SSL Zertifikat einrichten 2025 – Let’s Encrypt mit Nginx vollständig erklärt

Ein SSL Zertifikat einrichten ist heute für jede Webseite Pflicht – nicht nur aus Sicherheitsgründen, sondern auch als Google-Ranking-Faktor und DSGVO-Anforderung. Let’s Encrypt bietet kostenlose SSL-Zertifikate die von allen Browsern anerkannt werden und sich automatisch erneuern. Als IT-Dienstleister in Bergisch Gladbach richten wir SSL Zertifikate für alle unsere Hosting-Kunden als Standard ein – für JTL-Shops wie LifeVital.net, WordPress-Seiten und Unternehmenswebseiten.

Inhaltsverzeichnis

  1. SSL Zertifikat einrichten: Warum HTTPS Pflicht ist
  2. Let’s Encrypt erklärt
  3. SSL Zertifikat einrichten: Voraussetzungen
  4. Certbot für Nginx installieren
  5. SSL Zertifikat einrichten: Nginx-Konfiguration
  6. HTTP auf HTTPS umleiten
  7. SSL Zertifikat einrichten: Automatische Erneuerung
  8. SSL-Qualität mit SSL Labs prüfen (A+ erreichen)
  9. SSL Zertifikat einrichten: Apache-Variante
  10. Wildcard-Zertifikate für alle Subdomains
  11. SSL Zertifikat einrichten: Für WordPress
  12. SSL für JTL-Shop einrichten
  13. SSL Zertifikat einrichten: Monitoring
  14. Häufige Fehler und Lösungen
  15. Fazit

1. SSL Zertifikat einrichten: Warum HTTPS unverzichtbar ist

Wenn Sie ein SSL Zertifikat einrichten, profitieren Sie von vier wesentlichen Vorteilen:

  • Google-Ranking: HTTPS ist seit 2014 Ranking-Faktor. Ohne SSL zeigt Chrome „Nicht sicher“ an – 85% der Nutzer verlassen solche Webseiten laut Studien sofort.
  • DSGVO-Konformität: Die Übertragung personenbezogener Daten (Kontaktformulare, Login, Checkout) ohne Verschlüsselung ist ein DSGVO-Verstoß nach Art. 32.
  • HTTP/2 und HTTP/3: Moderne Protokolle die Ladezeiten erheblich verbessern, sind nur mit HTTPS verfügbar.
  • Vertrauen: Das Schloss-Symbol im Browser ist für Online-Shops ein Conversion-Faktor – Käufer geben keine Zahlungsdaten auf HTTP-Seiten ein.

2. Let’s Encrypt erklärt

Let’s Encrypt ist eine non-profit Zertifizierungsstelle (CA) die von der Linux Foundation unterstützt wird. Merkmale die das SSL Zertifikat einrichten mit Let’s Encrypt so attraktiv machen:

  • Kostenlos – 0 Euro, für immer
  • Automatisch – Certbot erneuert Zertifikate selbstständig
  • Vertrauenswürdig – alle modernen Browser vertrauen Let’s Encrypt
  • Schnell – Ausstellung innerhalb von Sekunden
  • Kein Wildcard (Standard) oder mit DNS-Challenge (Wildcard)

Domain-Validated (DV) Zertifikate von Let’s Encrypt sind für 99% aller Anwendungsfälle vollständig ausreichend – auch für Online-Shops mit Zahlungsverarbeitung.

3. SSL Zertifikat einrichten: Voraussetzungen

# System: Ubuntu 22.04 / 24.04 oder Debian 11/12
# Nginx läuft bereits
# Domain zeigt auf Server-IP (DNS A-Record gesetzt)

# DNS prüfen (müssen Server-IP zeigen):
dig +short ihredomain.de
dig +short www.ihredomain.de

# Firewall öffnen:
sudo ufw allow 80/tcp comment 'Let Encrypt Verification'
sudo ufw allow 443/tcp comment 'HTTPS'
sudo ufw reload
sudo ufw status

