Alle Einstiegsanleitungen Erste Schritte

HTTP-01-Challenge: Funktionsweise und Durchführung

HTTP-01 ist der gebräuchlichste ACME-Challenge-Typ für den Erhalt eines SSL-Zertifikats. Die CA verifiziert, dass Sie eine Domain kontrollieren, indem sie eine bestimmte Datei von Ihrem Webserver über HTTP Port 80 abruft. Es ist einfacher als DNS-01, kann aber nicht für Wildcard-Zertifikate verwendet werden.

So funktioniert es

  1. Let’s Encrypt gibt Ihnen einen Token (eine zufällige Zeichenkette)
  2. Sie erstellen eine Datei unter http://ihredomain.com/.well-known/acme-challenge/{token}
  3. Der Dateiinhalt ist die Schlüsselautorisierung — der Token kombiniert mit dem Fingerabdruck Ihres ACME-Kontoschlüssels
  4. Let’s Encrypt ruft diese URL aus dem öffentlichen Internet ab
  5. Wenn der Inhalt übereinstimmt, wird die Challenge bestanden und Ihr Zertifikat ausgestellt

Mit GetHTTPS werden die Schritte 1 und 3 automatisch erledigt — Sie müssen nur die Datei auf Ihrem Server mit den angezeigten Werten ablegen.

So legen Sie die Challenge-Datei ab

Via SSH (Linux/Nginx/Apache)

# Verzeichnis erstellen
mkdir -p /var/www/html/.well-known/acme-challenge/

# Datei mit den exakten Werten von GetHTTPS erstellen
echo "KEY_AUTHORIZATION_FROM_GETHTTPS" > /var/www/html/.well-known/acme-challenge/TOKEN_FROM_GETHTTPS

# Prüfen, ob es erreichbar ist
curl http://yourdomain.com/.well-known/acme-challenge/TOKEN_FROM_GETHTTPS

Via cPanel File Manager

  1. Navigieren Sie zu public_html
  2. Erstellen Sie den Ordner .well-known → darin den Ordner acme-challenge
  3. Erstellen Sie eine neue Datei mit dem Token-Wert als Namen
  4. Fügen Sie die Schlüsselautorisierung als Dateiinhalt ein
  5. Stellen Sie sicher, dass die Berechtigungen 644 sind (vom Webserver lesbar)

Via FTP

  1. Verbinden Sie sich mit Ihrem Site-Root
  2. Erstellen Sie den Verzeichnispfad .well-known/acme-challenge/
  3. Laden Sie eine Textdatei hoch, die nach dem Token benannt ist und die Schlüsselautorisierung enthält

Serverkonfiguration

Einige Webserver müssen konfiguriert werden, um Dateien aus .well-known auszuliefern:

Nginx

# Fügen Sie dies zu Ihrem Server-Block hinzu, wenn .well-known einen 404-Fehler zurückgibt
location /.well-known/acme-challenge/ {
    root /var/www/html;
    allow all;
}

Apache

Apache liefert .well-known normalerweise standardmäßig aus. Falls nicht:

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
    AllowOverride None
    Options None
    Require all granted
</Directory>

Node.js / Express

app.use('/.well-known/acme-challenge', express.static('challenges'));

Anforderungen

  • Die Domain muss auf eine öffentliche IP-Adresse Ihres Servers auflösen
  • Port 80 muss offen sein — Let’s Encrypt validiert immer über HTTP, nicht HTTPS
  • Die Antwort muss HTTP 200 OK zurückgeben
  • Keine Cross-Domain-Weiterleitungen — Same-Domain-HTTP→HTTPS-Weiterleitungen sind OK
  • Die Datei muss ohne Authentifizierung erreichbar sein (kein Basic Auth, keine Login-Seite)

Wann HTTP-01 verwenden

SzenarioHTTP-01?
Einzeldomain-Zertifikat✅ Ja — einfachste Option
Domain + www-Zertifikat✅ Ja — eine Challenge pro Name
Wildcard-Zertifikat (*.example.com)❌ Nein — verwenden Sie DNS-01
Port 80 ist blockiert❌ Nein — verwenden Sie DNS-01
Hinter Cloudflare-Proxy⚠️ Möglicherweise muss DNS zuerst auf graue Wolke umgestellt werden
Gar kein Serverzugang❌ Nein — verwenden Sie DNS-01 (benötigt nur DNS-Zugang)

