Ratgeber: Eigene Website wird als nicht sicher angezeigt

Das Wichtigste in Kürze

Browser-Warnungen entstehen häufig durch ein fehlendes, abgelaufenes oder falsch konfiguriertes SSL-Zertifikat und schrecken Kunden beim ersten Besuch ab.

Auch Mixed-Content-Fehler und fehlerhafte HTTP-HTTPS-Weiterleitungen lösen die Meldung aus – besonders häufig bei WordPress-Websites.

So gehst du vor: SSL-Zertifikat installieren, 301-Weiterleitung einrichten und deine Website mit SSL Labs auf Mixed-Content-Fehler prüfen.

Inhaltsverzeichnis

Der stille Umsatzkiller auf deiner Website
Gründe für die Einstufung einer Seite als unsicher
So verbesserst du eine unsichere Website
Sicherheitswarnungen in Zukunft vermeiden
Häufig gestellte Fragen

Der stille Umsatzkiller auf deiner Website

Du rufst deine Seite im Browser auf – und statt eines sorgfältig gestalteten Auftritts erscheint ein Warnhinweis: Nicht sicher. Für viele Besucher ist genau das der Moment, in dem sie den Tab sofort wieder schließen. Die eigene Website wird als nicht sicher angezeigt – und das ist in erster Linie kein technisches, sondern ein Vertrauensproblem. In diesem Artikel zeige ich dir, wie du die Ursache der Warnung identifizierst, behebst und in Zukunft verhinderst.

Bedeutung der Browser-Warnung Nicht sicher

Die Sicherheitswarnung signalisiert, dass die Verbindung zwischen dem Browser deines Besuchers und deinem Webserver unverschlüsselt ist. Daten – etwa aus einem Kontaktformular oder Login-Informationen – werden im Klartext übertragen und könnten theoretisch abgefangen werden.

Technisch ausgedrückt: Deine Website läuft über das veraltete HTTP-Protokoll, statt über dessen verschlüsselte Variante HTTPS (HyperText Transfer Protocol Secure). Bereits seit 2018 kennzeichnet Google Chrome alle HTTP-Seiten als Nicht sicher – und das sehen deine Besucher unmittelbar in der Adressleiste ihres Browsers.

Warnmeldungen in Chrome, Firefox und Safari

Browser kommunizieren die fehlende Verschlüsselung mit unterschiedlicher Darstellung:

Google Chrome zeigt ein durchgestrichenes Schloss-Symbol sowie den Schriftzug Nicht sicher direkt in der Adressleiste.

Mozilla Firefox kennzeichnet betroffene Seiten mit einem durchgestrichenen Schloss und einem Warnhinweis beim Klick darauf.

Safari blendet kein Schloss-Symbol ein und zeigt stattdessen den Hinweis Nicht sicher neben der URL.

Microsoft Edge übernimmt das Chrome-Verhalten und zeigt ebenfalls Nicht sicher in der Adressleiste.

Wird deine Website über eine unsichere Verbindung aufgerufen, erscheint bei einigen Browsern zusätzlich eine ganzseitige Warnseite, bevor der Nutzer die Seite überhaupt sehen kann.

Auswirkungen der Meldung auf dein Business

Die Folgen dieser Warnung gehen weit über ein technisches Ärgernis hinaus. Laut einer Studie des Baymard Institute bricht jeder fünfte Nutzer einen Kaufvorgang ab, sobald er der aufgerufenen Seite nicht vertraut. Wer seinen digitalen Auftritt nicht absichert, verliert potenzielle Kunden still und leise – noch bevor sie die erste Zeile gelesen haben.

Darüber hinaus bewertet Google Websites ohne HTTPS seit Jahren als weniger vertrauenswürdig. Das wirkt sich direkt auf dein Suchmaschinenranking aus. Wer seine Homepage als nicht sicher angezeigt bekommt und nichts dagegen unternimmt, verliert damit sowohl Besucher als auch Sichtbarkeit.

