Zurück zum Journal
SicherheitNº 00402. Juni 20265 Min.

Wie ein abgelaufenes SSL-Zertifikat deinen Shop in 48 Stunden aus Google warf

Ein Zertifikat lief am Mittwoch um 03:14 Uhr ab. Freitagmorgens brach der organische Traffic ein. Kein Pech, sondern messbare Nachlässigkeit.

Ein Büroausstatter in Porto verlor zwischen Mittwoch und Freitag 78 Prozent des organischen Traffics. Seit Wochen hatte niemand etwas am Shop verändert. Das Problem passte in eine Logzeile: Das SSL-Zertifikat war am Mittwoch um 03:14 Uhr abgelaufen.

Als der Googlebot an diesem Morgen erneut über die Seite lief, sah er ERR_CERT_DATE_INVALID. Er indexierte nichts. Schlimmer noch: Er markierte die Domain als unsicher für alle, die noch auf gecachte Ergebnisse klickten. Nach 48 Stunden zeigte Chrome den roten Warnbildschirm vor der Startseite.

Warum Google so heftig reagiert

HTTPS ist seit 2014 ein Ranking-Signal. Seit 2018 markiert Chrome reines HTTP als „nicht sicher". Ein abgelaufenes Zertifikat ist schlimmer als HTTP. Es ist kaputtes HTTPS. Der Browser deutet das als Impersonation-Versuch, auch wenn nur acme.sh die Erneuerung verbockt hat.

Für den Googlebot ist ein fehlgeschlagener TLS-Handshake ein Crawl-Fehler. Er versucht es erneut, scheitert, versucht es wieder, scheitert. Nach wenigen Stunden beginnt die Deindexierung. Die Seiten verschwinden nicht sofort aus dem Index, verlieren aber Ranking, weil das Vertrauenssignal auf null gefallen ist.

Was wirklich passiert ist

  1. 03:14 Mittwoch — das Let's-Encrypt-Zertifikat läuft ab. Der Cron-Job hatte in den 30 Tagen davor dreimal versagt. Niemand hat die Mail gelesen.
  2. 08:00 Mittwoch — die ersten Mobilnutzer sehen die rote Warnung. Die Bounce-Rate schießt nach oben.
  3. 11:30 Mittwoch — der Googlebot kommt vorbei, der Handshake schlägt fehl, er registriert massenhaft Soft-404.
  4. Donnerstagmorgen — die Search Console schickt einen Coverage-Alert. Niemand öffnet die Search Console.
  5. Freitag 09:00 — der Verkauf steht still. Der Kunde ruft den Entwickler an. Der Entwickler findet das Problem in vier Minuten.

Die eigentliche Erneuerung dauerte 90 Sekunden. Die Erholung des Rankings dauerte 23 Tage. In dieser Zeit eroberte ein Wettbewerber die Top-Positionen bei den wichtigsten Keywords und gab sie nie wieder ganz her.

Warum der Cron versagte

Der Server hatte im Januar die IP gewechselt. Das DNS zeigte korrekt, aber die HTTP-01-Challenge von Let's Encrypt prallte gegen eine neue Firewall, die Anfragen aus dem ISRG-Range blockierte. Jeder Erneuerungsversuch landete als Fehler in einem Log, das niemand las.

Das ist das Muster. Zertifikate laufen nicht ab, weil Erneuerung schwer ist. Sie laufen ab, weil die automatische Erneuerung still scheitert und niemand Alarme auf die richtigen Logs gerichtet hat.

Was du heute tun musst

  • Überwache das Zertifikat extern, nicht den Cron. Nutze einen Dienst wie UptimeRobot oder StatusCake und konfiguriere ihn so, dass er 14 Tage vor Ablauf alarmiert.
  • Alerts per Telegram oder SMS, nicht per Mail. Die Ablaufmails von Let's Encrypt landen in einem Postfach, in das niemand schaut.
  • Prüfe die Search Console wöchentlich. Wenn der Googlebot scheitert, steht es dort.
  • Teste die Erneuerung manuell einmal pro Quartal. Wenn der Cron in Produktion läuft, aber im Staging nicht, hast du Configuration Drift.
  • Dokumentiere das Notfall-Erneuerungsverfahren. Wenn der Shop Freitag um 18 Uhr stirbt, willst du nicht gerade acme.sh lernen.
Ein abgelaufenes Zertifikat ist der billigste Weg, sechs Monate SEO zu verlieren. Vorbeugung kostet null Euro, Erholung kostet drei Monatsgehälter.Interne Post-Mortem-Auditierung, Kunde Porto

Die echten Kosten

Der Shop machte in jenem Monat 31.000 Euro weniger Umsatz als im Quartalsdurchschnitt. Der Entwickler, der den Server aufgesetzt hatte, berechnete 180 Euro für die Behebung. Die Vorbeugung hätte null gekostet. Ein zusätzlicher Health-Check-Cron und ein Webhook zu Telegram.

Wenn du in Deutschland online verkaufst und noch keine unabhängige Überwachung außerhalb deines eigenen Servers hast, die das Zertifikat im Blick hat, bist du eine fehlgeschlagene Erneuerung davon entfernt, das Quartal zu verlieren. Das ist kein Alarmismus. Das ist Mathematik.

Die Regel ist simpel. Vertraue nicht dem Cron, der erneuert. Vertraue dem externen Monitor, der prüft, ob der Cron erneuert hat.

Quellen
  1. 01Google Search Central — HTTPS als Ranking-Signal
  2. 02web.dev — Warum HTTPS wichtig ist
  3. 03Let's Encrypt — Ablaufmails und Erneuerung
  4. 04MDN — Transport Layer Security (TLS)
  5. 05Mozilla Observatory — TLS-Konfiguration testen
Auch:
SicherheitNº 002

HTTPS ist kein Feature mehr. Es ist die Baseline.

Im Jahr 2026 sagt jede Website ohne SSL-Zertifikat dem Besucher, er solle gehen — und der Browser legt großen Wert darauf, das zu unterstreichen.

Web für KMUNº 005

Warum Ihre WordPress-Website von 2019 Sie 2026 Kunden kostet

Sieben Jahre sind eine Ewigkeit im Web. Was 2019 modern wirkte, vertreibt heute Kunden vor dem ersten Kontakt. Hier ist der Grund.

Zurück zum Journal