SSL-Zertifikatsablauf prüfen
ssl zertifikat ablauf prüfen · ssl ablauf online · zertifikat gültigkeitsdatum
So prüfen Sie SSL-Zertifikatsablauf online, lesen notAfter-Daten, verstehen Browserfehler und vermeiden HTTPS-Ausfälle vor Ablauf.
Von DN01 Netzwerk-Team
Abgelaufene TLS-Zertifikate brechen HTTPS sofort — Browser zeigen NET::ERR_CERT_DATE_INVALID oder ähnliches, während die Site hinter dem Load Balancer noch läuft. Ablauf vor notAfter zu prüfen ist grundlegende Betriebshygiene für jede HTTPS-Domain.
Dieser Leitfaden erklärt relevante Zertifikatsfelder, Prüfung mit dem SSL Certificate Checker und Vorgehen, wenn Auto-Renewal auf Shared Hosting oder Kubernetes Ingress still scheitert.
Worauf in Ablauf-Ergebnissen achten
Das notAfter (gültig bis) des Leaf-Zertifikats ist die harte Frist. Wildcard- und Multi-Domain-(SAN-)Zertifikate können mehrere Hostnames listen — bestätigen Sie, dass jeder Name in der Subject-Alternative-Name-Erweiterung steht.
Vergleichen Sie auch notBefore: Ein Zertifikat mit zukünftigem notBefore verursacht Fehler, bis die Uhr diese Grenze überschreitet. Intermediate-Zertifikate haben eigene Daten — abgelaufenes Intermediate bricht Vertrauen, auch wenn das Leaf korrekt wirkt.
Ablauf online prüfen (4 Schritte)
Öffnen Sie den SSL Certificate Checker, geben Sie den Hostname ein (Port 443 impliziert) und starten Sie die Prüfung.
Notieren Sie notAfter für Leaf und jedes Intermediate im Kettenpanel.
Gleichen Sie SAN-Einträge mit allen veröffentlichten Subdomains ab (www, api, cdn).
Setzen Sie bei manueller Erneuerung eine Erinnerung 14 Tage vor Ablauf; bei Automatisierung mit Alerting 7 Tage.
Typische Ablauf-Fehler
Let's-Encrypt-ACME-Jobs scheitern, wenn HTTP-01-Challenges /.well-known nicht erreichen oder DNS-01-TXT fehlen — Hosting-Panels können «aktiv» zeigen, während das Live-Zertifikat alt ist.
Load Balancer terminieren TLS manchmal mit altem Zertifikat, während der Origin ein neues nutzt — testen Sie immer den öffentlichen Hostname, den Clients sehen, nicht nur die Origin-IP.
Nach Erneuerung mit Checker verifizieren und alte Sessions auslaufen lassen; HSTS-Preload-Listen verzeihen Ablauf-Ausfälle nicht.
| Symptom | Wahrscheinliche Ursache | Behebung |
|---|---|---|
| NET::ERR_CERT_DATE_INVALID | Leaf nach notAfter | Erneuern und volle Kette deployen |
| Untrusted issuer | Intermediate fehlt | Vendor-Bundle auf Server installieren |
| Hostname mismatch | Name fehlt in SAN | Mit korrektem SAN neu ausstellen |
| Mobil OK, Desktop Fehler | Unvollständige Kette auf einem Pfad | Kette vom Checker vergleichen |
Häufig gestellte Fragen
- Bedeutet Ablaufprüfung, dass meine Site vollständig sicher ist?
Nein. Gültige Daten sind nur eine Schicht. Sie brauchen korrekten Hostname in SAN/CN, moderne TLS-Versionen, vollständige Kette und kein Mixed Content. Nutzen Sie den SSL Checker für Kette und Protokoll zusammen.
- Wie oft soll ich den Zertifikatsablauf prüfen?
Monatlich in Production; wöchentlich während Migrationsfenstern. Let's-Encrypt-Zertifikate erneuern sich alle 90 Tage — automatisieren Sie die Erneuerung und prüfen Sie nach Deploys mit dem SSL Checker.
- Kann ich SSL ohne installiertes openssl prüfen?
Ja. Der DN01 SSL Certificate Checker führt den TLS-Handshake im Browser aus, zeigt notBefore/notAfter, Kettenreihenfolge und verhandeltes Protokoll ohne lokale Tools.