# Nginx läuft:
sudo systemctl status nginx

4. Certbot für Nginx installieren

# Ubuntu 22.04/24.04:
sudo apt update
sudo apt install certbot python3-certbot-nginx -y

# Version prüfen:
certbot --version
# Ausgabe: certbot 2.x.x

# Für Debian 11/12 (via Snap stabiler):
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

5. SSL Zertifikat einrichten: Mit Certbot für Nginx

Das SSL Zertifikat einrichten mit Certbot erledigt in einem Befehl alles:

# SSL Zertifikat für eine Domain + www:
sudo certbot --nginx -d ihredomain.de -d www.ihredomain.de

# Certbot fragt interaktiv:
# 1. E-Mail-Adresse (für Ablauf-Benachrichtigungen – wichtig!)
# 2. Terms of Service: A akzeptieren
# 3. Newsletter: N ablehnen (optional)
# 4. HTTP→HTTPS Redirect: 2 wählen (empfohlen)

# Certbot macht automatisch:
# ✅ Zertifikat anfordern und ausstellen
# ✅ Nginx-Konfiguration ergänzen (SSL-Blöcke)
# ✅ HTTP→HTTPS Redirect konfigurieren
# ✅ Systemd-Timer für automatische Erneuerung registrieren

# Ausgabe zeigt Zertifikat-Pfade:
# /etc/letsencrypt/live/ihredomain.de/fullchain.pem
# /etc/letsencrypt/live/ihredomain.de/privkey.pem

6. Manuelle Nginx-SSL-Konfiguration

Für maximale Kontrolle beim SSL Zertifikat einrichten: manuelle Nginx-Konfiguration

# /etc/nginx/sites-available/ihredomain.de
server {
    listen 443 ssl http2;
    server_name ihredomain.de www.ihredomain.de;
    root /var/www/html;

    # Let's Encrypt Zertifikat
    ssl_certificate     /etc/letsencrypt/live/ihredomain.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/ihredomain.de/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # Nur moderne TLS-Versionen (TLS 1.0/1.1 deaktiviert)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # HSTS: Browser cachen HTTPS-Pflicht für 2 Jahre
    # ACHTUNG: Erst nach erfolgreichem SSL-Test aktivieren!
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;

    # OCSP Stapling (schnellere Zertifikatsvalidierung)
    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # Security Headers
    add_header X-Frame-Options SAMEORIGIN always;
    add_header X-Content-Type-Options nosniff always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
}

# HTTP → HTTPS Redirect
server {
    listen 80;
    server_name ihredomain.de www.ihredomain.de;
    return 301 https://ihredomain.de$request_uri;
}

7. SSL Zertifikat einrichten: Automatische Erneuerung

Let’s Encrypt Zertifikate sind 90 Tage gültig. Certbot richtet automatische Erneuerung ein:

# Certbot Renewal-Timer prüfen (sollte aktiv sein):
sudo systemctl status certbot.timer

# Manueller Test (ohne wirkliche Erneuerung):
sudo certbot renew --dry-run
# Ausgabe: "The dry run was successful."

# Automatischer Hook: Nginx nach Erneuerung neu laden
# /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh:
#!/bin/bash
systemctl reload nginx

# Cron als Alternative:
# 0 3 * * * certbot renew --quiet --deploy-hook "systemctl reload nginx"

8. SSL-Qualität prüfen: A+ bei SSL Labs erreichen

Nach dem SSL Zertifikat einrichten Qualität prüfen:

Für A+ bei SSL Labs benötigen Sie: TLS 1.2+, starke Ciphers, HSTS aktiviert, kein Mixed Content, OCSP Stapling. Die obige Nginx-Konfiguration erreicht A+ standardmäßig.

9. Apache: SSL Zertifikat einrichten

sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d ihredomain.de -d www.ihredomain.de

# Apache SSL Konfiguration (manuell):
# /etc/apache2/sites-available/ihredomain-ssl.conf
<VirtualHost *:443>
    ServerName ihredomain.de
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/ihredomain.de/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/ihredomain.de/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/ihredomain.de/chain.pem
    SSLProtocol TLSv1.2 TLSv1.3
    Header always set Strict-Transport-Security "max-age=63072000"
</VirtualHost>

10. Wildcard-Zertifikat für alle Subdomains

# *.ihredomain.de – gilt für alle Subdomains
# Erfordert DNS-Challenge (kein HTTP-Challenge)
sudo certbot certonly --manual --preferred-challenges dns 
  -d "ihredomain.de" -d "*.ihredomain.de"

