Nach der Installation eines SSL-Zertifikats müssen Sie überprüfen, ob alles korrekt funktioniert — richtiges Zertifikat, vollständige Kette, modernes TLS, keine Fehler. Hier sind die besten Tools für jede Prüfung.
Online-Tools
SSL Labs Server Test (am umfassendsten)
URL: ssllabs.com/ssltest
Der Branchenstandard für SSL-Tests. Geben Sie Ihre Domain ein und erhalten Sie einen detaillierten Bericht mit einer Bewertung von A+ bis F.
Was geprüft wird:
- Zertifikatsgültigkeit und Kettenvollständigkeit
- Protokollunterstützung (TLS 1.0/1.1/1.2/1.3)
- Cipher-Suite-Stärke und -Reihenfolge
- Bekannte Schwachstellen (POODLE, Heartbleed, DROWN, ROBOT)
- HSTS-Konfiguration
- OCSP Stapling
- DNS-CAA-Einträge
- Certificate Transparency
Ziel: Bewertung A+ (erfordert TLS 1.2+, AEAD-Cipher, HSTS mit langem max-age)
Wann verwenden: Nach der Ersteinrichtung, nach Konfigurationsänderungen und regelmäßig (monatlich).
SSL Shopper SSL Checker
URL: sslshopper.com/ssl-checker
Schnelle Prüfung mit Fokus auf Zertifikatsgültigkeit und Kette.
Was geprüft wird:
- Zertifikat korrekt installiert
- Kette ist vollständig (Intermediate vorhanden)
- Zertifikat stimmt mit der Domain überein
- Ablaufdatum
Wann verwenden: Schneller “Funktioniert es?”-Check — schneller als SSL Labs.
crt.sh (Certificate Transparency-Suche)
URL: crt.sh
Durchsucht Certificate Transparency Logs nach allen jemals für eine Domain ausgestellten Zertifikaten.
Wann verwenden: Überwachung auf nicht autorisierte Zertifikate, Überprüfung ob Ihr Zertifikat protokolliert wurde, Ausstellungshistorie prüfen.
Why No Padlock
URL: whynopadlock.com
Scannt eine bestimmte Seite auf Mixed Content — HTTP-Ressourcen auf einer HTTPS-Seite.
Wann verwenden: Wenn das Schloss eine Warnung zeigt oder fehlt, obwohl ein gültiges Zertifikat vorhanden ist.
Kommandozeilen-Tools
Schnelle Prüfungen mit OpenSSL
# Prüfen ob HTTPS überhaupt funktioniert
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Verify return code"
# 0 (ok) = gut
# Zertifikats-Ablaufdatum anzeigen
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
# Vollständige Zertifikatsdetails anzeigen
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text
# Ausgehandelte TLS-Version prüfen
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Protocol"
# Bestimmte TLS-Version testen
echo | openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | grep "Protocol"
Vollständiges OpenSSL-Cheat-Sheet →
curl für schnellen HTTPS-Test
# Einfacher HTTPS-Check
curl -I https://yourdomain.com
# Zertifikatsinformationen anzeigen
curl -vI https://yourdomain.com 2>&1 | grep -E 'subject:|issuer:|expire'
# Weiterleitung von HTTP prüfen
curl -ILs http://yourdomain.com | grep -E '^HTTP|^Location'
nmap zur Cipher-Auflistung
nmap --script ssl-enum-ciphers -p 443 yourdomain.com
Zeigt alle vom Server unterstützten Cipher Suites, gruppiert nach TLS-Version.
Was wann prüfen
| Wann | Was prüfen | Tool |
|---|---|---|
| Nach Zertifikatsinstallation | Kette vollständig, Domain stimmt überein | SSL Shopper (schnell) |
| Nach Konfigurationsänderungen | Vollständiges Audit (Bewertung, Cipher, Schwachstellen) | SSL Labs (gründlich) |
| Monatlich | Ablauf nähert sich | Monitoring-Skript |
| Nach Migration | Mixed Content | Why No Padlock |
| Laufend | Nicht autorisierte Zertifikate | crt.sh / CT-Monitoring |
| Fehlersuche | Verbindungsdetails | OpenSSL s_client |
SSL Labs-Bewertungen interpretieren
| Bewertung | Bedeutung | Häufige Probleme |
|---|---|---|
| A+ | Ausgezeichnet | Hat HSTS mit langem max-age |
| A | Gut | HSTS fehlt oder kurzes max-age |
| B | OK, aber Verbesserungen nötig | Alte Cipher Suites, TLS 1.0/1.1 aktiviert |
| C | Schwache Konfiguration | Verwundbare Cipher, kein Forward Secrecy |
| F | Ernste Probleme | Bekannte Schwachstelle, abgelaufenes Zertifikat |
| T | Zertifikat nicht vertrauenswürdig | Selbstsigniert, falsche Domain, unvollständige Kette |
Häufig gestellte Fragen
Wie oft sollte ich testen?
Nach jeder SSL-bezogenen Änderung und mindestens monatlich als Teil des Monitorings. SSL Labs-Ergebnisse werden einige Stunden gecacht — fügen Sie &clearCache=on hinzu, um einen neuen Scan zu erzwingen.
Ist SSL Labs sicher zu verwenden? Wird meine Seite offengelegt?
Ja, es ist sicher. SSL Labs verbindet sich mit Ihrem Server auf die gleiche Weise wie jeder Browser. Es ändert nichts und legt keine Schwachstellen offen. Die Ergebnisse sind standardmäßig öffentlich — aktivieren Sie “Do not show the results on the boards”, wenn Sie Privatsphäre bevorzugen.
Meine Seite bekommt A bei SSL Labs, zeigt aber trotzdem “Nicht sicher” an
Die SSL Labs-Bewertung betrifft die TLS-Konfiguration des Servers. “Nicht sicher” im Browser kann auch kommen von: Mixed Content (prüfen mit Why No Padlock), fehlende Weiterleitung von HTTP, oder direkter Zugriff über HTTP. Das sind Seitenebenen-Probleme, keine Serverebenen-Probleme.
Kann ich SSL-Tests automatisieren?
SSL Labs hat eine kostenlose API: api.ssllabs.com/api/v3/analyze?host=yourdomain.com. Sie können sie in CI/CD- oder Monitoring-Pipelines integrieren. Für einfachere Prüfungen verwenden Sie die OpenSSL-Befehle in einem Cron-Skript.