SSL und HTTPS auf PrestaShop einrichten: Vollstaendige Anleitung
Recht & Compliance

SSL und HTTPS auf PrestaShop einrichten: Vollstaendige Anleitung

David Miller Veröffentlicht: 14.06.2026 Erstellt: 18.04.2026 Aktualisiert: 28.05.2026 Recht & Compliance
6 Aufrufe 11 Min. Lesezeit

SSL-Zertifikate und HTTPS sind für E-Commerce-Shops keine Option mehr. Neben den offensichtlichen Sicherheitsvorteilen nutzt Google HTTPS seit 2014 als Ranking-Signal, Browser zeigen „Nicht sicher"-Warnungen auf HTTP-Seiten an, und Zahlungsanbieter verlangen zunehmend HTTPS für die Funktion ihrer Integrationen. Wenn Ihr PrestaShop-Shop noch auf HTTP läuft oder eine fehlerhafte HTTPS-Konfiguration hat, sollte die Behebung Ihre oberste Priorität sein.

Dieser Leitfaden führt Sie durch den gesamten Prozess: Zertifikat beschaffen, PrestaShop konfigurieren, häufige Probleme beheben und alles verifizieren.

SSL-Zertifikate verstehen

Was SSL/TLS tatsächlich bewirkt

SSL (Secure Sockets Layer) und sein Nachfolger TLS (Transport Layer Security) verschlüsseln die Verbindung zwischen dem Browser Ihres Kunden und Ihrem Webserver. Dies verhindert, dass Dritte sensible Daten wie Passwörter, Kreditkartennummern und persönliche Informationen während der Übertragung abfangen.

Wenn ein Browser eine Verbindung zu einer HTTPS-Seite herstellt, überprüft er das SSL-Zertifikat des Servers, baut eine verschlüsselte Verbindung auf und zeigt ein Schlosssymbol in der Adressleiste an. Dieser Vorgang geschieht in Millisekunden und ist für den Benutzer unsichtbar, abgesehen vom Schloss-Indikator.

Arten von SSL-Zertifikaten

Es gibt drei Arten von SSL-Zertifikaten, unterschieden durch die Validierungsebene:

  • Domain Validation (DV): Überprüft, dass Sie die Domain kontrollieren. Am günstigsten und schnellsten zu erhalten (Minuten). Let's Encrypt bietet diese kostenlos an. Für die meisten PrestaShop-Shops ausreichend.
  • Organization Validation (OV): Überprüft, dass Ihre Organisation existiert und die Domain kontrolliert. Kostet 50-200 EUR/Jahr. Zeigt den Firmennamen in den Zertifikatsdetails, aber nicht in der Browserleiste. Bietet etwas mehr Vertrauen für B2B-Shops.
  • Extended Validation (EV): Gründlichste Verifizierung einschließlich Prüfung der juristischen Person. Kostet 200-1.000 EUR/Jahr. Zeigte früher einen grünen Firmennamen in der Browserleiste, aber die meisten Browser haben diese visuelle Unterscheidung entfernt. Der Sicherheitsvorteil gegenüber DV ist für die meisten Shops minimal.

Für die überwiegende Mehrheit der PrestaShop-Shops bietet ein kostenloses Let's Encrypt DV-Zertifikat identische Verschlüsselungssicherheit wie ein 500 EUR EV-Zertifikat. Die Verschlüsselungsstärke ist dieselbe. Sparen Sie Ihr Geld und investieren Sie es stattdessen in Ihren Shop.

Schritt 1: SSL-Zertifikat erhalten

Option A: Let's Encrypt (Empfohlen)

Let's Encrypt ist eine kostenlose, automatisierte Zertifizierungsstelle, die DV-Zertifikate ausstellt. Die meisten modernen Hosting-Anbieter integrieren Let's Encrypt direkt in ihre Verwaltungsoberflächen.

Auf cPanel: Navigieren Sie zu SSL/TLS Status in Ihrem cPanel-Dashboard. Klicken Sie auf „AutoSSL ausführen", um automatisch Zertifikate für alle Domains zu erhalten und zu installieren. cPanels AutoSSL übernimmt die Erneuerung automatisch alle 60-90 Tage.