# Certbot zeigt TXT-Record:
# _acme-challenge.ihredomain.de → "ABC123..." (Wert ändern sich je Versuch)
# In DNS eintragen → warten bis propagiert (dig TXT _acme-challenge.ihredomain.de)
# Dann Enter bei Certbot

# Für automatische Erneuerung: DNS-Provider-API-Plugin nutzen
# (Hetzner, Cloudflare, IONOS haben Certbot-Plugins)

11. SSL Zertifikat einrichten: WordPress

# WordPress Admin → Einstellungen → Allgemein:
# WordPress-Adresse: https://ihredomain.de
# Website-Adresse: https://ihredomain.de

# Datenbank-URLs auf HTTPS aktualisieren (WP-CLI):
wp search-replace 'http://ihredomain.de' 'https://ihredomain.de' --all-tables

# .htaccess HTTPS-Redirect (Apache):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

12. SSL für JTL-Shop

Nach dem SSL Zertifikat einrichten für JTL-Shop:

  • Admin → Einstellungen → Globale Einstellungen → Shop-URL auf https setzen
  • JTL-Wawi Connector-URL aktualisieren (https://…)
  • Mixed Content prüfen: Chrome DevTools → Console → Mixed Content Warnungen beseitigen

13. SSL Monitoring: Ablauf überwachen

# UptimeRobot (kostenlos): SSL-Ablauf-Monitoring
# → Monitor hinzufügen → "SSL" Typ → Warnung 30 Tage vorher

# Let's Encrypt sendet E-Mail 20 Tage vor Ablauf
# (an die bei Certbot angegebene Adresse)

# Manuelle Prüfung:
echo | openssl s_client -servername ihredomain.de 
  -connect ihredomain.de:443 2>/dev/null | 
  openssl x509 -noout -dates

14. Häufige Fehler beim SSL Zertifikat einrichten

ACME Challenge fehlgeschlagen: Port 80 muss von außen erreichbar sein. Nginx muss laufen. Cloud-Firewall (Hetzner, AWS Security Group) muss Port 80 erlauben.

Too many certificates: Let’s Encrypt erlaubt 5 Zertifikate pro Domain pro Woche. Bei Tests: --staging Flag nutzen.

Mixed Content nach HTTPS-Umstellung: HTTP-Ressourcen auf HTTPS-Seite. In WordPress: Better Search Replace Plugin für Datenbank-URLs.

15. Fazit: SSL Zertifikat einrichten ist einfach

Das SSL Zertifikat einrichten mit Let’s Encrypt dauert unter 10 Minuten und kostet nichts. Es gibt keine Entschuldigung mehr für HTTP. TOSMedia richtet SSL für alle Hosting-Kunden standardmäßig ein – A+-bewertet, automatisch erneuert.

SSL Zertifikat einrichten: E-Mail-Server absichern

Nicht nur Webserver brauchen ein korrekt eingerichtetes SSL Zertifikat. E-Mail-Server (Postfix, Dovecot) sollten ebenfalls mit Let’s Encrypt abgesichert werden – SMTP und IMAP ohne TLS sind ein Sicherheitsrisiko. Let’s Encrypt Zertifikate funktionieren hervorragend für Mailserver.

# Postfix TLS-Konfiguration in /etc/postfix/main.cf:
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.domain.de/fullchain.pem
smtpd_tls_key_file  = /etc/letsencrypt/live/mail.domain.de/privkey.pem
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_tls_cert_file = /etc/letsencrypt/live/mail.domain.de/fullchain.pem
smtp_tls_key_file  = /etc/letsencrypt/live/mail.domain.de/privkey.pem

# Dovecot IMAP TLS in /etc/dovecot/conf.d/10-ssl.conf:
ssl = required
ssl_cert = </etc/letsencrypt/live/mail.domain.de/fullchain.pem
ssl_key  = </etc/letsencrypt/live/mail.domain.de/privkey.pem
ssl_min_protocol = TLSv1.2

SSL Zertifikat einrichten: HSTS Preloading

HSTS (HTTP Strict Transport Security) teilt Browsern mit, dass Ihre Domain immer HTTPS verwenden soll. Nach dem SSL Zertifikat einrichten mit HSTS kann der Browser direkt ohne HTTP-Anfrage zu HTTPS wechseln – der erste Request nach HTTPS-Umstellung ist dann auch sicher.

