Let's-Encrypt-SSL im netcup Webhosting (WCP/Plesk) einrichten und automatisch erneuern
Kostenloses HTTPS für jede Domain im netcup Webhosting aktivieren – inklusive www-Subdomain, automatischer Zertifikatserneuerung und SEO-konformem 301-Redirect. Keine Kommandozeile, kein Certbot – alles läuft über wenige Klicks im WCP-Panel.
Wer ein Webhosting-Paket bei netcup betreibt, bekommt kostenloses HTTPS gleich mitgeliefert – ohne Aufpreis und ohne Certbot-Kenntnisse. Das Webhosting Control Panel (WCP), das intern auf Plesk läuft, enthält eine direkte Let's-Encrypt-Integration: Zertifikat beantragen, www-Subdomain mit absichern, HTTP-zu-HTTPS-Redirect per Slider aktivieren – fertig. Diese Anleitung zeigt dir den gesamten Prozess Schritt für Schritt, erklärt die typischen Fallstricke und beleuchtet den Sonderfall Wildcard-Zertifikat, der ohne automatische Erneuerung auskommt.
Voraussetzungen
- Aktives netcup Webhosting-Paket (WH-Basis oder höher)
- Eine eigene Domain, die auf die netcup-Nameserver zeigt oder für die netcup-DNS aktiv ist
- Gültige, erreichbare E-Mail-Adresse für Zertifikatsbenachrichtigungen
- CCP-Zugangsdaten (Kundennummer + Passwort) für den WCP-Auto-Login
- Nur bei Wildcard: Zugang zum CCP-DNS-Editor und Geduld für bis zu 48 Stunden DNS-Propagation
Schritt 1: WCP öffnen
Melde dich im netcup Customer Control Panel (CCP) an:
https://www.customercontrolpanel.deKlicke dort auf dein Webhosting-Paket und dann auf den Button „WCP Auto-Login". Das WCP (Plesk) öffnet sich im Browser, ohne dass du ein separates Plesk-Passwort benötigst.
Schritt 2: Domain auswählen und SSL/TLS-Bereich öffnen
Im WCP navigierst du in der linken Seitenleiste zu Websites & Domains. Klicke dort auf die Domain, für die du das Zertifikat beantragen möchtest. Auf der Domain-Übersichtsseite (Tab Dashboard) findest du die Kachel SSL/TLS Certificates – klicke sie an.
Verifizieren: Du siehst nun eine Übersichtsseite, auf der alle vorhandenen Zertifikate aufgelistet sind. Wenn noch kein Zertifikat vorhanden ist, bleibt die Liste leer oder zeigt ein selbst-signiertes Zertifikat.
Schritt 3: Let's-Encrypt-Prozess starten
Suche den Abschnitt „Install a free basic certificate provided by Let's Encrypt" und klicke auf den Button Install. Das Let's-Encrypt-Formular öffnet sich.
Schritt 4: Formular ausfüllen und Zertifikat beantragen
Im Formular nimmst du folgende Einstellungen vor:
- E-Mail-Adresse: Prüfe, ob die vorausgefüllte Adresse korrekt ist. Let's Encrypt sendet hierüber Ablaufwarnungen – eine ungültige Adresse führt zu unbemerkt abgelaufenen Zertifikaten.
- Checkbox „Include a 'www' subdomain for the domain and each selected alias": Diese Option muss manuell aktiviert werden – sie ist nicht standardmäßig angehakt. Ohne sie wird nur
domain.tld, nicht aberwww.domain.tldgesichert. - Checkbox „Secure the wildcard domain": Diese Option nicht aktivieren, sofern du keine spezifischen Subdomains brauchst. Wildcard-Zertifikate werden nicht automatisch erneuert (Details weiter unten).
Klicke anschließend auf „Get it free".
Verifizieren: Nach wenigen Sekunden erscheint die Meldung „Encryption with Let's Encrypt is complete." Das Zertifikat ist jetzt aktiv. Wenn du im Browser https://deinedomain.tld aufrufst, siehst du das Schloss-Symbol. Per Klick darauf kannst du bestätigen, dass der Aussteller „Let's Encrypt" ist und das Zertifikat auf deine Domain sowie www.deinedomain.tld lautet.