Auf Plesk: Gehen Sie zu Websites & Domains, wählen Sie Ihre Domain, klicken Sie auf SSL/TLS-Zertifikate und klicken Sie auf „Installieren" neben Let's Encrypt. Aktivieren Sie die automatische Erneuerung.

Auf der Kommandozeile (VPS/Dedicated): Installieren Sie Certbot, den offiziellen Let's Encrypt Client. Für Apache auf Debian/Ubuntu: Führen Sie den Befehl certbot apache aus. Für Nginx: Verwenden Sie den Befehl certbot nginx. Certbot konfiguriert Ihren Webserver automatisch und richtet einen Cron-Job für die Erneuerung ein.

Option B: Gekauftes Zertifikat

Wenn Sie ein OV- oder EV-Zertifikat benötigen, kaufen Sie von einer seriösen CA (Sectigo, DigiCert, GlobalSign). Der Prozess umfasst die Erstellung eines Certificate Signing Request (CSR) auf Ihrem Server, die Einreichung bei der CA, den Abschluss des Validierungsprozesses und die Installation des ausgestellten Zertifikats.

Das Support-Team Ihres Hosting-Anbieters kann in der Regel bei der Installation helfen, wenn Sie sich nicht damit wohl fühlen.

Option C: Cloudflare (Kostenloses SSL)

Der kostenlose Plan von Cloudflare beinhaltet SSL. Wenn Sie Ihre Domain über Cloudflare leiten, bietet es SSL zwischen dem Besucher und Cloudflares Servern. Sie können den Modus „Full (Strict)" wählen, der auch die Verbindung zwischen Cloudflare und Ihrem Server verschlüsselt (erfordert ein Zertifikat auf Ihrem Server, auch ein selbstsigniertes).

Das ist eine gute Option, wenn Sie Cloudflare bereits für CDN/DDoS-Schutz nutzen. Beachten Sie, dass im „Flexible"-Modus die Verbindung zwischen Cloudflare und Ihrem Server unverschlüsselt ist, was nicht wirklich sicher ist.

Schritt 2: HTTPS in PrestaShop aktivieren

Sobald Ihr SSL-Zertifikat auf dem Server installiert ist, müssen Sie PrestaShop mitteilen, es zu verwenden.

In PrestaShop 1.7.x und 8.x:

Gehen Sie zu Shop-Parameter > Allgemein im Backoffice. Setzen Sie „SSL aktivieren" auf Ja. Wenn nach dem Speichern keine Fehler auftreten, setzen Sie auch „SSL auf allen Seiten aktivieren" auf Ja.

Wichtig: Aktivieren Sie zuerst SSL, testen Sie, ob das Backoffice funktioniert, und aktivieren Sie es dann auf allen Seiten. Wenn Sie beides gleichzeitig aktivieren und etwas schief geht, sperren Sie sich möglicherweise aus dem Admin-Panel aus.

Wenn Sie ausgesperrt werden

Wenn die SSL-Aktivierung Ihren Zugang zum Backoffice blockiert, können Sie es direkt über die Datenbank beheben. Verbinden Sie sich mit Ihrer Datenbank und setzen Sie den Wert PS_SSL_ENABLED auf 0 in der Tabelle ps_configuration. Dies deaktiviert SSL, damit Sie wieder auf den Admin zugreifen können, um das Problem zu debuggen.

Shop-URLs aktualisieren

Gehen Sie zu Shop-Parameter > Traffic & SEO > Shop-URLs. Überprüfen Sie, dass sowohl die Domain als auch die SSL-Domain korrekt eingestellt sind. Sie sollten identisch sein (z.B. beide „yourstore.com" ohne http://- oder https://-Präfix). Fügen Sie keine Protokoll-Präfixe in diese Felder ein.

Schritt 3: HTTP-zu-HTTPS-Weiterleitung einrichten

Nach der Aktivierung von HTTPS müssen Sie den gesamten HTTP-Traffic auf HTTPS umleiten. Dies dient zwei Zwecken: Es stellt sicher, dass Besucher immer die verschlüsselte Verbindung nutzen, und es verhindert Probleme mit doppelten Inhalten bei Suchmaschinen.