Diese Website-Betreiber sind besonders betroffen

Betroffen sind vor allem Selbstständige, Freiberufler und kleine Unternehmen, die ihre Website über günstige Hosting-Pakete betreiben oder sie einmalig haben erstellen lassen – ohne jemanden, der sich regelmäßig um technische Updates kümmert. Besonders häufig betroffen sind WordPress-Seiten, da dort die Konfiguration von HTTPS zusätzliche Schritte erfordert, die beim initialen Setup oft übergangen werden.

Gründe für die Einstufung einer Seite als unsicher

Bevor du eine Lösung umsetzt, musst du die Ursache kennen. Die folgenden fünf Gründe sind für die große Mehrheit aller Fälle verantwortlich.

1. Fehlendes SSL-Zertifikat

Das häufigste Problem: Deine Website verfügt schlicht über kein SSL-Zertifikat. SSL (Secure Sockets Layer) ist die Technologie, die eine verschlüsselte Verbindung zwischen Browser und Server ermöglicht. Ohne dieses Zertifikat ist HTTPS nicht möglich – und dein Browser zeigt die Warnung. Viele ältere Hosting-Pakete enthalten kein standardmäßiges SSL-Zertifikat. Du musst es entweder separat beantragen oder auf einen Anbieter wechseln, der es inklusive anbietet.

2. Abgelaufenes oder falsch konfiguriertes SSL-Zertifikat

Ein vorhandenes Zertifikat löst das Problem nicht automatisch dauerhaft. SSL-Zertifikate haben eine Laufzeit – meist 90 Tage (bei kostenlosen Let’s-Encrypt-Zertifikaten) oder ein Jahr (bei bezahlten Varianten). Läuft die Laufzeit ab, ohne dass eine Erneuerung stattfindet, zeigt der Browser erneut eine Warnung an.

3. Mixed Content durch HTTP-Inhalte auf HTTPS-Seiten

Selbst wenn deine Website korrekt auf HTTPS läuft, kann die Warnung weiterhin erscheinen. Der Grund: Sogenannter Mixed Content. Das bedeutet, dass einzelne Elemente deiner Seite – etwa Bilder, Schriftarten, Videos oder eingebettete Skripte – noch über HTTP geladen werden, obwohl die Seite selbst HTTPS verwendet. Browser stufen solche Seiten als unsicher ein, weil ein einziges unsicheres Element die gesamte Verbindung kompromittieren kann.

4. Falsche Weiterleitungen von HTTP auf HTTPS

Ein weiterer häufiger Fehler: Das SSL-Zertifikat ist installiert, aber die Website lädt weiterhin über HTTP, weil keine oder eine fehlerhafte Weiterleitung konfiguriert wurde. Besucher, die http://deinedomain.de eingeben, landen dann auf der unsicheren Version – ohne automatische Weiterleitung auf die sichere https://-Variante.

5. Besonderheiten bei WordPress-Websites

WordPress-Websites erfordern eine zusätzliche Einstellung: Auch innerhalb der WordPress-Administration muss die Seiten-URL auf HTTPS umgestellt werden. Geschieht das nicht, können interne Links, Medien und Skripte weiterhin über HTTP geladen werden – selbst wenn das Zertifikat korrekt installiert ist. Darüber hinaus können veraltete Plugins oder Themes fest eingecodierte HTTP-URLs enthalten, die zu Mixed-Content-Fehlern führen.

So verbesserst du eine unsichere Website

SSL-Zertifikat beantragen und installieren

Der erste und wichtigste Schritt: Stelle sicher, dass ein gültiges SSL-Zertifikat für deine Domain vorhanden ist.

Kostenlose Option: Das meistgenutzte kostenlose Zertifikat stammt von Let’s Encrypt. Die meisten modernen Hosting-Anbieter ermöglichen die Installation direkt im Hosting-Kontrollpanel mit wenigen Klicks.

Bezahlte Option: Für Websites mit besonders sensiblen Daten (z. B. Onlineshops) empfehlen sich Extended-Validation-Zertifikate (EV-SSL), die bei Anbietern wie DigiCert oder Sectigo ab ca. 50–200 Euro pro Jahr erhältlich sind.