Schritt 5: HTTP-zu-HTTPS-Redirect aktivieren
Nach der Zertifikatserstellung kehrst du zur Domain-Dashboard-Seite zurück. Im linken Bereich findest du den Abschnitt Options. Dort gibt es den Slider „Redirect from http to https" – stelle ihn auf ON.
Wichtig: Aktiviere den Redirect erst nach der Zertifikatserstellung. In bestimmten Konfigurationen kann ein bereits aktiver HTTP-Redirect die ACME-Challenge-Validierung stören, weil Let's Encrypt die Challengedatei per HTTP erreichen muss.
Der Redirect ist ein permanenter 301-Redirect – das ist SEO-konform und signalisiert Suchmaschinen, dass deine Inhalte dauerhaft unter HTTPS zu finden sind.
Verifizieren: Rufe http://deinedomain.tld im Browser auf. Du solltest sofort auf https://deinedomain.tld weitergeleitet werden. Mit den Browser-Entwicklertools (F12 → Netzwerk) kannst du den 301-Statuscode der ersten Anfrage bestätigen.
Schritt 6 (optional): HSTS aktivieren
Unter Options gibt es einen weiteren Slider für HSTS (HTTP Strict Transport Security). HSTS weist Browser an, deine Domain ausnahmslos per HTTPS aufzurufen – ohne vorherige HTTP-Anfrage.
Der Trade-off: Einmal aktiviert, erzwingen Browser HTTPS für die gesamte Max-Age-Dauer (typisch sechs Monate bis ein Jahr). Wenn in dieser Zeit HTTPS aus irgendeinem Grund nicht funktioniert, ist deine Domain für Besucher nicht mehr erreichbar – eine Deaktivierung im Panel hilft nicht, weil der HSTS-Header bereits im Browser-Cache liegt. Aktiviere HSTS deshalb nur, wenn HTTPS auf deiner Domain dauerhaft stabil läuft und du nicht vorhast, zurück zu HTTP zu wechseln.
Automatische Erneuerung: Was du wissen musst
Let's-Encrypt-Zertifikate laufen nach 90 Tagen ab. Für Standard-Zertifikate (ohne Wildcard-Option) übernimmt Plesk/WCP die Erneuerung vollautomatisch – du musst nichts weiter tun. Netcup nutzt dabei den ACME-Renewal-Information-Mechanismus (ARI), der Erneuerungen außerhalb der regulären Rate Limits durchführt.
Einzige Ausnahme, bei der die Automatik versagen kann: Dein Webhosting-Paket ist deaktiviert oder gesperrt. Prüfe in diesem Fall den Zertifikatsstatus im WCP manuell unter SSL/TLS Certificates.
| Merkmal | Standard (empfohlen) | Wildcard (*.domain.tld) |
|---|---|---|
| Kosten | Kostenlos | Kostenlos |
| Abdeckung | domain.tld + www.domain.tld | *.domain.tld (alle Subdomains) |
| Einrichtungsaufwand | Gering (Formular, 1 Klick) | Hoch (DNS-TXT manuell setzen) |
| Automatische Erneuerung | Ja, vollautomatisch | Nein, immer manuell |
| DNS-Validierung nötig | Nein | Ja (_acme-challenge TXT) |
| DNS-Propagationszeit | Keine | Bis zu 48 Stunden |
| Empfehlung | Ja | Nur bei konkretem Bedarf |
Sonderfall: Wildcard-Zertifikat manuell einrichten
Ein Wildcard-Zertifikat (*.domain.tld) sichert alle Subdomains auf einmal – praktisch, wenn du viele Subdomains betreibst. Der Preis: Die Einrichtung erfordert einen manuellen DNS-TXT-Eintrag, und die Erneuerung muss alle ~90 Tage wiederholt werden.
Wildcard-Zertifikat beantragen
Öffne im WCP: Websites & Domains > [Domain] > Dashboard > SSL/TLS Certificates > Install. Aktiviere diesmal die Checkbox „Secure the wildcard domain" und klicke „Get it free". Notiere dir den angezeigten DNS-Challenge-Wert.
