Bei der Absicherung von Subdomains auf STRATO entscheidet nicht nur das Zertifikat selbst, sondern vor allem, welcher Hostname geschützt werden soll und wie die Weiterleitung auf HTTPS umgesetzt wird. Genau daran scheitern in der Praxis die meisten Setups: Die Hauptdomain ist abgesichert, die Subdomain aber nicht, oder der Browser meldet trotz Zertifikat noch „nicht sicher“. Ich zeige deshalb, wie du die passende STRATO-Lösung auswählst, korrekt zuweist und die typischen Fehler sauber vermeidest.
Die wichtigsten Punkte auf einen Blick
- Ein normales Single-Domain-Zertifikat deckt nicht automatisch alle Subdomains ab.
- Für mehrere Subdomains ist ein Wildcard-Zertifikat die saubere Lösung.
- Im STRATO-Kunden-Login wird das Zertifikat zugewiesen und auf Wunsch per SSL erzwingen auf HTTPS umgeleitet.
- Wenn die Seite weiter als unsicher erscheint, liegt es oft an Mixed Content oder an konkurrierenden DNS-Einstellungen.
- Für mehrere unabhängige Projekte ist eine SSL-Flat oft sinnvoller als mehrere Einzelzertifikate.
Warum eine Subdomain nicht automatisch mit abgesichert ist
Eine Subdomain ist technisch ein eigener Hostname, also etwa shop.beispiel.de oder blog.beispiel.de. Genau deshalb reicht ein Zertifikat für die Hauptdomain nicht automatisch aus: Das Zertifikat muss zu der Adresse passen, die der Browser tatsächlich aufruft. Ich sehe hier immer wieder Verwirrung, weil viele nur an „die Website“ denken, nicht an den konkreten Hostnamen.
STRATO trennt diese Fälle bewusst. Ein Single-Domain-Zertifikat ist für eine einzelne Domain gedacht, während ein Wildcard-Zertifikat die Hauptdomain und alle zugehörigen Subdomains abdeckt. Das ist der entscheidende Punkt: Wer nur die Hauptseite samt www nutzt, kommt mit einer einfachen Lösung weit. Wer mehrere Bereiche wie Shop, Blog, Staging oder App auf Subdomains auslagert, sollte von Anfang an anders planen.
In der Praxis bedeutet das: Je stärker deine Website wächst, desto wichtiger wird ein Zertifikat, das nicht bei jedem neuen Hostnamen neu gedacht werden muss. Genau daraus ergibt sich die Wahl des passenden STRATO-Zertifikats.
Welches Zertifikat zu deinem STRATO-Setup passt
Ich trenne bei diesem Thema immer zwischen Abdeckung und Validierungsstufe. Die Abdeckung sagt, ob nur eine Domain oder auch Subdomains geschützt werden. Die Validierungsstufe entscheidet, wie stark die Identität geprüft wird und wie viel Vertrauen du gegenüber Besuchern und Kunden signalisierst. Aktuell nennt STRATO für DV-Zertifikate 0,50 Euro pro Monat, für OV 3 Euro und für EV 8 Euro; die Wildcard-Varianten decken dabei die gleiche Logik bei der Abdeckung ab, aber eben für Subdomains.