# Nginx HSTS Header:
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
# max-age=63072000 = 2 Jahre
# includeSubDomains: gilt auch für alle Subdomains
# preload: Für HSTS Preload List eintragen lassen

# HSTS Preload List (https://hstspreload.org/):
# Ihre Domain wird in Browser-Quelltextliste aufgenommen
# Chrome, Firefox, Safari: direkt HTTPS ohne ersten HTTP-Request
# ACHTUNG: Widerruf dauert Monate – erst testen, dann preloaden

SSL Zertifikat einrichten: Mixed Content systematisch beheben

Mixed Content – HTTP-Ressourcen auf HTTPS-Seiten – ist nach dem SSL Zertifikat einrichten oft das größte Problem. Browser blockieren aktive Mixed Content (JavaScript, CSS, iFrames) und zeigen Warnungen bei passivem Mixed Content (Bilder, Video).

# Alle HTTP-Vorkommen in WordPress-Datenbank finden:
wp search-replace 'http://www.ihredomain.de' 'https://www.ihredomain.de' --dry-run --all-tables
# --dry-run zeigt was geändert wird ohne zu ändern
# Ohne --dry-run: echte Ersetzung

# Für JTL-Shop: HTTP-URLs in Produktbeschreibungen und Templates
# Datenbankabfrage für JTL-Shop:
# SELECT * FROM tartikel WHERE cBeschreibung LIKE '%http://%';

# Nginx: HTTP-Bilder von externen Quellen automatisch upgraden
add_header Content-Security-Policy "upgrade-insecure-requests";
# Browsers upgraden dann HTTP-Ressourcen automatisch zu HTTPS

SSL Zertifikat einrichten: Certificate Transparency

Nach dem SSL Zertifikat einrichten werden alle Zertifikate in öffentlichen Certificate Transparency (CT) Logs veröffentlicht. Das ist eine Sicherheitsmaßnahme: Falsch ausgestellte Zertifikate (z. B. nach Domain-Kompromittierung) können so erkannt werden. Für Sicherheitsbewusste: CT-Log-Monitoring mit crt.sh einrichten – Sie werden informiert wenn für Ihre Domain ein neues Zertifikat ausgestellt wird. Das hilft verdächtige Zertifikate sofort zu erkennen.

SSL Zertifikat einrichten: Zertifikate für lokale Entwicklung

Für lokale Entwicklungsumgebungen funktioniert Let’s Encrypt nicht (keine öffentliche Domain). Alternative nach dem SSL Zertifikat einrichten in Produktion: mkcert für lokale TLS. mkcert erstellt eine lokale CA und Zertifikate die vom Browser akzeptiert werden.

# mkcert installieren (macOS):
brew install mkcert
mkcert -install  # Lokale CA installieren
mkcert localhost 127.0.0.1 ::1 myapp.local
# Erstellt: localhost+3.pem und localhost+3-key.pem
# In Nginx: ssl_certificate ./localhost+3.pem;
# Browser akzeptiert das Zertifikat ohne Warnung

SSL Zertifikat einrichten: Sicherheits-Headers vollständig

Nach dem SSL Zertifikat einrichten sollten weitere HTTP-Sicherheits-Header konfiguriert werden. Diese schützen vor häufigen Web-Angriffen und verbessern die Sicherheitsbewertung:

# Vollständige Nginx Security Headers:
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;

# Content Security Policy (anpassen je nach Seite):
add_header Content-Security-Policy "
  default-src 'self';
  script-src 'self' 'unsafe-inline' https://www.googletagmanager.com;
  style-src 'self' 'unsafe-inline';
  img-src 'self' data: https:;
  font-src 'self';
  connect-src 'self';
  frame-ancestors 'none';
" always;

Mit diesen Headers nach dem SSL Zertifikat einrichten erreichen Sie beim Mozilla Observatory einen Score von A oder A+. Das verbessert nicht nur die Sicherheit sondern signalisiert auch professionelle Konfiguration bei Sicherheitsaudits – relevant für NIS2-betroffene Unternehmen.

