Alle SSL-Artikel SSL & Zertifikate

Was ist Let's Encrypt?

Let’s Encrypt ist eine kostenlose, automatisierte, gemeinnützige Zertifizierungsstelle (CA), die SSL/TLS-Zertifikate kostenfrei ausstellt. Sie ist die weltweit grösste CA mit einem Marktanteil von 63,9 % und hat seit dem Start 2016 über 1 Milliarde Zertifikate ausgestellt.

Let’s Encrypt wird von der Internet Security Research Group (ISRG) betrieben und von Mozilla, Google, EFF, Facebook und anderen unterstützt.

Wie Let’s Encrypt funktioniert

Let’s Encrypt verwendet das ACME-Protokoll (Automated Certificate Management Environment, RFC 8555), um die Zertifikatsausstellung zu automatisieren:

  1. Domainbesitz nachweisen — Eine Challenge (HTTP-01 oder DNS-01) abschliessen, um zu beweisen, dass Sie die Domain kontrollieren
  2. CSR übermitteln — Ihr ACME-Client sendet einen Certificate Signing Request mit Ihrem öffentlichen Schlüssel
  3. Zertifikat erhalten — Let’s Encrypt signiert und gibt die Zertifikatskette zurück
  4. Installieren und erneuern — Zertifikat bereitstellen; alle 90 Tage erneuern

Der gesamte Prozess ist automatisiert — keine E-Mails, keine Formulare, keine Zahlung. ACME-Clients wie GetHTTPS, Certbot und acme.sh übernehmen das Protokoll für Sie.

Warum es kostenlos ist

Die Mission von Let’s Encrypt ist es, HTTPS universell zu machen. Einnahmemodell:

  • Gesponsert von grossen Technologieunternehmen (Google, Mozilla, Meta, Cisco, EFF usw.)
  • Betriebskosten sind gering — nahezu alles ist automatisiert
  • Kein Support-Personal für einzelne Nutzer — nur Community-Forum
  • Stellt nur DV-Zertifikate aus — keine komplexe Identitätsprüfung erforderlich

Das ist nicht „kostenlos im Sinne von Freemium”. Es gibt keine kostenpflichtigen Stufen, keine Upsells, keine Limits, die Sie zu einem Bezahlplan drängen sollen. Es ist kostenlos, weil Verschlüsselung ein Standard sein sollte, kein Luxus.

Rate Limits

Let’s Encrypt hat Rate Limits, um Missbrauch zu verhindern, aber sie sind grosszügig genug für jede legitime Nutzung:

LimitWertAnmerkungen
Zertifikate pro registrierter Domain50 pro WocheUmfasst example.com und alle Subdomains
Doppelte Zertifikate5 pro WocheGenau dieselbe Menge an Domainnamen
Fehlgeschlagene Validierungen5 pro StundePro Konto, pro Hostname
Neue Registrierungen10 pro IP pro 3 StundenACME-Kontoerstellung
Ausstehende Autorisierungen300 pro KontoGleichzeitig unvollständige Challenges

Zum Testen verwenden Sie die Staging-Umgebung von Let’s Encrypt — sie hat viel höhere Limits und stellt Testzertifikate aus (nicht browservertraut).

Was Let’s Encrypt nicht bietet

  • OV/EV-Zertifikate — nur Domain Validation (DV)
  • Dedizierter Support — nur Community-Forum
  • Garantie — keine finanzielle Absicherung gegen Fehlausstellung
  • Zertifikatsverwaltungs-Dashboard — dafür sind ACME-Clients da
  • Zertifikate länger als 90 Tage — bewusst so gewählt (kurze Gültigkeit begrenzt die Gefährdung bei kompromittierten Schlüsseln)

Für die meisten Websites wird nichts davon benötigt. DV-Zertifikate bieten die gleiche Verschlüsselung wie OV/EV. Siehe unseren Vergleich Let’s Encrypt vs. kostenpflichtige SSL-Zertifikate.

So verwenden Sie Let’s Encrypt

Sie interagieren nicht direkt mit Let’s Encrypt — Sie verwenden einen ACME-Client:

ClientFunktionsweiseAm besten geeignet für
GetHTTPSBrowserbasiert, keine Installation, Schlüssel bleibt lokalSchnelle Zertifikate ohne Serverzugriff
CertbotCLI-Tool, automatische Erneuerung, Server-IntegrationProduktionsserver mit Root-Zugriff
acme.shShell-Skript, kein Root erforderlichLeichtgewichtige CLI-Alternative
CaddyIntegriertes ACME, automatisches HTTPSCaddy-Webserver-Nutzer

Vollständiger Vergleich kostenloser SSL-Tools →

Häufig gestellte Fragen

Ist Let’s Encrypt sicher?