| Zertifikat | Abdeckung | Wann ich es nehme | Meine Einschätzung |
|---|---|---|---|
| SSL Starter | Eine Domain, ohne Subdomains | Für eine einfache Hauptseite, Blog oder Vereinsseite | Solide und günstig, aber nicht die Lösung für eine echte Subdomain-Struktur |
| SSL Starter Wildcard | Eine Domain und alle Subdomains | Für Shop, Blog, App oder Testumgebung unter derselben Hauptdomain | Die beste Standardwahl, wenn mehrere Hostnamen unter einer Domain laufen |
| SSL Business | Eine Domain, ohne Subdomains | Für Firmenauftritte oder Shops mit zusätzlicher Organisationsprüfung | Mehr Vertrauenssignal, aber nur sinnvoll, wenn die Identitätsprüfung wirklich gebraucht wird |
| SSL Business Wildcard | Eine Domain und alle Subdomains | Für Unternehmen mit mehreren Subdomains und OV-Anforderung | Stark, wenn Sicherheit und Organisationsvalidierung zusammenpassen sollen |
| SSL Flat | Mehrere unabhängige Domains | Für viele getrennte Projekte oder Agentur-Setups | Gut für mehrere Domains, aber nicht als Ersatz für eine Subdomain-Strategie gedacht |
Was ich daraus ableite: Wildcard ist die natürliche Antwort auf Subdomains, SSL Flat auf viele eigenständige Domains. Wer das vermischt, kauft oft die falsche Lösung. Damit die Auswahl nicht nur theoretisch bleibt, geht es als Nächstes um die eigentliche Einrichtung bei STRATO.
So richtest du SSL für eine Subdomain bei STRATO ein
Im STRATO-Kunden-Login
Im Hosting- oder Baukasten-Umfeld läuft die Einrichtung vergleichsweise geradlinig. Du meldest dich im Kunden-Login an, öffnest das betreffende Paket und gehst auf SSL verwalten. Dort kannst du ein Zertifikat bestellen oder das bereits vorhandene Zertifikat einer Domain zuweisen. Bei STRATO genügt dafür in der Regel ein sauberer Zuordnungsprozess im Login; die technische Erneuerung läuft bei passenden Paketen im Hintergrund weiter.
- Subdomain anlegen oder die gewünschte Zieladresse prüfen.
- Im Paket auf SSL verwalten wechseln.
- Das passende Zertifikat auswählen, bestellen oder zuweisen.
- Nach der Aktivierung SSL erzwingen einschalten, damit HTTP auf HTTPS umgeleitet wird.
- Die Seite im Browser testen und auf das Schloss-Symbol sowie die korrekte URL achten.
Der Punkt SSL erzwingen ist wichtig, weil er den Verkehr automatisch auf HTTPS zwingt. STRATO weist darauf hin, dass du damit meist keine manuelle .htaccess-Regel mehr brauchst. Für viele Projekte ist das der sauberste Weg, weil Nutzer nicht mehr versehentlich auf einer unverschlüsselten Variante landen. Sobald diese Umleitung steht, lohnt sich ein Blick auf den technischen Unterbau.
Lesen Sie auch: SSL-Zertifikat prüfen - So geht's richtig & sicher
Auf einem STRATO-Server mit eigener Verwaltung
Wenn du Root- oder Administratorzugriff hast, läuft es anders: Dann bindest du die Zertifikatsdateien selbst ein. STRATO stellt dir das Zertifikat nach der Ausstellung im Login bereit, und du benötigst zusätzlich den Private Key, den du beim Erstellen des CSR erzeugt hast. Das ist kein kosmetisches Detail, sondern zwingend notwendig für die spätere Installation auf dem Server.
Wichtig ist außerdem die DNS-Seite. Laut STRATO dürfen für die Verwendung des STRATO-SSL-Zertifikats keine konkurrierenden DNS-Einstellungen wie A-Record oder DynDNS gesetzt sein. Wenn deine Subdomain also auf einen anderen Server zeigt oder über eigene DNS-Mechanismen läuft, musst du Zertifikat und DNS als zusammenhängendes System betrachten. Genau hier entstehen viele Fehlkonfigurationen, obwohl das Zertifikat an sich korrekt ausgestellt wurde.
Die praktische Folge: Im Hosting-Login geht es um Zuweisung und Weiterleitung, auf dem eigenen Server um Installation und Konfiguration. Beides ist nicht austauschbar. Und sobald HTTPS aktiv ist, kommen die typischen Folgeprobleme ins Spiel.