SSL Zertifikat einrichten: PFS (Perfect Forward Secrecy)

Perfect Forward Secrecy (PFS) stellt sicher, dass aufgezeichnete verschlüsselte Verbindungen nicht im Nachhinein entschlüsselt werden können, selbst wenn der private Schlüssel kompromittiert wird. Nach dem SSL Zertifikat einrichten ist PFS mit modernen TLS-Ciphers (ECDHE) automatisch aktiv. Die obige Nginx-Konfiguration mit ECDHE-Ciphers aktiviert PFS standardmäßig. Prüfen im SSL Labs Test: „Forward Secrecy“ sollte „Yes (with most browsers)“ zeigen.

SSL Zertifikat einrichten: Prüfungs-Werkzeuge im Überblick

Nach dem SSL Zertifikat einrichten sollten Sie regelmäßige Prüfungen durchführen. Neben SSL Labs gibt es weitere nützliche Tools: testssl.sh ist ein Open-Source-Kommandozeilen-Tool das SSL/TLS-Konfigurationen lokal prüft. Vorteil: keine Daten verlassen Ihr Netzwerk, gut für interne Server. Hardenize prüft nicht nur SSL sondern auch E-Mail-Sicherheit (DMARC, DKIM, SPF), DNS-Sicherheit und HTTP-Headers. Besonders empfehlenswert für eine Gesamtbewertung der Server-Sicherheit nach dem SSL Zertifikat einrichten. ImmuniWeb Security Test bietet kostenlose Website-Sicherheitsbewertung inklusive SSL, Software-Versionen und bekannte Schwachstellen.

TOSMedia prüft alle Hosting-Kunden monatlich auf SSL-Konfiguration, Zertifikat-Ablaufdaten und Sicherheits-Headers. Bei Abweichungen vom A+-Standard werden automatisch Korrekturen eingeleitet. Das SSL Zertifikat einrichten ist der erste Schritt – dauerhafter Betrieb auf A+-Niveau ist das Ziel.

SSL Zertifikat einrichten: Zusammenfassung

Das SSL Zertifikat einrichten mit Let’s Encrypt und Nginx ist in 10 Minuten erledigt und kostet nichts. Es gibt keine Entschuldigung mehr für HTTP – weder technisch noch finanziell. Die in diesem Artikel beschriebene Konfiguration erreicht A+ bei SSL Labs, implementiert HSTS, OCSP Stapling und alle empfohlenen Security Headers. TOSMedia richtet für alle Hosting-Kunden SSL als Standard ein, überwacht Ablaufdaten und erneuert automatisch. Wenn Sie noch kein HTTPS nutzen oder unsicher über die Konfigurationsqualität Ihres SSL sind – sprechen Sie uns an für einen kostenlosen SSL-Audit.

Als abschließende Empfehlung nach dem SSL Zertifikat einrichten: Führen Sie sofort den SSL Labs Test durch (ssllabs.com/ssltest), streben Sie A+ an, aktivieren Sie HSTS nur nach erfolgreichem Test. Richten Sie SSL-Ablauf-Monitoring ein (UptimeRobot, 30 Tage Vorlaufwarnung). Prüfen Sie Mixed Content in Browser-DevTools. Und wiederholen Sie den Test nach größeren Konfigurationsänderungen. TOSMedia macht diese Prüfungen für alle Kunden monatlich.

Das SSL Zertifikat einrichten ist nur der erste Schritt einer vollständigen Server-Sicherheitsstrategie. TOSMedia kombiniert SSL mit vollständiger Nginx-Härtung, Security-Headers, automatischen Updates und Monitoring – für ein Server-Security-Paket das NIS2-Anforderungen erfüllt. Alle Maßnahmen nach dem SSL Zertifikat einrichten sind in unserem Hosting-Paket inklusive: A+ bei SSL Labs, vollständige Security-Headers, Fail2ban, automatische Updates. Wenn Sie professionelle Server-Sicherheit über das reine SSL Zertifikat einrichten hinaus benötigen – TOSMedia ist Ihr Ansprechpartner in Bergisch Gladbach und betreut Kunden in ganz Deutschland remote.