Ja. Let’s Encrypt-Zertifikate verwenden die gleichen kryptografischen Standards wie kostenpflichtige Zertifikate. Sie werden von allen grossen Browsern und Betriebssystemen vertraut. Über 300 Millionen aktive Zertifikate schützen einen bedeutenden Teil des Webs.

Warum 90-Tage-Zertifikate?

Kurze Gültigkeit begrenzt den Schaden, wenn ein privater Schlüssel kompromittiert wird — ein Angreifer kann einen gestohlenen Schlüssel nur nutzen, bis das Zertifikat abläuft. Es fördert auch die Automatisierung, die zuverlässiger ist als manuelle Erneuerung. Hinweis: Das CA/Browser Forum bewegt alle CAs in Richtung 47-Tage-Gültigkeit bis 2029.

Kann ich Let’s Encrypt für kommerzielle Websites verwenden?

Ja. Es gibt keine Einschränkungen für die kommerzielle Nutzung. Let’s Encrypt-Zertifikate werden von grossen Unternehmen, SaaS-Produkten und E-Commerce-Websites verwendet. Die Lizenz setzt keine Nutzungsbeschränkungen.

Was passiert, wenn Let’s Encrypt ausfällt?

Bestehende Zertifikate funktionieren weiterhin bis zu ihrem Ablauf — sie kontaktieren nicht den Server. Sie können lediglich während eines Ausfalls keine neuen Zertifikate ausstellen oder erneuern. Let’s Encrypt hat eine starke Verfügbarkeitsbilanz und wird von gut finanzierten Sponsoren unterstützt. Wenn Sie besorgt sind, erneuern Sie Zertifikate rechtzeitig vor Ablauf (Tag 60 von 90).

Unterstützt Let’s Encrypt Wildcard-Zertifikate?

Ja. Wildcard-Zertifikate (*.example.com) werden über die DNS-01-Challenge unterstützt. Sie müssen einen TXT-Eintrag im DNS Ihrer Domain hinzufügen, um den Besitz nachzuweisen.

Let’s Encrypt in Zahlen

KennzahlWert
Aktive Zertifikate300+ Millionen
Globaler CA-Marktanteil63,9 %
Insgesamt ausgestellte Zertifikate1+ Milliarde
ZertifikatstypNur DV
Gültigkeit90 Tage
KostenKostenlos
SponsorenGoogle, Mozilla, Meta, Cisco, EFF, Akamai und andere
Gegründet2013 (ISRG), öffentlicher Start 2016
ProtokollACME (RFC 8555)
Root-CAISRG Root X1

Warum manche Menschen Let’s Encrypt misstrauen (und warum sie falsch liegen)

„Kostenlos = weniger sicher” — Die Verschlüsselungsstärke wird durch die TLS-Spezifikation definiert, nicht durch die CA. Alle CAs verwenden die gleichen Algorithmen. Vergleich kostenlos vs. kostenpflichtig →

„Keine Garantie = riskant” — CA-Garantien decken Fehlausstellungen der CA ab, nicht das Hacken Ihrer Website. Es wurde nie eine bedeutende Garantiezahlung öffentlich dokumentiert.

„90-Tage-Zertifikate = unzuverlässig” — Kurze Gültigkeit ist ein Sicherheitsmerkmal, keine Einschränkung. Automatische Erneuerung (Certbot) macht dies unsichtbar.

„Phishing-Seiten verwenden Let’s Encrypt” — Stimmt, aber Phishing-Seiten verwenden auch kostenpflichtige Zertifikate. DV-Zertifikate überprüfen die Domain-Kontrolle, nicht die Legitimität der Website. Dies ist beabsichtigt — Verschlüsselung schützt Daten während der Übertragung, unabhängig von der Absicht der Website.

Verwandte Artikel

Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Vergleiche 2026-05-08
Die besten kostenlosen SSL-Zertifikatsanbieter 2026 (im Vergleich)
Vergleichen Sie 9 kostenlose SSL-Zertifikatsanbieter hinsichtlich Datenschutz, Limits, Wildcard-Unterstutzung und Automatisierung. Enthalt eigenstandige CAs, Hosting-Anbieter und CDNs -- mit einer Datenschutzanalyse, die kein anderer Vergleich bietet.
SSL & Zertifikate 2026-05-08
Was ist HTTPS? Ein vollstaendiger Leitfaden
HTTPS verschluesselt die Verbindung zwischen Ihrem Browser und einer Website. Erfahren Sie, wie HTTPS funktioniert, den TLS-Handshake, Unterschiede zwischen HTTP und HTTPS, Auswirkungen auf die Leistung und wie Sie es kostenlos aktivieren.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten