Let’s-Encrypt-Zertifikate sind 90 Tage gültig. Sie sollten vor Tag 60 erneuern, um sich einen Sicherheitspuffer zu geben. So erneuern Sie mit GetHTTPS (manuell) und Certbot (automatisch).
Methode 1: Mit GetHTTPS erneuern (manuell)
Wiederholen Sie die gleichen Schritte, die Sie zum Erhalt des ursprünglichen Zertifikats verwendet haben:
- Gehen Sie zu gethttps.com/app/setup
- Geben Sie die gleiche(n) Domain(s) ein
- Schließen Sie eine HTTP-01- oder DNS-01-Challenge ab (wie zuvor)
- Laden Sie die neuen Zertifikatsdateien herunter
- Ersetzen Sie die alten Dateien auf Ihrem Server:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem sudo systemctl reload nginx # oder apache2/httpd
Dauer: 2-3 Minuten, wenn Sie es schon einmal gemacht haben.
Wann verwenden: Sie haben keinen Serverzugang, um Certbot zu installieren, Sie verwalten eine kleine Anzahl von Domains, oder Sie möchten keine Software installieren.
Methode 2: Automatische Erneuerung mit Certbot
Wenn Certbot auf Ihrem Server installiert ist, erfolgen Erneuerungen automatisch:
# Prüfen, ob die automatische Erneuerung eingerichtet ist
sudo systemctl list-timers | grep certbot
# Manueller Trockenlauf zum Testen
sudo certbot renew --dry-run
# Sofortige Erneuerung erzwingen
sudo certbot renew
Der systemd-Timer (oder Cronjob) von Certbot läuft zweimal täglich und erneuert Zertifikate innerhalb von 30 Tagen vor Ablauf.
Wann verwenden: Sie haben Root-Zugang zum Server und möchten Erneuerungen ohne manuellen Aufwand.
So prüfen Sie, wann Ihr Zertifikat abläuft
# Vom Server aus prüfen
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem
# Aus der Ferne prüfen
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
Beispielausgabe: notAfter=Aug 5 12:00:00 2026 GMT
Erinnerung setzen
- Tag 0: Zertifikat ausgestellt (90 Tage gültig)
- Tag 60: Erneuern (empfohlen — 30 Tage Sicherheitspuffer)
- Tag 90: Zertifikat läuft ab — Website zeigt Sicherheitswarnung
Setzen Sie eine Kalendererinnerung für Tag 60. Wenn Sie mehrere Domains verwalten, verwenden Sie einen Überwachungsdienst, um bei bevorstehenden Abläufen zu warnen.
Schritt-für-Schritt: Erneuerung mit GetHTTPS
Hier ist der genaue Ablauf für die manuelle Erneuerung:
-
Aktuellen Ablauf prüfen (optional, aber gute Praxis):
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate -
Gehen Sie zu gethttps.com/app/setup
-
Geben Sie die gleiche(n) Domain(s) wie beim ursprünglichen Zertifikat ein
-
Schließen Sie die Challenge ab — wie beim ersten Mal:
- HTTP-01: Legen Sie die neue Token-Datei auf Ihrem Server ab
- DNS-01: Aktualisieren Sie den
_acme-challenge-TXT-Eintrag mit dem neuen Wert
-
Laden Sie die neuen Zertifikatsdateien herunter
-
Auf Ihrem Server ersetzen:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem -
Webserver neu laden (nicht neustarten — Neuladen übernimmt neue Dateien, ohne bestehende Verbindungen zu trennen):
sudo systemctl reload nginx # Nginx sudo systemctl reload apache2 # Apache/Debian sudo systemctl reload httpd # Apache/CentOS -
Überprüfen, ob das neue Zertifikat aktiv ist:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
Gesamtdauer: 2-3 Minuten, wenn Sie es schon einmal gemacht haben.