.htaccess-Weiterleitung (Apache)

Fügen Sie die folgenden Regeln zu Ihrer .htaccess-Datei im PrestaShop-Stammverzeichnis hinzu. Platzieren Sie sie nach „RewriteEngine On", aber vor PrestaShops bestehenden Rewrite-Regeln.

Die Rewrite-Bedingung prüft, dass HTTPS nicht bereits aktiviert ist, und die Rewrite-Regel leitet auf die HTTPS-Version derselben URL mit dem Status 301 (permanente Weiterleitung) um.

Wichtig: PrestaShop generiert seinen eigenen .htaccess-Inhalt. Wenn Sie „.htaccess-Datei generieren" aus dem Backoffice (Shop-Parameter > Traffic & SEO) ausführen, werden Ihre benutzerdefinierten Ergänzungen überschrieben. Fügen Sie Ihre Regeln entweder nach der Neugenerierung hinzu oder platzieren Sie sie in einem separaten Konfigurations-Include.

Nginx-Weiterleitung

Für Nginx-Server fügen Sie eine Weiterleitung in Ihrer Server-Block-Konfiguration hinzu. Erstellen Sie einen separaten Server-Block, der auf Port 80 lauscht und eine 301-Weiterleitung auf die HTTPS-Version der angeforderten URI zurückgibt.

Cloudflare-Weiterleitung

Wenn Sie Cloudflare nutzen, aktivieren Sie „Immer HTTPS verwenden" in den SSL/TLS-Einstellungen. Dies übernimmt die Weiterleitung auf CDN-Ebene, was effizienter ist als serverseitige Weiterleitungen.

Schritt 4: Mixed Content beheben

Mixed Content tritt auf, wenn eine HTTPS-Seite einige Ressourcen (Bilder, CSS, JavaScript) über HTTP lädt. Browser blockieren oder warnen vor diesen unsicheren Ressourcen, was Seitenlayouts brechen, Zahlungsformulare deaktivieren und Sicherheitswarnungen anzeigen kann.

Mixed Content finden

Öffnen Sie Ihren Shop in Chrome, drücken Sie F12, um die Entwicklertools zu öffnen, und prüfen Sie den Konsolen-Tab auf Mixed-Content-Warnungen. Sie sehen aus wie: „Mixed Content: The page at https://... was loaded over HTTPS, but requested an insecure resource http://...".

Alternativ verwenden Sie ein Online-Tool wie WhyNoPadlock.com oder JitBits SSL Checker, um Ihre Seiten auf Mixed Content zu scannen.

Häufige Quellen von Mixed Content in PrestaShop

  • Fest codierte HTTP-URLs in CMS-Inhalten: Produktbeschreibungen, Kategoriebeschreibungen und CMS-Seiten, die absolute URLs mit http:// enthalten. Beheben Sie dies, indem Sie Ihren Datenbankinhalt nach http://-URLs durchsuchen und diese durch https:// oder protokollrelative // ersetzen.
  • Modul-Assets: Einige Module laden CSS- oder JavaScript-Dateien mit http://-URLs. Aktualisieren Sie den Modulcode oder kontaktieren Sie den Modulentwickler.
  • Externe Ressourcen: Google Fonts, Analytics-Skripte, eingebettete Videos oder Social-Media-Widgets, die über HTTP geladen werden. Aktualisieren Sie die Einbettungscodes auf https://.
  • Benutzerdefinierte Theme-Änderungen: CSS-Hintergrundbilder oder Schriftdateien, die in Theme-Stylesheets mit http:// referenziert werden.
  • Alte E-Mail-Vorlagen: E-Mail-Vorlagen, die Bilder mit http://-URLs enthalten. Aktualisieren Sie diese unter Design > E-Mail-Theme.

