TLS & Zertifikate für Netlify konfigurieren
Schritt-für-Schritt-Anleitung: TLS auf Netlify — automatische Let's Encrypt Zertifikate, HSTS-Header, Custom Domains und TLS-Mindestversion.
TLS & Zertifikate auf Netlify
TLS (Transport Layer Security) verschlüsselt die Kommunikation zwischen Browser und Server und schützt gegen Abhören, Manipulation und Man-in-the-Middle-Angriffe. Ohne TLS werden alle Daten — inklusive Passwörter, Cookies und personenbezogene Informationen — im Klartext übertragen. TLS ist mit 4 von 166 Punkten ein Basisfaktor im Wolf-Agents Web Security Check.
Auf Netlify ist TLS weitgehend automatisiert: Kostenlose Let's Encrypt Zertifikate werden automatisch ausgestellt und erneuert, HTTPS wird standardmäßig erzwungen, und TLS 1.2 ist die Mindestversion. Die TLS-Version und Cipher Suites werden von Netlify verwaltet — individuelle Anpassungen auf Protokollebene sind nicht möglich. Sie können jedoch HSTS-Header ergänzen und eigene Zertifikate hochladen.
Der Wolf-Agents Web Security Check prüft TLS-Version, Zertifikatsgueltikeit, Cipher Suites und HSTS-Konfiguration automatisch und vergibt bis zu 4 Punkte.
Automatische Zertifikate prüfen
Netlify stellt automatisch Let's Encrypt Zertifikate für Custom Domains aus. Die Ausstellung erfolgt innerhalb weniger Minuten nach der DNS-Konfiguration. Prüfen Sie im Netlify Dashboard unter Domain management > HTTPS, ob das Zertifikat aktiv ist und die Erneuerung automatisch laeuft.
# TLS-Zertifikat prüfen
curl -vI https://ihre-domain.de 2>&1 | grep -A5 "server certificate"
# TLS-Version prüfen
curl -vI https://ihre-domain.de 2>&1 | grep "SSL connection using"
# Erwartete Ausgabe:
# SSL connection using TLSv1.3 / AEAD-AES256-GCM-SHA384
# Zertifikats-Details anzeigen
openssl s_client -connect ihre-domain.de:443 -servername ihre-domain.de < /dev/null 2>&1 | openssl x509 -noout -dates -subject -issuer
# Erwartete Ausgabe:
# issuer=C = US, O = Let's Encrypt, CN = R3
# notBefore=...
# notAfter=...CAA-Records beschränken, welche CAs Zertifikate ausstellen dürfen. Stellen Sie sicher, dass letsencrypt.org erlaubt ist: dig CAA ihre-domain.de +short
HSTS-Header ergänzen
Netlify erzwingt HTTPS auf Serverseite, aber der Browser weiß das nicht. Der Strict-Transport-Security (HSTS) Header teilt dem Browser mit, dass die Domain ausschließlich über HTTPS erreichbar ist. Bei der ersten HTTP-Anfrage leitet Netlify auf HTTPS um — ab dem zweiten Besuch erzwingt der Browser HTTPS direkt, ohne den Server zu kontaktieren.
# netlify.toml — HSTS und Security Headers
[[headers]]
for = "/*"
[headers.values]
Strict-Transport-Security = "max-age=31536000; includeSubDomains; preload"# _headers — HSTS
/*
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadpreload-Parameter meldet Ihre Domain für die HSTS Preload List an. Prüfen Sie die Voraussetzungen unter hstspreload.org — einmal eingetragen, kann die Entfernung Monate dauern. Redirects und Custom Domains
Konfigurieren Sie Redirects für die www-Subdomain und stellen Sie sicher, dass Force HTTPS im Dashboard aktiviert ist. Netlify unterstützt mehrere Custom Domains pro Site — jede erhaelt automatisch ein Zertifikat.
# netlify.toml — www → Apex-Domain Redirect
[[redirects]]
from = "https://www.ihre-domain.de/*"
to = "https://ihre-domain.de/:splat"
status = 301
force = true
# Netlify erzwingt HTTPS automatisch.
# Zusätzlich im Dashboard aktivieren:
# Domain management > HTTPS > Force HTTPSdeploy-preview-*.netlify.app — einer anderen Domain. Setzen Sie HSTS mit includeSubDomains nur, wenn alle Subdomains ebenfalls HTTPS unterstützen. TLS-Konfiguration verifizieren
Prüfen Sie die vollständige TLS-Konfiguration mit SSL Labs und curl. Netlify-Sites erreichen typischerweise ein A+ Rating bei SSL Labs, da TLS 1.2+ und moderne Cipher Suites automatisch konfiguriert sind.
# HSTS-Header prüfen
curl -sI https://ihre-domain.de | grep -i strict-transport-security
# Erwartete Ausgabe:
# strict-transport-security: max-age=31536000; includeSubDomains; preload
# SSL Labs Test (extern, detailliert)
# https://www.ssllabs.com/ssltest/analyze.html?d=ihre-domain.de
# HTTP-zu-HTTPS-Redirect prüfen
curl -sI http://ihre-domain.de | head -3
# Erwartete Ausgabe:
# HTTP/1.1 301 Moved Permanently
# Location: https://ihre-domain.de/
# Wolf-Agents Web Security Check:
# https://wolf-agents.com/tools/web-security-checkHäufige Fehler bei TLS auf Netlify
DNS nicht konfiguriert
Let's Encrypt Zertifikate werden nur ausgestellt, wenn DNS-Records korrekt auf Netlify zeigen. Prüfen Sie CNAME-Records (für Subdomains) oder A-Records (für Apex-Domains). Ohne gueltige DNS-Konfiguration bleibt der HTTPS-Status auf «Waiting for DNS propagation».
CAA-Record blockiert Let's Encrypt
CAA-Records beschränken, welche CAs Zertifikate ausstellen dürfen. Wenn ein CAA-Record existiert, aber letsencrypt.org nicht enthält, schlägt die Zertifikatsausstellung fehl. Prüfen Sie mit dig CAA ihre-domain.de +short.
Mixed Content nach HTTPS-Migration
Interne Links und eingebettete Ressourcen mit http:// verursachen Mixed Content. Browser blockieren aktive Mixed Content (Scripts, iFrames) und warnen bei passivem (Bilder). Verwenden Sie relative URLs oder https://.
Deploy Preview und HSTS-Domain
Deploy Previews laufen unter deploy-preview-*.netlify.app. HSTS mit includeSubDomains für netlify.app wird von Netlify selbst verwaltet — Ihre Konfiguration gilt nur für Ihre Custom Domain.
Compliance-Relevanz
TLS ist eine absolute Grundanforderung für jede Compliance-Zertifizierung. PCI DSS fordert TLS 1.2+ für die Übertragung von Kartendaten und verbietet ältere Protokollversionen. NIS2 (Artikel 21) verlangt Verschlüsselung in Transit als technische Cybersicherheitsmaßnahme. DSGVO (Art. 32) fordert angemessene technische Maßnahmen zum Schutz personenbezogener Daten — TLS ist der Mindeststandard.
Der Wolf-Agents Web Security Check bewertet TLS mit bis zu 4 Punkten und prüft Zertifikatsgueltikeit, TLS-Version, Cipher Suites und HSTS-Konfiguration.
Wie steht Ihre Domain bei TLS & Zertifikate?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.