Erneuerungsvergleich: manuell vs automatisch
| GetHTTPS (manuell) | Certbot (automatisch) | |
|---|---|---|
| Aufwand pro Erneuerung | 2-3 Minuten | Null (Cronjob) |
| Serverzugang erforderlich | Nur für Dateiaustausch | Vollzugang (Root) |
| Fehlererkennung | Sie bemerken es, wenn die Seite ausfällt | Certbot-Logs + E-Mail bei Fehler möglich |
| Am besten für | 1-5 Domains, kein Root-Zugang | Produktionsserver, viele Domains |
| Risiko des Vergessens | Mittel (Erinnerungen setzen!) | Gering (automatisiert) |
Für Produktionsserver mit Root-Zugang richten Sie Certbot für die automatische Erneuerung ein. Für Umgebungen ohne Root-Zugang ist die manuelle Erneuerung mit GetHTTPS die einzige Option.
Die 47-Tage-Zukunft
Das CA/Browser Forum hat beschlossen, die maximale Zertifikatsgültigkeit zu reduzieren:
| Inkrafttreten | Maximale Gültigkeit |
|---|---|
| Aktuell | 90 Tage (Let’s Encrypt) |
| März 2026 | 200 Tage |
| März 2027 | 100 Tage |
| März 2029 | 47 Tage |
Bis 2029 müssen Sie ungefähr alle 30-35 Tage erneuern. Dies macht die automatische Erneuerung (Certbot) zunehmend wichtiger. Für manuelle Workflows (GetHTTPS) sollten Sie häufigere Erinnerungen einrichten.
Häufig gestellte Fragen
Kann ich vor Ablauf des Zertifikats erneuern?
Ja. Let’s Encrypt erlaubt die Erneuerung jederzeit. Das neue Zertifikat beginnt frisch mit einer neuen 90-Tage-Gültigkeitsperiode. Eine vorzeitige Erneuerung verschwendet keine verbleibende Zeit — sie ersetzt einfach das alte Zertifikat.
Muss ich die Challenge jedes Mal wiederholen?
Ja. Jede Erneuerung erfordert eine neue Domain-Validierungs-Challenge. Dies ist ein Sicherheitsmerkmal — es bestätigt, dass Sie die Domain weiterhin kontrollieren.
Verursacht die Erneuerung eine Ausfallzeit?
Nein, wenn richtig durchgeführt. Laden Sie die neuen Dateien hoch und laden Sie den Webserver neu (nicht neustarten). nginx -s reload und apachectl graceful wenden neue Zertifikate auf neue Verbindungen an, ohne bestehende zu unterbrechen.
Kann ich GetHTTPS für das erste Zertifikat und Certbot für Erneuerungen verwenden?
Ja. Die Zertifikatsdateien haben das Standard-PEM-Format. Sie können das erste Zertifikat mit GetHTTPS generieren und dann Certbot für die laufende automatische Erneuerung installieren. Sie stehen nicht in Konflikt miteinander. Ausführlicher Vergleich →
Was, wenn ich die Erneuerungsfrist verpasst habe und mein Zertifikat abgelaufen ist?
Ihre Website zeigt eine Browser-Sicherheitswarnung an, aber die Lösung ist einfach: Gehen Sie zu GetHTTPS, holen Sie ein neues Zertifikat, ersetzen Sie die Dateien, laden Sie den Server neu. Dauert 5 Minuten. Es gibt keine Strafe von Let’s Encrypt für abgelaufene Zertifikate — holen Sie sich einfach ein neues.
Muss ich beim Erneuern das gleiche Schlüsselpaar verwenden?
Nein. GetHTTPS generiert jedes Mal ein neues Schlüsselpaar, was tatsächlich eine bessere Sicherheitspraxis ist (Schlüsselrotation). Dem Server ist es egal, ob das neue Zertifikat einen anderen Schlüssel verwendet — ersetzen Sie einfach sowohl fullchain.pem als auch privkey.pem zusammen.
Wie erneuere ich ein Wildcard-Zertifikat?
Gleicher Ablauf wie bei der Erstausstellung: Besuchen Sie GetHTTPS, geben Sie *.example.com ein, fügen Sie den neuen _acme-challenge-TXT-Eintrag im DNS hinzu, verifizieren Sie, laden Sie herunter. Sie benötigen jedes Mal DNS-Zugang, da Wildcard-Zertifikate DNS-01 erfordern.