Datenbank-Bereinigung

Für eine gründliche Bereinigung führen Sie Suchen-und-Ersetzen-Abfragen auf Ihrer Datenbank aus, um verbleibende HTTP-URLs zu konvertieren. Zielen Sie auf die Produktbeschreibungsfelder, Kategoriebeschreibungsfelder, CMS-Inhaltsfelder und Konfigurationstabelleneinträge. Sichern Sie immer Ihre Datenbank, bevor Sie Update-Abfragen ausführen.

Schritt 5: Externe Dienste aktualisieren

Mehrere externe Dienste und Konfigurationen müssen nach dem Wechsel zu HTTPS aktualisiert werden:

  • Google Search Console: Fügen Sie Ihre HTTPS-Property (https://yourstore.com) als neue Property hinzu. Google behandelt HTTP und HTTPS als separate Websites.
  • Google Analytics: Aktualisieren Sie Ihre Standard-URL in den Property-Einstellungen auf https://.
  • Google Merchant Center: Aktualisieren Sie Ihre Website-URL, wenn Sie Google Shopping-Feeds nutzen.
  • Sitemap: Generieren Sie Ihre Sitemap neu, um sicherzustellen, dass alle URLs https:// verwenden. Wenn Sie ein SEO-Modul nutzen, generieren Sie die Sitemap über das Modul neu. Bei mypresta.rocks übernimmt unser Sitemap-Modul dies automatisch, wenn sich SSL-Einstellungen ändern.
  • Social-Media-Profile: Aktualisieren Sie Ihre Website-URL auf Facebook, Instagram und anderen Plattformen.
  • Branchenverzeichnisse und Backlinks: Aktualisieren Sie wo möglich externe Links auf https://. Die 301-Weiterleitung übernimmt dies für SEO, aber direkte HTTPS-Links sind immer besser.

Schritt 6: Alles überprüfen

Gehen Sie nach Abschluss der Einrichtung diese Verifikations-Checkliste durch:

  • Besuchen Sie Ihre Startseite über HTTPS — das Schloss sollte ohne Warnungen erscheinen
  • Durchsuchen Sie Produktseiten, Kategorieseiten und CMS-Seiten — prüfen Sie auf Mixed-Content-Warnungen
  • Führen Sie einen Test-Checkout durch — überprüfen Sie, ob der gesamte Zahlungsablauf über HTTPS funktioniert
  • Prüfen Sie das Backoffice — alle Admin-Seiten sollten über HTTPS laden
  • Überprüfen Sie die HTTP-zu-HTTPS-Weiterleitung — der Besuch von http://yourstore.com sollte auf https://yourstore.com weiterleiten
  • Testen Sie die non-www-zu-www-Weiterleitung (oder umgekehrt) — Sie sollten ein einziges kanonisches URL-Format haben
  • Prüfen Sie Ihr SSL-Zertifikat mit dem SSL Labs Server Test (ssllabs.com/ssltest) — zielen Sie auf eine A- oder A+-Bewertung

Häufige Fehler und wie man sie behebt

Weiterleitungsschleife

Wenn Ihr Shop nach der SSL-Aktivierung in eine endlose Weiterleitungsschleife gerät, ist die häufigste Ursache ein Proxy oder Load Balancer, der SSL vor Ihrem Server terminiert. PrestaShop sieht die Verbindung als HTTP und leitet auf HTTPS um, was der Proxy zurückleitet und so eine Schleife erzeugt.

Lösung: Prüfen Sie, ob Ihr Hosting einen Reverse Proxy verwendet (häufig bei Cloudflare, AWS ELB oder Hosting-Panels). Möglicherweise müssen Sie die X-Forwarded-Proto-Header-Prüfung in Ihrer .htaccess oder PrestaShop-Konfiguration einrichten.

CSS und JavaScript laden nicht

Wenn Ihr Shop nach der HTTPS-Aktivierung kaputt aussieht (kein Styling, keine Interaktivität), prüfen Sie auf Mixed-Content-Blockierung. Der Browser blockiert wahrscheinlich HTTP-Ressourcen. Prüfen Sie die Konsole auf Fehler und korrigieren Sie die URLs.