Für die meisten selbstständigen Website-Betreiber ist ein kostenloses Let’s-Encrypt-Zertifikat ausreichend.

Weiterleitung von HTTP auf HTTPS einrichten

Nach der Zertifikatsinstallation muss eine dauerhafte 301-Weiterleitung eingerichtet werden. Beim verbreiteten Apache-Webserver geschieht das über die .htaccess-Datei im Stammverzeichnis deiner Website. Füge dort folgenden Code ein:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Viele Hosting-Anbieter erlauben diese Einstellung alternativ direkt im Kontrollpanel. Prüfe außerdem, ob in deinem Hosting-Backend eine Option wie HTTPS erzwingen oder SSL aktivieren vorhanden ist.

Mixed-Content-Fehler finden und beheben

Um Mixed-Content-Fehler aufzuspüren, nutze die kostenlosen Tools Why No Padlock oder SSL Labs. Alternativ öffne die Browser-Entwicklertools (F12 in Chrome) und wechsle zum Tab Konsole – dort werden HTTP-Anfragen als Fehler oder Warnungen angezeigt.

Hast du die betroffenen Elemente identifiziert, ändere alle internen HTTP-Links auf HTTPS. Bei WordPress hilft das Plugin Better Search Replace, mit dem du in der Datenbank systematisch http://deinedomain.de durch https://deinedomain.de ersetzen kannst.

WP-Websites absichern: Plugins und Einstellungen

Für WordPress-Nutzer gibt es einen klaren Ablauf:

WordPress-Adresse anpassen: Gehe zu Einstellungen → Allgemein und ändere WordPress-Adresse (URL) und Website-Adresse (URL) von http:// auf https://.

Plugin nutzen: Das Plugin Really Simple SSL erkennt automatisch dein installiertes Zertifikat und nimmt die wichtigsten Einstellungen vor – empfehlenswert für Einsteiger.

Datenbank bereinigen: Nutze Better Search Replace, um verbleibende HTTP-URLs in der Datenbank zu ersetzen.

Plugins und Themes aktualisieren: Veraltete Erweiterungen können fest eingecodierte HTTP-URLs enthalten. Halte alles aktuell.

So überprüfst du, ob alles korrekt funktioniert

Nach den Änderungen solltest du folgende Prüfschritte durchführen:

SSL Labs Test: Rufe ssllabs.com/ssltest auf und gib deine Domain ein. Ein Ergebnis von A oder A+ bedeutet eine korrekte Konfiguration.

Browser-Check: Öffne deine Website in Chrome, Firefox und Safari und überprüfe, ob das Schloss-Symbol ohne Warnhinweis erscheint.

Google Search Console: Füge die HTTPS-Version deiner Website als neue Property hinzu und überprüfe, ob Crawling-Fehler gemeldet werden.

Weiterleitungscheck: Gib http://deinedomain.de manuell in die Adressleiste ein – du solltest automatisch auf https:// weitergeleitet werden.

Sicherheitswarnungen in Zukunft vermeiden

SSL-Zertifikate erneuern und automatisieren

Let’s-Encrypt-Zertifikate laufen alle 90 Tage ab. Die meisten modernen Hosting-Anbieter erneuern sie automatisch – prüfe jedoch, ob diese Automatisierung in deinem Hosting-Paket aktiviert ist. Bezahlte Zertifikate mit einjähriger Laufzeit erfordern eine manuelle Erneuerung. Trage dir den Ablauftermin in deinen Kalender ein – mindestens 30 Tage vor Ablauf.

Regelmäßige Sicherheitschecks für deine Website

Führe einmal monatlich einen Sicherheitscheck durch. Nutze folgende Tools:

SSL Labs: Prüft die Qualität deines SSL-Zertifikats.

Sucuri SiteCheck: Scannt auf Malware und Blacklisting.

Google Search Console: Meldet Sicherheitsprobleme und Indexierungsfehler.

Laut dem Ponemon Institute haben 72% der befragten KMU bereits mindestens einen Cyberangriff erlitten – und 39 % verfügten über keinen Notfallplan. Prävention ist deutlich günstiger als Schadensbehebung.

