TLS und Zertifikate für LiteSpeed konfigurieren

Schritt-für-Schritt-Anleitung: TLS in der LiteSpeed Web Admin Console konfigurieren — Cipher-Suites, OCSP Stapling, QUIC/HTTP3 und automatische Zertifikatserneuerung.

TLS prüfen Plattform entdecken
LiteSpeed · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

TLS und Zertifikate auf LiteSpeed

TLS-Konfiguration auf LiteSpeed unterscheidet sich grundlegend von Apache und Nginx: Statt Konfigurationsdateien nutzen Sie die Web Admin Console (Port 7080) für Cipher-Suites, TLS-Versionen und OCSP Stapling. TLS-Konfiguration ist nicht per .htaccess möglich — SSL-Direktiven werden in .htaccess stillschweigend ignoriert.

Der größte Vorteil von LiteSpeed: Native QUIC/HTTP3-Unterstützung. QUIC basiert auf UDP, bietet immer Verschlüsselung und reduziert die Verbindungsaufbauzeit erheblich. Weder Apache noch Nginx bieten QUIC nativ. Kombiniert mit TLS 1.3, OCSP Stapling und automatischer Let's-Encrypt-Erneuerung ergibt sich eine erstklassige TLS-Konfiguration. Der Wolf-Agents Web Security Check bewertet TLS mit bis zu 4 Punkten.

Ausführliche Einführung in TLS & Zertifikate

1 Schritt 1 von 2

TLS in der Web Admin Console konfigurieren

Öffnen Sie die Web Admin Console auf Port 7080. Unter Listeners > [HTTPS] > SSL konfigurieren Sie TLS-Versionen, Cipher-Suites und OCSP Stapling. Aktivieren Sie QUIC unter demselben Listener für HTTP3-Support. Stellen Sie sicher, dass UDP Port 443 in der Firewall offen ist.

Web Admin Console SSL-Konfiguration 
# LiteSpeed Web Admin Console (Port 7080)
# Listeners > [HTTPS Listener] > SSL

SSL Protocol:           TLSv1.2 TLSv1.3
Ciphers:               ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
Enable ECDH Key Exchange: Yes
OCSP Stapling:          Yes
Enable QUIC:            Yes

# Virtual Hosts > [vhost] > SSL
Private Key File:       /etc/letsencrypt/live/ihre-domain.de/privkey.pem
Certificate File:       /etc/letsencrypt/live/ihre-domain.de/fullchain.pem
Chained Certificate:    Yes

# QUIC-spezifische Einstellungen
# Listeners > [HTTPS] > QUIC
Enable QUIC:            Yes
QUIC SHM Directory:     /dev/shm
2 Schritt 2 von 2

Let's Encrypt Zertifikat einrichten

Certbot mit dem Webroot-Plugin funktioniert auf LiteSpeed. Erstellen Sie einen Renewal-Hook, der LiteSpeed nach jeder Zertifikatserneuerung automatisch neu lädt. Ohne den Hook verwendet LiteSpeed das alte Zertifikat bis zum nächsten manuellen Restart. Auf cPanel-Servern mit LiteSpeed Enterprise ist AutoSSL eine bequemere Alternative.

Terminal Certbot 
# Let's Encrypt Zertifikat mit Certbot (Webroot-Plugin)
sudo certbot certonly --webroot -w /var/www/html -d ihre-domain.de -d www.ihre-domain.de

# Auto-Renewal testen
sudo certbot renew --dry-run

# Renewal-Hook für LiteSpeed Graceful Restart
# /etc/letsencrypt/renewal-hooks/post/lsws-restart.sh:
#!/bin/bash
/usr/local/lsws/bin/lswsctrl restart

# Ausführbar machen
chmod +x /etc/letsencrypt/renewal-hooks/post/lsws-restart.sh

# Crontab (falls kein systemd timer):
# 0 3 * * * certbot renew --quiet
QUIC und Firewall

QUIC/HTTP3 nutzt UDP statt TCP. Stellen Sie sicher, dass UDP Port 443 in Ihrer Firewall (iptables, ufw, Hetzner Cloud Firewall) offen ist. Ohne UDP-Zugriff funktioniert QUIC nicht, und Clients fallen auf HTTP/2 zurück.

Konfiguration testen und verifizieren

Prüfen Sie TLS-Version, Cipher-Suite, OCSP Stapling, QUIC/HTTP3-Support und das Zertifikats-Ablaufdatum. Der Alt-Svc-Header zeigt an, ob der Server QUIC/HTTP3 ankündigt. Der Wolf-Agents Web Security Check verifiziert die TLS-Konfiguration automatisch.

