TLS & Zertifikate für Vercel konfigurieren

Schritt-für-Schritt-Anleitung: TLS-Zertifikate auf Vercel — automatische Let's Encrypt Zertifikate, Custom Domains und TLS 1.3 Konfiguration.

TLS prüfen Plattform entdecken
Vercel · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

TLS & Zertifikate auf Vercel

TLS (Transport Layer Security) verschlüsselt die Kommunikation zwischen Browser und Server. Vercel stellt automatisch kostenlose Let's Encrypt Zertifikate für alle Custom Domains aus und erzwingt HTTPS für alle Deployments. TLS ist mit 4 von 166 Punkten im Wolf-Agents Web Security Check bewertet.

Vercel konfiguriert TLS vollständig automatisch — Sie müssen keine Zertifikate manuell erstellen oder erneuern. Das Edge Network unterstützt TLS 1.2 und TLS 1.3 mit modernen Cipher Suites. Die einzige Aufgabe: Ihre Custom Domain korrekt per DNS auf Vercel zeigen lassen.

DSGVO-Hinweis: Vercel bietet EU-Deployment-Regionen (fra1 in Frankfurt, cdg1 in Paris). Wenn Sie personenbezogene Daten verarbeiten, können Sie Ihre Serverless Functions auf EU-Regionen beschränken. Die TLS-Terminierung findet dennoch auf dem nächsten Edge Node statt — die Verschlüsselung ist global, unabhängig von der Deployment-Region.

Ausführliche Einführung in TLS & Zertifikate

1 Schritt 1 von 3

Custom Domain einrichten

Fügen Sie Ihre Custom Domain im Vercel Dashboard unter Project Settings > Domains hinzu. Konfigurieren Sie anschließend die DNS-Records bei Ihrem Domain-Provider: Einen A-Record für die Root Domain und einen CNAME-Record für die www-Subdomain. Nach der DNS-Propagation stellt Vercel automatisch ein Let's Encrypt Zertifikat aus — ohne weitere Konfiguration. Der Status ist im Dashboard unter dem Domain-Eintrag sichtbar.

DNS-Konfiguration DNS 
# DNS-Konfiguration für Custom Domain
# A-Record (Root Domain)
@    A    76.76.21.21

# CNAME-Record (Subdomain)
www  CNAME  cname.vercel-dns.com.

# Nach DNS-Propagation stellt Vercel
# automatisch ein Let's Encrypt Zertifikat aus.
# Prüfen Sie den Status im Vercel Dashboard
# unter Project Settings > Domains.
2 Schritt 2 von 3

TLS-Konfiguration verstehen

Vercel verwaltet die TLS-Konfiguration vollständig — Sie können TLS-Versionen und Cipher Suites nicht manuell anpassen. Das ist bewusst so: Vercel hält die Konfiguration stets auf dem neuesten Stand. Das Edge Network unterstützt TLS 1.3 (bevorzugt) und TLS 1.2 als Fallback. Ältere Protokolle (TLS 1.0/1.1) sind deaktiviert. Zertifikate werden automatisch vor Ablauf erneuert.

Keine manuelle TLS-Konfiguration

Anders als bei Nginx oder Apache können Sie auf Vercel keine Cipher Suites, TLS-Versionen oder OCSP-Stapling konfigurieren. Vercel übernimmt diese Aufgabe mit Best-Practice-Einstellungen. Fügen Sie HSTS hinzu (siehe HSTS-Kapitel), um den maximalen TLS-Schutz zu erreichen.

Preview Deployments erhalten automatisch ein Zertifikat für die *.vercel.app-Domain. Ihre Custom Domain wird auf Preview URLs nicht verwendet — testen Sie TLS-spezifische Konfiguration immer auf der Produktiv-Domain.
3 Schritt 3 von 3

Zertifikat verifizieren

Prüfen Sie TLS-Version, Zertifikat und HTTPS-Redirect mit curl. Die Ausgabe zeigt die verwendete TLS-Version (idealerweise TLSv1.3), den Zertifikatsinhaber und das Ablaufdatum. Der Wolf-Agents Web Security Check prüft die TLS-Konfiguration automatisch — inklusive Zertifikat-Laufzeit, HTTPS-Erzwingung und Cipher-Suite-Bewertung.

Terminal Verifizieren 
# TLS-Version und Zertifikat prüfen
curl -sI -v https://ihre-domain.de 2>&1 | grep -E "SSL connection|subject|expire"

# Erwartete Ausgabe:
* SSL connection using TLSv1.3 / TLS_AES_128_GCM_SHA256
*  subject: CN=ihre-domain.de
*  expire date: ...

# HTTPS-Redirect prüfen (HTTP → HTTPS)
curl -sI http://ihre-domain.de | grep -i location

# Erwartete Ausgabe:
location: https://ihre-domain.de/

# Vercel setzt automatisch 308 Permanent Redirect
# von HTTP auf HTTPS für alle Custom Domains.

Häufige Fehler

DNS noch nicht propagiert

Vercel kann erst ein Zertifikat ausstellen, wenn die DNS-Records auf Vercel zeigen. DNS-Propagation kann bis zu 48 Stunden dauern. Prüfen Sie den Status mit dig ihre-domain.de oder im Vercel Dashboard unter Domains.

CAA-Record blockiert Let's Encrypt

Wenn Ihr DNS einen CAA-Record hat, der Let's Encrypt nicht erlaubt, schlägt die Zertifikatsausstellung fehl. Fügen Sie 0 issue "letsencrypt.org" als CAA-Record bei Ihrem DNS-Provider hinzu.

Proxy oder CDN vor Vercel

Wenn ein anderer Proxy (z.B. Cloudflare) vor Vercel liegt, terminiert dieser die TLS-Verbindung. Vercels Zertifikat wird dann nicht verwendet — prüfen Sie die TLS-Konfiguration des vorgelagerten Proxys statt der Vercel-Einstellungen.

Zertifikat-Erneuerung schlägt fehl

Vercel erneuert Let's Encrypt Zertifikate automatisch. Wenn die DNS-Records zwischenzeitlich geändert wurden und nicht mehr auf Vercel zeigen, schlägt die Erneuerung fehl. Überwachen Sie den Zertifikat-Status im Dashboard oder per Wolf-Agents TLS-Monitoring.

Compliance-Relevanz

TLS-Verschlüsselung ist eine Pflichtanforderung aller relevanten Standards. DSGVO fordert Verschlüsselung personenbezogener Daten in Transit — Art. 32 nennt Verschlüsselung explizit als technische Maßnahme. PCI DSS verlangt TLS 1.2 oder höher für Zahlungsdaten. NIS2 schreibt angemessene Kryptografie vor. Der Wolf-Agents Web Security Check prüft TLS-Version, Cipher Suites und Zertifikat-Gültigkeit automatisch und warnt vor ablaufenden Zertifikaten.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtLiteSpeedAWS CloudFront

Wie steht Ihre Domain bei TLS & Zertifikate?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo