HTTPS ist kein Feature mehr. Es ist die Baseline.

Vor fünf Jahren war es noch ein Verkaufsargument, eine „Site mit SSL" anzubieten. Das grüne Schloss. Der Satz „Ihre Site bleibt sicher." Heute ist es das Mindeste, was man von einer professionellen Site erwartet, und es nicht zu haben ist keine technische Nachlässigkeit mehr — es ist ein Zeichen von Fahrlässigkeit.

Was der Browser ohne HTTPS macht

Chrome, Safari, Firefox, Edge: alle zeigen „Nicht sicher" in der Adressleiste jeder HTTP-Seite. Formulare mit sensiblen Eingaben werden blockiert oder lösen rote Warnungen aus. Auf Mobilgeräten nimmt die Warnung den ganzen Bildschirm ein, bevor der Nutzer überhaupt etwas absenden kann.

Aus Sicht des Käufers: der Besucher kommt an, sieht die Warnung, geht. Das Produkt spielt keine Rolle. Vertrauen war in drei Sekunden weg.

Wo HTTPS bereits technisch erforderlich ist

Service Workers (PWA, offline-first) laufen nur über HTTPS. HTTP/2 und HTTP/3 auch. Geolocation, Kamera, Mikrofon, Push-Benachrichtigungen — alle hängen von einem sicheren Kontext ab. Moderne Web-APIs weigern sich im Allgemeinen, außerhalb von HTTPS zu laufen.

In der Praxis: jede halbwegs moderne Anwendung braucht HTTPS, allein um zu starten.

Was es kostet

Null. Let's Encrypt stellt seit fast einem Jahrzehnt kostenlose Zertifikate mit automatischer Erneuerung aus. Cloudflare bietet flexibles SSL ebenfalls kostenlos an. Jedes seriöse Hosting im Jahr 2026 installiert SSL mit einem Klick. Es gibt keine Kostenausrede — und ehrlich gesagt, gar keine Ausrede.

Was Sie jetzt überprüfen sollten

• Die Hauptdomain leitet HTTP automatisch auf HTTPS um
• Alle Subdomains (www, app, admin) erzwingen ebenfalls HTTPS
• Das Zertifikat ist in jedem Browser gültig und erneuert sich selbst
• HSTS ist aktiv (Strict-Transport-Security-Header)
• Kein Mixed Content — Ressourcen, die via HTTP innerhalb einer HTTPS-Seite geladen werden

Wenn einer dieser Punkte fehlschlägt, ist das Problem nicht kosmetisch. Es ist operativ.