2019 zeigt kein grosser Browser irgendeinen visuellen Unterschied zwischen DV, OV und EV. Der grune Adressbalken ist weg. Benutzer vertrauen dem Schloss — nicht der Marke der CA.
Was passiert, wenn Let’s Encrypt abgeschaltet wird?
Let’s Encrypt wird von der Internet Security Research Group (ISRG) betrieben, unterstutzt von Mozilla, Google, EFF, Meta, Cisco und anderen. Es ist die grosste CA der Welt (63,9 % Marktanteil). Obwohl theoretisch jede Organisation schliessen kann, ist die ISRG finanziell stabiler als viele kommerzielle CAs.
Kann ich spater von Let’s Encrypt auf kostenpflichtig upgraden?
Ja. Kaufen Sie ein kostenpflichtiges Zertifikat und ersetzen Sie die Dateien auf Ihrem Server. Keine Migration, keine Ausfallzeit wenn es vor Ablauf des alten Zertifikats geschieht. Dem Server ist egal, welche CA das Zertifikat ausgestellt hat.
Warum sagen kommerzielle CAs, dass kostenlose Zertifikate weniger sicher sind?
Weil sie kostenpflichtige Zertifikate verkaufen. Die Verschlusselung ist identisch — dies wird durch den TLS-Standard definiert, nicht durch die CA. Kommerzielle CAs konnen keine “bessere Verschlusselung” anbieten, weil die Spezifikation dies nicht zulasst. Sie differenzieren sich uber Validierungsstufe, Garantie und Support — nichts davon beeinflusst die Verschlusselungsstarke.