Zahlungs-Gateway-Fehler

Einige Zahlungs-Gateways haben Webhook-URLs konfiguriert, die noch http:// verwenden. Aktualisieren Sie die Webhook/Benachrichtigungs-URLs im Dashboard Ihres Zahlungsanbieters auf https://. Häufige Übeltäter: PayPal IPN URL, Stripe Webhook-Endpunkt, Mollie Webhook-URL.

Bilder werden nicht geladen

Wenn Produktbilder oder CMS-Bilder nach der HTTPS-Migration verschwinden, enthalten sie wahrscheinlich fest codierte http://-URLs. Führen Sie die in Schritt 4 beschriebene Datenbank-Bereinigung durch. Prüfen Sie auch, ob Ihr Bildserver oder CDN HTTPS unterstützt.

Performance-Überlegungen

HTTPS fügt aufgrund des TLS-Handshakes einen geringen Overhead hinzu, aber auf modernen Servern ist dieser vernachlässigbar (1-5ms pro neuer Verbindung). Der Overhead wird weiter minimiert durch:

  • HTTP/2: Nur über HTTPS verfügbar und verbessert die Performance erheblich durch Multiplexing, Header-Komprimierung und Server Push. Die meisten modernen Hosting-Umgebungen unterstützen HTTP/2 automatisch über HTTPS.
  • TLS Session Resumption: Wiederkehrende Besucher können ihre TLS-Session ohne vollständigen Handshake fortsetzen, was den Overhead auf nahezu null reduziert.
  • OCSP Stapling: Ihr Server kann die Zertifikats-Gültigkeitsprüfung in den TLS-Handshake einbeziehen und so die separate Kontaktaufnahme des Clients mit der CA eliminieren.

In der Praxis verbessert die Aktivierung von HTTPS typischerweise die Performance, weil es HTTP/2 freischaltet, was den TLS-Overhead mehr als kompensiert.

SSL-Setup pflegen

SSL ist keine einmalige Konfiguration. Überwachen Sie diese laufenden Aspekte:

  • Zertifikatserneuerung: Let's Encrypt-Zertifikate laufen alle 90 Tage ab. AutoSSL oder Certbot sollten die Erneuerung automatisch übernehmen, aber überprüfen Sie regelmäßig das Ablaufdatum Ihres Zertifikats.
  • Neue Inhalte: Wann immer Sie neue CMS-Inhalte, Produktbeschreibungen oder externe Ressourcen einbinden, stellen Sie sicher, dass sie HTTPS-URLs verwenden.
  • Modul-Updates: Neue Module oder Modul-Updates können Mixed Content einführen. Testen Sie nach jeder Modulinstallation oder jedem Update.
  • Sicherheits-Header: Erwägen Sie das Hinzufügen von Sicherheits-Headern wie HSTS (HTTP Strict Transport Security), um Browser anzuweisen, immer HTTPS zu verwenden. Beginnen Sie mit einer kurzen max-age und erhöhen Sie sie, sobald Sie sicher sind, dass alles funktioniert.

SSL/HTTPS-Konfiguration ist eine dieser Aufgaben, die einschüchternd erscheint, aber tatsächlich unkompliziert ist, wenn man sie in Schritte aufteilt. Die Sicherheits- und SEO-Vorteile sind sofort und erheblich. Wenn Ihr PrestaShop-Shop noch nicht vollständig auf HTTPS ist, machen Sie es zu Ihrem Projekt für diese Woche. Ihre Kunden, Ihre Google-Rankings und Ihre Zahlungsanbieter werden es Ihnen danken.

Verwandte Artikel

Diesen Beitrag teilen:
David Miller

David Miller

Über ein Jahrzehnt praktische PrestaShop-Expertise. David entwickelt leistungsstarke E-Commerce-Module mit Fokus auf SEO, Checkout-Optimierung und Shop-Management. Leidenschaft für sauberen Code und messbare Ergebnisse.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie unsere neuesten Tipps, Anleitungen und Modul-Updates direkt in Ihr Postfach.

Kommentare

Noch keine Kommentare. Seien Sie der Erste!

Stellen Sie als Erster eine Frage oder teilen Sie hilfreiches Feedback.

Nach oben