Die häufigsten Fehler bei Subdomains mit HTTPS
Wenn eine Subdomain trotz aktivem Zertifikat als unsicher angezeigt wird, liegt das selten an einem einzigen großen Fehler. Meist ist es eine Kombination kleiner Dinge, die zusammen das Problem auslösen. Ich prüfe dann immer dieselben Punkte, weil sie in der Praxis den größten Hebel haben.
- Falscher Hostname - Das Zertifikat passt zur Hauptdomain, aber die Subdomain wurde nicht erfasst oder nicht korrekt zugewiesen.
- Mixed Content - Bilder, Skripte, CSS-Dateien oder iFrames werden noch per HTTP geladen. STRATO beschreibt dieses Problem ausdrücklich als häufige Ursache für Browserwarnungen.
- DNS-Konflikte - NS-, A- oder DynDNS-Einträge zeigen auf eine andere Zielumgebung und machen die Zertifikatslogik inkonsistent.
- Fehlende Umleitung - Die Website ist zwar per HTTPS erreichbar, aber HTTP bleibt ebenfalls offen und sorgt für uneinheitliche Aufrufe.
- Cache oder Verzögerung - Gerade nach der Ausstellung oder Zuweisung kann es dauern, bis Browser und Infrastruktur die Änderung sauber übernommen haben.
Der wichtigste Praxis-Tipp ist für mich immer derselbe: Nicht nur das Schloss im Browser prüfen, sondern die komplette Seite auf alte HTTP-Verweise untersuchen. Sobald alle Inhalte konsistent über HTTPS geladen werden, ist der größte Teil der Arbeit erledigt. Damit ist auch klar, warum manche Setups schnell stabil laufen und andere unnötig komplex werden.
Wann ich direkt Wildcard oder SSL Flat nehme
Wenn du heute schon weißt, dass aus einer Website mehrere technische Bereiche werden, würde ich nicht mit einer Minimal-Lösung starten. Ein Wildcard-Zertifikat spart dir später Neuplanung, erneute Zuordnungen und unnötige Fehlerquellen. Besonders sinnvoll ist das bei Setups wie shop.domain.de, blog.domain.de, staging.domain.de oder einer API unter einer separaten Subdomain.
Für mehrere unabhängige Domains ist dagegen die SSL-Flat oft der praktischere Weg. Sie löst nicht das Subdomain-Problem, aber sie verhindert, dass du für jedes Projekt einzeln nachkaufen und nachpflegen musst. Das ist vor allem für Agenturen, kleinere Portfolios und wachsende Betreiber interessant, die mehrere Websites unter einem Konto verwalten.
Mein pragmatisches Fazit dazu ist einfach: Eine einzelne Subdomain kann man sauber und schlank absichern, aber sobald du die zweite oder dritte einplanst, wird Wildcard meist vernünftiger als Einzelzertifikate. Wer seine Struktur kennt, spart sich später viel Aufwand. Genau deshalb lohnt es sich, die Entscheidung nicht erst beim ersten Browserfehler zu treffen.
Was ich vor dem Livegang noch einmal prüfe
Vor dem Go-live kontrolliere ich bei STRATO immer dieselben vier Dinge: Passt das Zertifikat wirklich zum Ziel-Hostname, ist die HTTPS-Weiterleitung aktiv, sind keine alten HTTP-Ressourcen eingebunden und blockieren keine DNS-Einstellungen die Auslieferung. In vielen Fällen sind Zertifikate innerhalb von etwa einer Stunde verfügbar; bei Business-Zertifikaten kann die Prüfung laut STRATO bis zu drei Tage dauern. Wer das mit einplant, vermeidet unnötigen Zeitdruck.
Wenn du nur eine klar definierte Subdomain absichern willst, reicht oft ein sauber zugewiesenes Einzelzertifikat. Wenn du aber die Struktur von Anfang an ernst nimmst, ist ein Wildcard-Zertifikat die robustere Lösung. Am Ende geht es nicht um möglichst viele Zertifikate, sondern um eine Verschlüsselung, die zur echten Website-Architektur passt.