Let's Encrypt SSL-Zertifikat installieren: Anleitung für kostenloses HTTPS

2026 bedeutet eine Site ohne SSL = “Nicht sicher”-Warnung + SEO-Strafe. Let’s Encrypt liefert kostenloses SSL, Certbot installiert in 5 Minuten samt Auto-Renewal. Diese Anleitung führt durch Nginx- und Apache-Setup plus häufige Fehler.

Voraussetzungen

• DNS-A-Record zeigt auf VDS-IP (dig +short ihre-site.com)
• Ports 80/443 offen (80 für Let’s Encrypt-Validation Pflicht)
• Root-Zugriff
• Web-Server (Nginx/Apache) installiert

Certbot installieren

# Ubuntu/Debian
sudo apt install certbot python3-certbot-nginx -y
sudo apt install certbot python3-certbot-apache -y

# AlmaLinux/RHEL
sudo dnf install certbot python3-certbot-nginx -y

SSL für Nginx

Ein Befehl:

sudo certbot --nginx -d ihre-site.com -d www.ihre-site.com

Wizard:

• E-Mail eingeben
• ToS → A
• HTTP → HTTPS-Redirect → 2 (Yes)

Nach ~30 Sekunden läuft die Site über HTTPS. Im Browser grünes Schloss sichtbar.

Für Apache

sudo certbot --apache -d ihre-site.com -d www.ihre-site.com

Selber Wizard. Apache-Config wird automatisch angepasst.

Manueller Modus

sudo certbot certonly --webroot -w /var/www/html -d ihre-site.com

Zertifikate in /etc/letsencrypt/live/ihre-site.com/. Web-Server-Config selbst verdrahten.

Wildcard (*.ihre-site.com)

Wildcards verlangen DNS-Challenge:

sudo certbot certonly --manual --preferred-challenges dns \
    -d ihre-site.com -d "*.ihre-site.com"

Certbot fragt nach TXT-Record → im DNS-Panel hinzufügen → warten + Enter.

Automatische DNS-Challenge (Cloudflare-API):

sudo apt install python3-certbot-dns-cloudflare -y

# /root/.cloudflare/credentials.ini
dns_cloudflare_api_token = TOKEN_HIER

sudo chmod 600 /root/.cloudflare/credentials.ini

sudo certbot certonly --dns-cloudflare \
    --dns-cloudflare-credentials /root/.cloudflare/credentials.ini \
    -d ihre-site.com -d "*.ihre-site.com"

Auto-Renewal

Let’s-Encrypt-Zertifikate sind 90 Tage gültig. Certbot fügt bei Installation Cron/Timer hinzu:

sudo certbot renew --dry-run
sudo certbot renew
systemctl status certbot.timer

Manueller Cron:

0 4 * * * certbot renew --quiet && systemctl reload nginx

Details: Cron-Anleitung.

Zertifikate auflisten

sudo certbot certificates

Zertifikat widerrufen

sudo certbot revoke --cert-path /etc/letsencrypt/live/ihre-site.com/cert.pem
sudo certbot delete --cert-name ihre-site.com

SSL-Labs-Test

Nach Installation: https://www.ssllabs.com/ssltest/ — für A+:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Häufige Fehler

• “Failed authorization procedure”:
  • DNS-A-Record falsch → dig +short ihre-site.com
  • Port 80 zu → UFW prüfen (UFW-Beitrag)
  • Cloudflare-Proxy an → für Validation temporär aus
• “Too many requests”: Let’s-Encrypt-Limit (5 Zertifikate/Woche/Domain) → warten
• “Certificate not yet due for renewal”: erneuert 30 Tage vor Ablauf; --force-renewal
• Mixed-Content-Warnung: http://-Links → https://

Fazit

SSL ist nicht mehr optional — Nutzervertrauen, SEO und Compliance verlangen es. Let’s Encrypt + Certbot ist die kostenlose, automatische, offiziell unterstützte Lösung.

Mit Plesk noch einfacher — siehe Plesk-Beitrag.

Verwandt: UFW Firewall · Cron-Einrichtung