Terminal Verifizierung 
# 1. TLS-Version und Cipher prüfen
curl -sI -v --tls-max 1.3 https://ihre-domain.de 2>&1 | grep -E "TLS|cipher"

# Erwartete Ausgabe:
# * SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384

# 2. OCSP Stapling prüfen
openssl s_client -connect ihre-domain.de:443 -status 2>/dev/null | grep -A 3 "OCSP Response"
# OCSP Response Status: successful (0x0)

# 3. QUIC/HTTP3 prüfen (erfordert curl mit HTTP3-Support)
curl -sI --http3 https://ihre-domain.de 2>&1 | head -1
# HTTP/3 200

# 4. Zertifikats-Ablaufdatum prüfen
echo | openssl s_client -connect ihre-domain.de:443 2>/dev/null | openssl x509 -noout -dates

# 5. Alt-Svc Header prüfen (QUIC-Ankündigung)
curl -sI https://ihre-domain.de | grep -i alt-svc
# Alt-Svc: h3=":443"; ma=86400

Häufige Fehler bei TLS auf LiteSpeed

Diese LiteSpeed-spezifischen Fehler treten bei der TLS-Konfiguration am häufigsten auf.

TLS per .htaccess konfigurieren

SSL-Direktiven wie SSLProtocol werden in .htaccess auf LiteSpeed ignoriert. TLS-Konfiguration ist nur über die Web Admin Console oder httpd_config.conf möglich.

QUIC nicht aktiviert

QUIC/HTTP3 ist standardmäßig deaktiviert. Aktivieren Sie es in der Web Admin Console unter Listeners > [HTTPS] > QUIC. Stellen Sie sicher, dass UDP Port 443 in der Firewall offen ist.

Certbot Renewal-Hook fehlt

Nach der Zertifikatserneuerung muss LiteSpeed neu geladen werden. Ohne Renewal-Hook verwendet LiteSpeed das alte, möglicherweise abgelaufene Zertifikat bis zum nächsten manuellen Restart.

cPanel/Plesk überschreibt TLS-Config

Auf Managed-Servern mit cPanel oder Plesk verwalten diese Tools die TLS-Konfiguration. Manuelle Änderungen an der Web Admin Console können beim nächsten Panel-Update überschrieben werden.

OCSP Stapling schlaegt fehl

OCSP Stapling benötigt eine funktionierende DNS-Auflösung vom Server zum OCSP-Responder der CA. Auf Servern mit restriktiver Firewall kann dies blockiert werden. Prüfen Sie mit openssl s_client -status.

OpenLiteSpeed verwendet andere Config-Pfade

OpenLiteSpeed nutzt /usr/local/lsws/conf/httpd_config.conf statt Virtual-Host-spezifischer Dateien. Die Web Admin Console (Port 7080) ist in beiden Versionen der bevorzugte Weg.

Compliance-Relevanz

PCI DSS 4.0 (Anforderung 4.2.1) fordert TLS 1.2+ mit starken Cipher-Suites für alle Datenübertragungen. NIS2 (Art. 21) verlangt Verschlüsselung als technische Sicherheitsmaßnahme. BSI TR-02102-2 gibt konkrete Cipher-Suite-Empfehlungen für TLS 1.2 und 1.3. QUIC/HTTP3 (nativ in LiteSpeed) bietet zusätzlich Forward Secrecy und reduzierten Handshake-Overhead. DSGVO (Art. 32) fordert Verschlüsselung zum Schutz personenbezogener Daten. Der Wolf-Agents Web Security Check bewertet TLS mit bis zu 4 Punkten.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei TLS & Zertifikate?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Unterstützt LiteSpeed QUIC/HTTP3 nativ?

Ja. LiteSpeed ist einer der wenigen Webserver mit nativer QUIC/HTTP3-Unterstützung. Aktivieren Sie QUIC in der Web Admin Console unter Listeners > [HTTPS] > QUIC. Apache und Nginx bieten diese Funktion nicht nativ.

Wo konfiguriere ich TLS-Einstellungen in LiteSpeed?

In der Web Admin Console (Port 7080) unter Listeners > [HTTPS] > SSL. Dort setzen Sie TLS-Versionen, Cipher-Suites und OCSP Stapling. TLS-Konfiguration ist NICHT per .htaccess möglich.

Funktioniert Let's Encrypt mit LiteSpeed?

Ja. Verwenden Sie Certbot mit dem Webroot-Plugin. LiteSpeed Enterprise mit cPanel bietet zusätzlich AutoSSL-Integration. OpenLiteSpeed erfordert manuelle Certbot-Konfiguration.

Was ist der Unterschied zwischen OpenLiteSpeed und Enterprise bei TLS?

Beide unterstützen TLS 1.3 und QUIC. LiteSpeed Enterprise bietet zusätzlich cPanel/Plesk-Integration mit AutoSSL, während OpenLiteSpeed die manuelle Certbot-Konfiguration erfordert.