Let's Encrypt automatisch verlängern: So geht's

SSL & Sicherheit

SSL-Zertifikat läuft ab? Nicht mit Ihnen.

Let's Encrypt Zertifikate sind kostenlos, sicher und werden von allen Browsern akzeptiert. Der einzige Haken: Sie laufen alle 90 Tage ab. Wenn die automatische Verlängerung nicht funktioniert, sehen Ihre Besucher plötzlich eine Sicherheitswarnung. In diesem Artikel zeige ich Ihnen, wie Sie die automatische Verlängerung prüfen, einrichten und überwachen - damit Ihr HTTPS niemals ausfällt.

Veröffentlicht am 23. Januar 2026 SSL & Sicherheit

Warum Let's Encrypt alle 90 Tage abläuft

Die kurze Laufzeit von Let's Encrypt Zertifikaten ist kein Bug, sondern ein Feature. Kürzere Gültigkeitszeiträume bedeuten weniger Risiko: Sollte ein Zertifikat kompromittiert werden, ist der Schaden zeitlich begrenzt. Außerdem zwingt die kurze Laufzeit zur Automatisierung - und automatisierte Prozesse sind weniger fehleranfällig als manuelle. Das SSL-Zertifikat ist nur ein Baustein der Website-Sicherheit - aber ein wichtiger.

Wichtig: Ab Mai 2026 bietet Let's Encrypt ein Opt-in-Profil mit 45-Tage-Zertifikaten an. Der Standard wechselt auf 64 Tage im Februar 2027 und auf 45 Tage im Februar 2028. Das macht eine funktionierende Automatisierung noch wichtiger. Wer bisher manuell erneuert hat, sollte jetzt auf automatische Verlängerung umstellen.

Die gute Nachricht: Bei den meisten Hosting-Anbietern ist die automatische Verlängerung bereits aktiviert. Sie müssen nur prüfen, ob sie auch funktioniert. Falls Sie einen eigenen Server betreiben, ist die Einrichtung mit Certbot ebenfalls unkompliziert.

Let's Encrypt automatisch verlängern - Server erneuert SSL-Zertifikat automatisch im Hintergrund — Automatische Zertifikatserneuerung: Im Hintergrund läuft der Prozess ohne Ihr Zutun

So prüfen Sie, ob die automatische Verlängerung aktiv ist

Bevor Sie etwas einrichten, sollten Sie prüfen, ob die automatische Verlängerung bereits funktioniert. Bei Shared Hosting ist das meist der Fall - aber Vertrauen ist gut, Kontrolle besser.

Bei Shared Hosting (All-Inkl, IONOS, Strato, etc.): Loggen Sie sich in Ihr Hosting-Control-Panel ein. Suchen Sie nach "SSL/TLS", "Let's Encrypt" oder "Sicherheit". Bei den meisten Anbietern finden Sie dort eine Option wie "Auto-Renewal" oder "Automatische Verlängerung". Ist diese aktiviert, kümmert sich der Hoster automatisch um die Erneuerung - meist 30 Tage vor Ablauf.

Bei eigenen Servern: Prüfen Sie, ob ein Cronjob für Certbot eingerichtet ist. Führen Sie folgenden Befehl aus: sudo systemctl list-timers | grep certbot. Wenn Sie einen Timer sehen, ist die automatische Erneuerung aktiv. Alternativ können Sie mit sudo certbot renew --dry-run einen Testlauf starten - dieser simuliert die Erneuerung ohne tatsächlich ein neues Zertifikat auszustellen.

                        💡
                        Ablaufdatum schnell prüfen
                    
                        Klicken Sie im Browser auf das Schloss-Symbol in der Adressleiste und dann auf "Zertifikat" oder "Verbindung ist sicher". Dort sehen Sie das Ablaufdatum. Liegt es mehr als 60 Tage in der Zukunft, wurde das Zertifikat kürzlich erneuert.
                    

Automatische Verlängerung bei verschiedenen Hostern

Die genauen Schritte variieren je nach Hosting-Anbieter. Hier eine Übersicht für die gängigsten deutschen Hoster:

All-Inkl: Im KAS (Kunden-Administrations-System) unter "Domain" → "bearbeiten" → "SSL-Schutz". Wählen Sie "Let's Encrypt" und aktivieren Sie "automatische Verlängerung". All-Inkl erneuert Zertifikate automatisch 30 Tage vor Ablauf.

