HTTPS ist seit Jahren Pflicht – auch für Subdomains. Eine Subdomain ohne SSL-Zertifikat liefert sofort eine Warnmeldung im Browser und ist für SEO und Vertrauen ein klares Nein. Zum Glück gibt es Let's Encrypt: kostenlos, automatisiert, voll vertrauenswürdig.
Drei Wege zum Zertifikat
1. Einzel-Zertifikat pro Subdomain
Der einfachste Weg: für jede Subdomain ein eigenes Zertifikat. Funktioniert über die HTTP-01-Challenge (Let's Encrypt legt eine Datei in /.well-known/acme-challenge/ ab und ruft sie öffentlich auf). Voraussetzung: Die Subdomain ist über Port 80 erreichbar.
2. SAN-Zertifikat für mehrere Subdomains
Ein Zertifikat kann bis zu 100 Hostnamen abdecken (Subject Alternative Names). Ideal für eine überschaubare, feste Subdomain-Liste. Praktisch in Plesk per „SSL It!"-Toggle für mehrere Domains gleichzeitig.
3. Wildcard-Zertifikat für *.beispiel.de
Deckt alle Subdomains erster Ebene ab. Erfordert die DNS-01-Challenge: Let's Encrypt schickt einen TXT-Record-Wert, den dein DNS-Provider hinterlegen muss. Bei API-fähigen DNS-Providern (Cloudflare, ClouDNS) läuft das automatisch.
Plesk-Stolperfalle: NS-Records überschreiben A-Records
Wenn du eine Subdomain in Plesk als „eigene Domain" anlegst, erzeugt Plesk automatisch NS-Records dafür – auch dann, wenn du nur einen einfachen A-Record willst. Diese NS-Records delegieren die Subdomain an externe Nameserver. Wenn die Slave-Server die Zone nicht haben, schlägt die Let's-Encrypt-Validierung fehl.
Lösung: In den DNS-Einstellungen der Hauptdomain alle NS-Records für die Subdomain löschen. Dann greifen die A/AAAA-Records oder der Wildcard. Plesk erlaubt nicht, den letzten NS-Record einer Zone zu löschen – also löschen, solange noch andere drin sind.
Renewal nicht vergessen
Let's Encrypt-Zertifikate sind 90 Tage gültig. Plesk und cPanel erneuern automatisch, bei manuellen Setups muss ein Cronjob mit certbot renew laufen.