HTTP-01 vs DNS-01

HTTP-01DNS-01
Was Sie tunDatei auf Ihrem Server ablegenTXT-Eintrag im DNS hinzufügen
Benötigter ZugangDateisystem des WebserversDomain-DNS-Einstellungen
Port-AnforderungPort 80 offenKeine
Wildcard-Unterstützung
GeschwindigkeitSofort (wenn Datei erreichbar)1-15 Min. (DNS-Propagierung)
Funktioniert hinter CDN⚠️ Kann CDN-Bypass erfordern✅ Funktioniert immer
Am besten geeignet fürDie meisten Einzeldomain-ZertifikateWildcards, kein Serverzugang, CDN-Setups

Fehlerbehebung

Challenge-Datei gibt 404 zurück

  • Exakten Pfad prüfen — muss /.well-known/acme-challenge/TOKEN sein, ohne zusätzliche Schrägstriche
  • Dateiberechtigungen prüfen — chmod 644
  • Nginx: Ihre Konfiguration blockiert möglicherweise Dotfiles. Fügen Sie den oben gezeigten location-Block hinzu
  • cPanel: Der Dateimanager blendet .well-known möglicherweise aus — aktivieren Sie „Versteckte Dateien anzeigen”

Challenge schlägt fehl, obwohl die Datei erreichbar ist

  • Von außerhalb Ihres Netzwerks prüfen: curl http://ihredomain.com/.well-known/acme-challenge/TOKEN von einem anderen Rechner oder verwenden Sie ein webbasiertes Tool
  • DNS zeigt möglicherweise auf einen anderen Server — verifizieren Sie, dass dig +short ihredomain.com die IP Ihres Servers zurückgibt
  • Cloudflare-Proxy: Schalten Sie während der Validierung vorübergehend auf DNS-only (graue Wolke) um

Port 80 ist blockiert

Einige Hoster oder Firewalls blockieren Port 80. Optionen:

  1. Port 80 öffnen (auch nur vorübergehend für die Validierung)
  2. Auf DNS-01-Challenge wechseln — benötigt kein Port 80
  3. Ihren Hosting-Anbieter bitten, .well-known durch den Proxy durchzulassen

Fehler „too many requests”

Sie haben die Rate Limits von Let’s Encrypt erreicht. Warten und erneut versuchen. Die Vorabprüfung von GetHTTPS hilft, vergeudete Versuche zu vermeiden, indem die Erreichbarkeit der Datei vor dem Übermitteln geprüft wird.

Häufig gestellte Fragen

Kann ich die Challenge-Datei nach Erhalt des Zertifikats löschen?

Ja. Die Datei wird nur während der Validierung benötigt. Sobald Ihr Zertifikat ausgestellt ist, löschen Sie das Verzeichnis .well-known/acme-challenge/ und seinen Inhalt. Bei der Erneuerung erstellen Sie neue Dateien.

Muss die Datei über HTTPS bereitgestellt werden?

Nein. Let’s Encrypt validiert HTTP-01 immer über einfaches HTTP (Port 80), auch wenn Ihre Website HTTPS unterstützt. Same-Domain-HTTP→HTTPS-Weiterleitungen werden verfolgt, aber die erste Anfrage erfolgt immer über HTTP.

Kann ich HTTP-01 für mehrere Domains in einem Zertifikat verwenden?

Ja. Jede Domain im Zertifikat benötigt ihre eigene Challenge-Datei. Wenn Sie ein Zertifikat für example.com und www.example.com erhalten, legen Sie zwei Dateien ab — ein Token pro Domain. GetHTTPS verarbeitet sie nacheinander.

Was ist die „Vorabprüfung” in GetHTTPS?

Bevor GetHTTPS an Let’s Encrypt übermittelt, prüft es, ob Ihre Challenge-Datei aus dem öffentlichen Internet erreichbar ist (über DNS-over-HTTPS von Google). Dies erkennt Konfigurationsfehler, bevor sie einen Rate-Limit-Versuch verbrauchen — eine Funktion, die andere browserbasierte Tools nicht haben.

Verwandte Artikel

Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Erste Schritte 2026-05-08
DNS-01-Challenge: Funktionsweise und Durchführung
Die DNS-01-Validierung beweist die Domain-Inhaberschaft durch Hinzufügen eines TXT-Eintrags in Ihrem DNS. Erforderlich für Wildcard-Zertifikate. Einrichtung für Cloudflare, Route 53, GoDaddy, Namecheap und mehr.
Erste Schritte 2026-05-07
So erhalten Sie ein kostenloses Wildcard-SSL-Zertifikat
Erhalten Sie ein kostenloses Wildcard-SSL-Zertifikat (*.example.com) von Let's Encrypt mit GetHTTPS. Erfordert nur die DNS-01-Challenge. Abdeckung der DNS-Einrichtung für Cloudflare, Route 53, GoDaddy und Namecheap.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten