SSL Labs sagt B oder C?
Wir bringen Sie auf A+.
Veraltete TLS-Versionen raus, schwache Cipher ersetzen, HSTS aktivieren, OCSP Stapling einschalten. Auf Apache oder nginx typisch 30 bis 90 Minuten — bei Shared-Hosting sagen wir vorher, was geht und was nicht.
So testen Sie in drei Schritten
Der Test läuft komplett im Browser beim Anbieter. Kein Login, keine Installation.
Domain eingeben
Auf ssllabs.com/ssltest Ihre Domain eintragen — ohne https:// und ohne Schrägstrich. Nur der reine Hostname, zum Beispiel ihrefirma.de. Häkchen bei „Do not show the results on the boards" setzen, wenn Sie nicht öffentlich gelistet werden wollen.
Ergebnis abwarten
Der erste Test dauert zwei bis drei Minuten. Sie sehen oben links das Gesamt-Grade (A+ bis F) und darunter vier Einzel-Balken für Zertifikat, Protokoll-Support, Key Exchange und Cipher Strength.
Warnungen lesen
Direkt unter dem Grade steht in Rot und Orange, was nicht stimmt: zum Beispiel „This server is vulnerable to POODLE" oder „HSTS missing". Das sind die Punkte, die den Score nach unten ziehen.
Die Grades im Klartext
Was die Schulnote von SSL Labs tatsächlich bedeutet — und ab wann Sie handeln sollten.
Grün — sauber
Moderne TLS-Versionen, starke Cipher, gültiges Zertifikat. A+ zusätzlich mit HSTS — der Browser wird gezwungen, nur HTTPS zu nutzen. Das ist das Niveau, auf dem Ihre Seite stehen sollte.
Gelb — Altlasten aktiv
TLS 1.0 oder 1.1 noch aktiviert, schwache Cipher-Suiten werden akzeptiert, keine Forward Secrecy. Funktioniert, aber Angreifer mit Ressourcen könnten Verbindungen kompromittieren. Bei DSGVO-relevanten Daten problematisch.
Rot — Handeln Sie
F: grobe Fehler, bekannte Schwachstellen, abgelaufenes Zertifikat. Browser zeigen oft schon Warnseiten. T: Zertifikat selbst signiert oder von nicht vertrauenswürdiger Stelle. Beides sofort beheben.
Was wir beim Aufräumen tatsächlich tun
- TLS 1.0 und 1.1 deaktivieren. Beide Versionen gelten seit Jahren als veraltet. Moderne Browser unterstützen mindestens TLS 1.2, oft 1.3. Abschalten kostet nichts, bringt aber direkt Grade-Punkte.
- Schwache Cipher-Suiten raus. RC4, 3DES, SHA1-basierte Suiten gehören entfernt. Stattdessen moderne ECDHE-Suiten mit AES-GCM oder ChaCha20.
- HSTS mit sinnvoller Laufzeit. Strict-Transport-Security-Header mit max-age von mindestens sechs Monaten, inklusive includeSubDomains. Das hebt das Grade von A auf A+.
- OCSP Stapling aktivieren. Der Server liefert den Widerrufs-Status des Zertifikats gleich mit — beschleunigt die Verbindung und schützt die Privatsphäre der Besucher.
- Zertifikats-Kette sauber ausliefern. Viele Server liefern nur das eigene Zertifikat, nicht die Zwischenzertifikate. Manche Browser kompensieren das, andere nicht — sauber ist anders.
- DH-Parameter stärken. Wenn Diffie-Hellman-Key-Exchange im Einsatz ist, müssen die Parameter mindestens 2048 Bit haben — 1024 gilt als knackbar.
Ihre Seite hat B oder schlechter und Sie wollen das gerade gerückt haben?
Wir schauen uns die Server-Konfiguration an, tauschen Protokolle und Cipher-Suiten aus, aktivieren HSTS und OCSP Stapling. Bei normalen Apache- oder nginx-Servern typisch 30 bis 90 Minuten. Wenn der Anbieter die Konfiguration einschränkt (manche Shared-Hostings), sagen wir das vorher. Abrechnung ab 29 Euro pro halbe Stunde.
A+-Konfiguration anfragenHäufig gestellte Fragen
Mein Schloss-Symbol ist grün — reicht das nicht?
Nein. Das Schloss im Browser sagt nur: „HTTPS wird genutzt und das Zertifikat ist gültig." Es sagt nichts darüber aus, ob veraltete Protokolle wie TLS 1.0 noch erlaubt sind, ob schwache Cipher-Suiten akzeptiert werden oder ob HSTS aktiv ist. Der Browser warnt erst bei ganz groben Problemen. SSL Labs geht deutlich tiefer.
Was ist der Unterschied zwischen A und A+?
Beide sind technisch sicher. A+ bekommen Sie zusätzlich, wenn HSTS (HTTP Strict Transport Security) mit einer Laufzeit von mindestens sechs Monaten aktiv ist. Damit zwingen Sie alle Browser, Ihre Seite ausschließlich über HTTPS zu laden — auch wenn jemand „http://" eintippt. A+ ist kein Muss, aber ein Zeichen von Sorgfalt.
Warum ist B oder C schlecht, auch wenn die Seite funktioniert?
B und C bedeuten: veraltete TLS-Versionen (1.0 oder 1.1) sind aktiviert, oder schwache Cipher-Suiten werden akzeptiert. Heißt: ein Angreifer mit der richtigen Ausrüstung könnte Verbindungen mitlesen oder manipulieren. In der Praxis kein Alltagsrisiko, aber bei sensiblen Daten (Login, Zahlung, Gesundheit) ein Thema — und spätestens ein Haftungsproblem bei der DSGVO.
F oder T bedeutet was?
F heißt: grobe Fehler, zum Beispiel abgelaufenes Zertifikat, falscher Domainname oder komplett veraltete Verschlüsselung. Browser zeigen dann meist schon eine große Warnseite an. T (Trust Issue) heißt: die Verschlüsselung ist technisch okay, aber das Zertifikat stammt von einer nicht vertrauenswürdigen Stelle — typisch bei selbst ausgestellten Zertifikaten auf internen Servern.
Wie oft soll ich prüfen?
Einmal nach der Einrichtung, dann einmal pro Jahr, und immer nach größeren Änderungen am Server oder einem Provider-Wechsel. Zertifikate von Let's Encrypt erneuern sich automatisch, aber die Server-Konfiguration drumherum kann durch Updates kaputtgehen. Ein Jahresscan ist versicherbar.
Funktioniert das auch für Mail- oder andere Server?
Ja, aber SSL Labs testet standardmäßig nur HTTPS auf Port 443. Für Mailserver gibt es spezialisierte Tests wie testssl.sh oder nmap mit SSL-Skripten. Wenn Sie einen Mail-, FTP- oder IMAP-Server mit TLS prüfen wollen, machen wir das auf Anfrage separat.
Warum dauert der Test so lange?
SSL Labs führt dutzende Einzeltests durch — jede unterstützte TLS-Version und Cipher-Suite wird einzeln angesprochen, außerdem OCSP, Zertifikats-Transparenz, Forward Secrecy. Bei neuen Domains läuft der Test komplett neu (zwei bis drei Minuten). Für bereits getestete Domains gibt es ein Cache-Ergebnis, das sofort angezeigt wird — darunter ein „Clear cache"-Link für einen frischen Durchlauf.
Beschreiben Sie Ihr Problem
Wir melden uns bei Ihnen und finden eine Lösung.