Den richtigen Hosting-Anbieter wählen

Nicht jeder Hoster bietet SSL standardmäßig an oder erneuert es automatisch. Achte auf:

Kostenloses SSL-Zertifikat inklusive

Automatische Zertifikatserneuerung

Regelmäßige Backups und Sicherheitsupdates

Einfache HTTPS-Aktivierung über das Kontrollpanel

Anbieter wie All-Inkl, IONOS oder Hetzner erfüllen diese Kriterien für die meisten selbstständigen Website-Betreiber zuverlässig.

Warnungen trotz korrektem HTTPS richtig einordnen

Manchmal erscheint eine Warnung trotz korrekter Einrichtung. Mögliche Ursachen:

Browser-Cache: Dein Browser hat eine veraltete HTTP-Version der Seite gespeichert. Leere den Cache (Strg + Shift + Entf) und lade die Seite neu.

HSTS-Einträge: Bei einigen Browsern können alte HSTS-Einträge Warnungen auslösen. Diese lassen sich im Browser-Einstellungsbereich manuell löschen.

Antiviren-Software: Manche Sicherheitsprogramme scannen HTTPS-Verbindungen und können dabei eigene Zertifikate einschleusen.

Häufig gestellte Fragen

Warum wird eine Website als nicht sicher angezeigt?

Eine Website wird als nicht sicher angezeigt, wenn die Verbindung zwischen Browser und Server nicht verschlüsselt ist. Das ist der Fall, wenn kein gültiges SSL-Zertifikat vorhanden ist, das Zertifikat abgelaufen ist oder Inhalte der Seite noch über das unverschlüsselte HTTP-Protokoll geladen werden. Moderne Browser wie Chrome kennzeichnen solche Seiten seit 2018 standardmäßig mit einer Warnung.

Wie entferne ich die Meldung Nicht sicher von meiner Website?

Um die Meldung zu entfernen, benötigst du ein gültiges SSL-Zertifikat, das du über deinen Hosting-Anbieter kostenlos oder kostenpflichtig beantragen kannst. Anschließend richtest du eine Weiterleitung von HTTP auf HTTPS ein und behebst eventuelle Mixed-Content-Fehler. Bei WordPress hilft das Plugin Really Simple SSL beim schnellen Einstieg.

Warum wird meine Webseite trotz SSL/HTTPS nicht als sicher angezeigt?

Wenn deine Webseite trotz SSL als nicht sicher eingestuft wird, liegt es meist an Mixed Content: Einzelne Elemente wie Bilder, Videos oder Skripte werden noch über HTTP geladen. Prüfe deine Seite mit dem kostenlosen Tool Why No Padlock oder den Browser-Entwicklertools. Ersetze alle HTTP-Verweise auf interne Ressourcen durch HTTPS, um das Problem zu beheben.

Warum meldet mein iPhone ständig, dass die Website nicht sicher ist?

Safari auf iOS zeigt Sicherheitswarnungen besonders prominent an. Die Ursachen sind identisch mit anderen Browsern: fehlendes oder abgelaufenes SSL-Zertifikat, Mixed-Content-Fehler oder eine fehlende HTTPS-Weiterleitung. Prüfe deine Website zusätzlich auf einem iPhone im Safari-Browser und vergleiche das Ergebnis mit dem SSL-Labs-Test, um die genaue Ursache zu identifizieren.

Wie ermögliche ich es Nutzern, die HTTPS-Warnseite zu verlassen?

Bei ganzseitigen Browser-Warnseiten können Nutzer in der Regel auf Erweitert oder Details klicken und anschließend Trotzdem fortfahren wählen. Diese Option ist jedoch bewusst versteckt, um Nutzer zu schützen. Als Website-Betreiber ist es deine Aufgabe, die Ursache zu beheben – nicht den Nutzern eine Umgehung anzubieten. Nur ein gültiges SSL-Zertifikat löst das Problem dauerhaft.

Deine eigene Website wird als nicht sicher angezeigt? Diese 5 Fehler stecken dahinter