DNS-TXT-Eintrag im CCP setzen
Wechsle zum CCP, navigiere zu Domains und klicke das Lupe-Icon neben deiner Domain. Im DNS-Tab legst du einen neuen Eintrag an:
Host: _acme-challenge
Typ: TXT
Ziel: [Wert von der WCP-Bestätigungsseite]Klicke auf „Save DNS records" und warte auf die DNS-Propagation. Dies kann bis zu 48 Stunden dauern – drücke den Reload-Button im WCP erst dann, wenn du sicher bist, dass der TXT-Eintrag weltweit sichtbar ist. Prüfen kannst du das mit:
nslookup -type=TXT _acme-challenge.deinedomain.tld 8.8.8.8Manuelle Erneuerung beim Wildcard
Vor Ablauf des Zertifikats wiederholst du den gesamten Prozess: WCP > SSL/TLS Certificates > Reissue Certificate, neuen Challenge-Wert notieren, TXT-Eintrag im CCP aktualisieren, warten, Reload klicken.
Zertifikat nachträglich um www erweitern
Hast du beim ersten Einrichten die www-Option vergessen, ist das kein Problem. Öffne im WCP unter SSL/TLS Certificates die Option „Reissue Certificate". Im Formular aktivierst du die Checkbox „Include a 'www' subdomain" und klickst erneut „Get it free". Das Zertifikat wird neu ausgestellt und ersetzt das bisherige automatisch.
Let's-Encrypt-Rate-Limits im Überblick
Rate-Limits spielen beim normalen Betrieb keine Rolle, können aber relevant werden, wenn du innerhalb kurzer Zeit viele Zertifikate neu ausstellst – etwa beim Testen oder nach Konfigurationsfehlern.
| Limit | Wert |
|---|---|
| Zertifikate pro Domain / 7 Tage | 50 |
| Gleiche Identifier-Kombination / 7 Tage | 5 |
| Neue Orders pro Account / 3 Stunden | 300 |
| Fehlgeschlagene Autorisierungen / Stunde | 5 pro Identifier |
| Erneuerungen (Renewals) | Weitgehend ausgenommen |
| ACME Renewal Information (ARI) | Vollständig ausgenommen |
Hinweis für *.netcup.net-Domains: Diese Subdomains einer gemeinsam genutzten Domain können durch Shared-IP-Rate-Limits beeinträchtigt werden. Für produktive Websites empfiehlt sich grundsätzlich eine eigene registrierte Domain.
Troubleshooting / Typische Fehler
Browser zeigt trotz aktiviertem Zertifikat kein HTTPS
Leere den Browser-Cache und warte einige Minuten. Plesk benötigt nach der Zertifikatsausstellung kurz Zeit, um die Webserver-Konfiguration zu übernehmen. Alternativ teste mit einem Inkognito-Fenster oder einem anderen Browser.
„Reissue Certificate" schlägt immer wieder fehl
Prüfe zunächst, ob versehentlich die Wildcard-Option aktiv ist – in diesem Fall ist eine DNS-Validierung nötig. Außerdem kann ein bereits aktiver HTTP-zu-HTTPS-Redirect die ACME-HTTP-01-Challenge blockieren: Deaktiviere den Redirect kurz, stelle das Zertifikat neu aus und aktiviere den Redirect danach wieder.
Fehlgeschlagene Autorisierungen – temporäre Sperre
Wenn die Validierung fünfmal innerhalb einer Stunde scheitert, sperrt Let's Encrypt weitere Versuche für diesen Identifier vorübergehend. Warte eine Stunde, behebe die Ursache (z. B. DNS-Problem oder falscher Challenge-Wert beim Wildcard) und versuche es erneut.
Wildcard: DNS-TXT-Eintrag wird nicht erkannt
Drücke den Reload-Button im WCP erst, wenn der TXT-Eintrag tatsächlich propagiert ist. Eine vorzeitige Bestätigung führt zum Validierungsfehler. Prüfe die Propagation mit nslookup -type=TXT _acme-challenge.deinedomain.tld 8.8.8.8.
Automatische Erneuerung schlägt fehl
Mögliche Ursachen: (a) Wildcard-Option war aktiv – nur Standard-Zertifikate werden automatisch erneuert. (b) Das Webhosting-Paket ist deaktiviert oder gesperrt. (c) Ein HTTP-Redirect blockiert die ACME-Challenge. Öffne SSL/TLS Certificates > Reissue Certificate und stelle das Zertifikat manuell neu aus.