IONOS: Im Control Center unter "Domains & SSL" → SSL-Zertifikat verwalten. IONOS bietet für die meisten Pakete ein inkludiertes SSL-Zertifikat mit automatischer Verlängerung. Prüfen Sie, ob "SSL-Zertifikat" auf "Aktiv" steht.

Strato: Im Kunden-Login unter "Sicherheit" → "SSL-Zertifikate". Strato bietet Let's Encrypt für Hosting-Pakete mit automatischer Verlängerung. Falls Sie ein älteres Paket haben, müssen Sie möglicherweise auf einen neueren Tarif wechseln.

Hetzner: Bei Hetzner Webhosting ist Let's Encrypt in konsoleH verfügbar. Unter "Webhosting" → "SSL-Zertifikate" können Sie Let's Encrypt aktivieren. Die Verlängerung erfolgt automatisch.

Plesk/cPanel: Wenn Ihr Hoster Plesk oder cPanel nutzt, finden Sie die Let's Encrypt-Verwaltung unter "Security" oder "SSL/TLS". Beide Panels bieten eine Option für automatische Erneuerung.

Let's Encrypt Einstellungen im Hosting-Panel - automatische Verlängerung aktivieren — Im Hosting-Panel finden Sie die SSL-Einstellungen meist unter "Sicherheit" oder "SSL/TLS"

Certbot für eigene Server einrichten

Wenn Sie einen eigenen Server (VPS, Dedicated, Cloud) betreiben, ist Certbot das Standardwerkzeug für Let's Encrypt. Die Installation ist bei den meisten Linux-Distributionen einfach:

Installation (Debian/Ubuntu):
sudo apt update && sudo apt install certbot python3-certbot-apache
Für nginx ersetzen Sie python3-certbot-apache durch python3-certbot-nginx.

Zertifikat erstellen:
sudo certbot --apache -d beispiel.de -d www.beispiel.de
Certbot konfiguriert Apache automatisch und richtet die Weiterleitung von HTTP auf HTTPS ein.

Automatische Verlängerung aktivieren: Bei den meisten Installationen richtet Certbot automatisch einen Systemd-Timer oder Cronjob ein. Prüfen Sie das mit sudo systemctl status certbot.timer. Der Timer führt certbot renew zweimal täglich aus - Zertifikate werden aber nur erneuert, wenn sie in weniger als 30 Tagen ablaufen.

⚠ Firewall und .htaccess prüfen

Let's Encrypt muss eine Validierungsdatei unter /.well-known/acme-challenge/ ablegen können. Wenn Ihre Firewall oder .htaccess diesen Pfad blockiert, schlägt die Erneuerung fehl. Stellen Sie sicher, dass HTTP-Anfragen an diesen Pfad durchgelassen werden.

Was tun, wenn die Verlängerung fehlschlägt?

Manchmal funktioniert die automatische Verlängerung nicht wie erwartet. Die häufigsten Ursachen und Lösungen:

DNS-Probleme: Die Domain muss korrekt auf Ihren Server zeigen. Prüfen Sie mit dig beispiel.de oder Online-Tools wie "DNS Checker", ob die A-Records stimmen. Nach DNS-Änderungen kann es je nach TTL-Einstellung Ihres DNS-Anbieters wenige Minuten bis zu 48 Stunden dauern, bis diese weltweit propagiert sind - die meisten modernen Anbieter nutzen kurze TTLs von 5 bis 60 Minuten.

Zugriff blockiert: Wenn Ihre Website hinter einem CDN wie Cloudflare liegt, muss die Validierung trotzdem zum Origin-Server durchkommen. Bei Cloudflare können Sie unter "SSL/TLS" → "Edge Certificates" die automatische Erneuerung aktivieren, sodass Cloudflare sich selbst um das Zertifikat kümmert.

Rate Limits erreicht: Let's Encrypt erlaubt maximal 50 Zertifikate pro Domain pro Woche. Wenn Sie zu viele Zertifikate angefordert haben (z.B. durch Testläufe ohne --dry-run), müssen Sie eine Woche warten. Nutzen Sie für Tests immer --dry-run, das die Erneuerung simuliert ohne echte Zertifikate auszustellen.