Nach dem SSL Zertifikat einrichten ist die Webseite technisch abgesichert. Der nächste logische Schritt: vollständige Server-Härtung. TOSMedia bietet ein Server-Security-Paket das auf dem SSL Zertifikat einrichten aufbaut und alle weiteren Sicherheitsebenen abdeckt: Fail2ban, Firewall-Regeln, automatische Updates, ModSecurity WAF, regelmäßige Vulnerability-Scans. Gemeinsam mit dem korrekten SSL Zertifikat einrichten entsteht eine Defense-in-Depth-Strategie die auch NIS2-Anforderungen erfüllt. Für Kunden die ihr SSL Zertifikat einrichten lassen möchten und gleichzeitig eine vollständige Server-Absicherung wünschen – sprechen Sie uns an.

SSL Zertifikat einrichten: EV, OV und DV im Vergleich

Es gibt drei Klassen von SSL-Zertifikaten. Für das SSL Zertifikat einrichten die richtige Wahl treffen:

Typ Prüfung Kosten Geeignet für
DV (Domain Validated) Nur Domain-Kontrolle Kostenlos (Let’s Encrypt) Alle Webseiten, Online-Shops
OV (Organization Validated) Firmenidentität geprüft 50-200€/Jahr Unternehmenswebseiten, B2B
EV (Extended Validation) Strenge Firmenprüfung 100-500€/Jahr Banken, Enterprise (kaum mehr sichtbarer Vorteil)

Für 99% aller Anwendungsfälle – inklusive Online-Shops mit Zahlungsverarbeitung – reicht ein kostenloses DV-Zertifikat von Let’s Encrypt vollständig aus. Der frühere Vorteil von EV-Zertifikaten (grüne Adressleiste) ist in modernen Browsern nicht mehr sichtbar.

SSL Zertifikat einrichten: Sicherheits-Headers im Detail

Nach dem SSL Zertifikat einrichten verbessern diese HTTP-Security-Header die Sicherheit weiter:

# /etc/nginx/conf.d/security-headers.conf
# Für alle Server-Blöcke global

# Verhindert Clickjacking
add_header X-Frame-Options "SAMEORIGIN" always;

# Verhindert MIME-Type-Sniffing
add_header X-Content-Type-Options "nosniff" always;

# Referrer-Informationen kontrollieren
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

# Content Security Policy (komplex, individuell anpassen):
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://www.google-analytics.com; img-src 'self' data: https:; style-src 'self' 'unsafe-inline';" always;

# Permissions Policy (Kamerazugriff, Geolocation etc. deaktivieren)
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;

# HSTS nur aktivieren wenn SSL dauerhaft ist!
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

Mit diesen Headers erreichen Sie A+ bei Mozilla Observatory und maximale Sicherheitsbewertung nach dem SSL Zertifikat einrichten.

Core Web Vitals optimieren: FAQ

Wie lange dauert es bis Google-Rankings sich nach der Optimierung verbessern?
Search Console zeigt neue Field-Daten nach 28 Tagen (Durchschnitt über 28 Tage). Rankings verbessern sich typisch 4–12 Wochen nach Optimierung. Schnelleres Crawling nach Validierungs-Request in der Search Console möglich.
Welche Seiten sollte ich zuerst optimieren?
Priorisieren Sie nach Traffic und Conversion-Relevanz: Startseite, Kategorieseiten, Produktseiten, Checkout. Starten Sie mit den Seiten mit den meisten Impressionen laut Search Console.
Core Web Vitals sind grün – warum ranke ich trotzdem nicht?
Core Web Vitals sind ein Ranking-Faktor unter vielen. Content-Qualität, Backlinks, Seitenautorität und Keyword-Optimierung sind weiterhin wichtiger. CWV sind eher ein „Tiebreaker“ bei gleich gut optimierten Seiten.
Muss ich CWV auf Desktop und Mobil separat optimieren?
Ja – Google bewertet Desktop und Mobil separat. Mobil ist in der Regel schwieriger zu optimieren (langsamere Verbindungen, weniger CPU). Priorität: Mobile, da Google Mobile-First-Indexing nutzt.

→ SSL-Einrichtung und Hosting anfragen | IT-Services TOSMedia | Linux Server absichern | WordPress absichern | Let’s Encrypt Dokumentation