HSTS lässt sich nicht mehr deaktivieren
Ist HSTS einmal gesetzt, speichern Browser den Header für die eingetragene Max-Age-Dauer. Eine Deaktivierung im Panel hilft erst bei Browsern, die danach erstmals die Seite besuchen. Für Nutzer mit gecachtem HSTS-Header ist die Seite bis zum Ablauf ohne HTTPS nicht erreichbar. Lass HSTS deshalb aus, wenn du dir nicht absolut sicher bist.
Häufige Fragen
Wird Let's Encrypt automatisch erneuert?
Ja – Standard-Zertifikate (ohne Wildcard-Option) werden vollautomatisch von Plesk im WCP erneuert. Kein manueller Eingriff und kein Certbot nötig. Wildcard-Zertifikate sind ausgenommen und müssen manuell alle ~90 Tage erneuert werden.
Wie sichere ich auch die www-Subdomain?
Im Formular unter SSL/TLS Certificates > Install die Checkbox „Include a 'www' subdomain for the domain and each selected alias" aktivieren, bevor du auf „Get it free" klickst. Wurde sie vergessen, kann das Zertifikat per „Reissue Certificate" mit dieser Option neu ausgestellt werden.
Kostet Let's Encrypt bei netcup etwas?
Nein. Let's Encrypt ist im netcup Webhosting kostenlos und bereits im Paket enthalten. Es fallen keine zusätzlichen Gebühren an – weder einmalig noch monatlich.
Wann sollte ich HSTS aktivieren?
Erst dann, wenn HTTPS auf deiner Domain stabil läuft und du langfristig nicht mehr zu HTTP wechseln wirst. Einmal gesetzt, erzwingen Browser HTTPS für die gesamte Max-Age-Dauer. Bei einem HTTPS-Ausfall ist die Domain für Besucher nicht mehr erreichbar.
Kann ich mehrere Subdomains absichern?
Ja – für jede Subdomain (z. B. shop.domain.tld, blog.domain.tld) beantragst du im WCP unter der jeweiligen Subdomain ein eigenes Let's-Encrypt-Zertifikat. Alternativ deckt ein Wildcard-Zertifikat alle Subdomains ab, erfordert aber manuelle Pflege bei jeder Erneuerung.
Was tun, wenn die automatische Erneuerung fehlschlägt?
Prüfe, ob: (a) die Wildcard-Option versehentlich aktiv ist, (b) ein HTTP-Redirect die ACME-Challenge blockiert, (c) das Webhosting-Paket aktiv und nicht gesperrt ist. Öffne anschließend SSL/TLS Certificates > Reissue Certificate und stelle das Zertifikat manuell neu aus.
Fazit
Let's Encrypt im netcup Webhosting ist einer der unkompliziertesten Wege, eine Domain auf HTTPS umzustellen: kein Certbot, keine Kommandozeile, keine Kosten. Der gesamte Standardprozess – Zertifikat beantragen, www-Subdomain einschließen, HTTP-Redirect aktivieren – dauert unter zehn Minuten. Wer auf Wildcard-Zertifikate verzichtet, profitiert zusätzlich von der vollautomatischen Erneuerung. HSTS solltest du nur aktivieren, wenn du die Konsequenzen kennst und HTTPS dauerhaft betreiben wirst. Für alle anderen ist der Slider besser ausgelassen – die Sicherheit des HTTPS-Zertifikats selbst ist davon unberührt.
Weiterführende Anleitungen und Quellen
- WordPress mit einem Klick im netcup Webhosting installieren (WordPress Toolkit in Plesk)
- DNS-Records bei netcup im CCP verwalten: A, AAAA, CNAME, MX und TXT richtig setzen
- VPS absichern und härten: Anleitung mit UFW, SSH-Keys und Fail2Ban (Hetzner/Netcup)
- Let's Encrypt mit Certbot – TLS-Zertifikate ohne Reverse-Proxy
- netcup Helpcenter: SSL-Verschlüsselung mit Let's Encrypt (offizielle Dokumentation)
- Let's Encrypt: Rate Limits (offizielle Dokumentation)