Webserver nicht neugestartet: Nach der Zertifikatserneuerung muss der Webserver das neue Zertifikat laden. Bei Certbot passiert das normalerweise automatisch durch einen Hook. Prüfen Sie, ob unter /etc/letsencrypt/renewal-hooks/deploy/ ein Skript liegt, das Apache oder nginx neustartet.

Ausführliche Anleitungen zur Fehlerbehebung finden Sie im Ratgeber "SSL-Zertifikat Fehler beheben". Dort erkläre ich auch, wie Sie Mixed-Content-Probleme und andere HTTPS-Fehler lösen. Falls Sie lieber einen Profi ranlassen möchten: Auf meiner Website-Reparatur-Seite finden Sie alle Infos zu meinem Service.

SSL-Zertifikat Monitoring - Dashboard zeigt Ablaufdaten und Erneuerungsstatus — SSL-Monitoring: Behalten Sie den Überblick über alle Ihre Zertifikate

Häufig gestellte Fragen

Die kurze Laufzeit ist ein bewusstes Sicherheitsfeature. Sollte ein Zertifikat kompromittiert werden, ist der Schaden zeitlich begrenzt. Außerdem fördert die kurze Laufzeit die Automatisierung - manuelle Erneuerung alle 90 Tage wäre nicht praktikabel. Ab Mai 2026 gibt es ein Opt-in-Profil mit 45 Tagen, der Standard wechselt auf 64 Tage (Februar 2027) und später auf 45 Tage (Februar 2028).

Loggen Sie sich in Ihr Hosting-Control-Panel ein und suchen Sie nach "SSL/TLS" oder "Let's Encrypt". Bei den meisten Hostern finden Sie dort eine Option wie "Auto-Renewal" oder "Automatische Verlängerung". Ist diese aktiviert, kümmert sich der Hoster automatisch um die Erneuerung - meist 30 Tage vor Ablauf.

Prüfen Sie zunächst, ob die Domain korrekt auf Ihren Server zeigt (DNS-Einträge). Let's Encrypt muss eine Validierungsdatei auf Ihrem Server ablegen können. Blockiert Ihre .htaccess oder Firewall den Zugriff auf /.well-known/acme-challenge/? Bei Shared Hosting kontaktieren Sie den Support. Bei eigenen Servern prüfen Sie die Certbot-Logs unter /var/log/letsencrypt/.

Let's Encrypt hat seinen E-Mail-Benachrichtigungs-Service im Juni 2025 eingestellt. Sie müssen selbst für Monitoring sorgen - entweder über Ihren Hoster, SSL-Monitoring-Tools oder eigene Skripte. Bei Certbot auf eigenen Servern können Sie einen Cronjob einrichten, der bei fehlgeschlagener Erneuerung eine E-Mail sendet.

Ja, Let's Encrypt unterstützt sowohl einzelne Subdomains als auch Wildcard-Zertifikate (*.beispiel.de). Für Wildcards ist jedoch eine DNS-Validierung erforderlich statt der üblichen HTTP-Validierung. Das bedeutet, Sie müssen einen TXT-Eintrag in Ihren DNS-Einstellungen setzen können - nicht alle Hoster unterstützen das automatisiert.

⚠ Hinweis

Dieser Artikel dient der allgemeinen Information und ersetzt keine professionelle Beratung. Alle technischen Anleitungen erfolgen auf eigenes Risiko. Ich empfehle dringend, vor Änderungen an Ihrer Server-Konfiguration ein Backup anzulegen. Für Schäden, die durch die Anwendung der hier beschriebenen Methoden entstehen, übernehme ich keine Haftung.

🔒

Ihr SSL-Zertifikat macht Probleme?

Im ausführlichen Ratgeber "SSL-Zertifikat Fehler beheben" zeige ich Ihnen alle Lösungen für HTTPS-Probleme - von abgelaufenen Zertifikaten bis zu Mixed-Content-Warnungen. Oder Sie schreiben mir einfach, und ich kümmere mich darum.

Zum ausführlichen Ratgeber → Problem schildern →