WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Wie weit im Voraus sollten Zertifikatsablauf-Warnungen ausgeloest werden?

Fuer KMU sind 30 Tage ein vernuenftiges Minimum fuer primaere Warnungen, mit einer zusaetzlichen naeher liegenden Warnung bei Nichtloesung. Der Schluessel ist, genuegend Zeit fuer menschliche Eskalation zu lassen, falls die Automatisierung versagt.

Reicht Let's Encrypt fuer Produktionsunternehmen?

In der Regel ja. Die operative Qualitaet von Erneuerung, Kettenverwaltung und Verifizierung zaehlt mehr als das Marketing-Prestige des Zertifikatsemittenten fuer die meisten Webanwendungen.

Eliminieren CDNs das Zertifikatsablaufrisiko?

Nein. Sie reduzieren den operativen Aufwand, aber Sie benoetigen weiterhin ein Hostname-Inventar, Erneuerungssichtbarkeit und Validierung, dass CDN- und Origin-Konfigurationen abgestimmt bleiben.

Was sollte ich nach einer Erneuerung ueberpruefen?

Ueberpruefen Sie Live-Ablaufdaten, Kettengultigkeit, HTTP-zu-HTTPS-Weiterleitungen, Browser-Vertrauen, wichtige authentifizierte Pfade und alle API- oder Callback-Endpunkte, die auf HTTPS angewiesen sind.

TLS-Zertifikatsablauf-Leitfaden — Überwachungs- und Erneuerungs-Runbook

Warum Zertifikatsablauf ein Vorstandsrisiko ist

TLS-Zertifikate sind leicht zu ignorieren, da sie oft monatelang stillschweigend funktionieren. Wenn sie ablaufen, ist das Ergebnis ein sofortiger Vertrauensverlust: Browserwarnungen, fehlerhafte APIs, fehlgeschlagene Logins, unterbrochene Bezahlvorgaenge und Support-Tickets von Nutzern, die glauben, die Website sei kompromittiert worden.

Fuer KMU ist der Zertifikatsablauf meist kein Kryptographieproblem. Es ist ein Verantwortungsproblem. Niemand weiss, welche Domains existieren, wer das DNS verwaltet, welches Team den CDN oder Load Balancer besitzt, ob die Erneuerung automatisiert ist oder wie ein erfolgreicher Rollout nach der Ausstellung verifiziert wird.

Deshalb ist die richtige Denkweise operativ statt rein technisch. Die Zertifikatsgesundheit gehoert in Ihre wiederkehrenden Website-Zuverlaessigkeitspruefungen, neben Weiterleitungen, Headern, Cookies, exponierten Assets und Verfuegbarkeit. Ein gueltiges Zertifikat reicht nicht, wenn die falsche Kette ausgeliefert wird, ein veralteter Edge-Cache aktiv bleibt oder eine vergessene Subdomain noch ein altes Zertifikat praesentiert.

Ueberwachungs-Baseline, die jedes Team haben sollte

Beginnen Sie mit einem vollstaendigen Inventar oeffentlicher Hostnamen: Root-Domain, www, Produkt-Subdomains, Kundenportale, APIs, Statusseiten und alle Legacy-Endpunkte, die noch ueber alte Dokumentation oder Nutzer-Lesezeichen erreichbar sind. Zertifikate driften ab, weil Teams nur die Hauptdomain ueberwachen, waehrend Randoberflaechen vergessen werden.

Ihre Baseline sollte Ablaufhorizont-Pruefungen, Emittenten-Sichtbarkeit, SAN-Abdeckung, Weiterleitungsvalidierung und Kettenkorrekthheit umfassen. Wenn Sie verwaltete Infrastruktur nutzen, ueberpruefen Sie, welche Schicht tatsaechlich TLS terminiert: CDN, Reverse Proxy, Ingress, Anwendungsserver oder eine Mischung. Verantwortung ist unmoeglich, wenn die Architektur unklar ist.

Vor dem Ablauf warnen mit genuegend Vorlauf fuer menschliches Eingreifen, nicht erst bei sieben verbleibenden Tagen.
Jeden Produktions-Hostnamen verfolgen, nicht nur die Marketing-Domain.
HTTP-zu-HTTPS-Weiterleitungen nach jeder Erneuerung oder Infrastrukturaenderung ueberpruefen.
Bestaetigen, dass die vollstaendige Zertifikatskette in allen Umgebungen und Regionen korrekt ausgeliefert wird.
Dokumentieren, wer fuer Erneuerung, DNS-Aenderungen, CDN-Rollout und Post-Erneuerungs-Validierung verantwortlich ist.

Ein praktisches Erneuerungs-Runbook

Ein gutes Erneuerungs-Runbook ist kurz, langweilig und unter Druck leicht auszufuehren. Es identifiziert die Zertifikatsquelle, den Automatisierungsmechanismus, den manuellen Fallback-Pfad, die Validierungsendpunkte und die Rollback- oder Eskalationsschritte bei Ausstellungsfehlern.

Wenn Sie automatische Erneuerung nutzen, testen Sie den vollstaendigen Pfad, bevor Sie ihn brauchen. Teams nehmen oft an, dass die Automatisierung funktioniert, weil sie einmal vor Monaten funktioniert hat, nur um festzustellen, dass sich DNS-Berechtigungen geaendert haben, ACME-Challenges von einer Firewall blockiert werden oder ein Load Balancer noch das vorherige Bundle ausliefert.

Validieren Sie nach der Erneuerung von ausserhalb Ihres Netzwerks. Ueberpruefen Sie die Live-Zertifikatsdaten, den Emittenten und die Kette vom oeffentlichen Internet aus, nicht nur von einem internen Dashboard. Wenn Sie ein CDN nutzen, ueberpruefen Sie auch die Edge-Propagierung. Viele Vorfaelle werden durch teilweise erneuerte Infrastruktur verursacht, bei der eine Region oder ein Proxy veraltet blieb.

Was nach einer Erneuerung zu ueberpruefen ist

Die Post-Erneuerungs-Validierung sollte die Nutzererfahrung bestaetigen, nicht nur die technische Ausstellung. Browsen Sie die Hauptsite, authentifizierte Oberflaechen und API-Endpunkte. Bestaetigen Sie, dass es keine Vertrauenswarnungen, Mixed-Content-Regressionen oder fehlerhafte Callbacks zu Drittanbieterdiensten gibt, die Zertifikatserwartungen zu aggressiv festlegen.

Dies ist auch der richtige Moment, um angrenzende Kontrollen zu inspizieren. Ein Zertifikatserneuerungsfenster ist oft der Zeitpunkt, an dem Teams fehlendes HSTS, schwache Ciphers, inkonsistente Weiterleitungen oder veraltetes Domain-Inventar bemerken. Wenn Sie bereits regelmaessige WarDek-Scans durchfuehren, wird das Erneuerungsereignis ein Kontrollpunkt innerhalb eines breiteren Zuverlaessigkeitsprozesses statt einer isolierten Panik.

Das beste Muster ist, Zertifikatsueberwachung mit geplanten Sicherheitsscans und Verantwortungsreviews zu verknuepfen. Wenn sich das Domain-Inventar aendert, muss sich das TLS-Inventar ebenfalls aendern. Wenn eine Subdomain stillgelegt wird, sollten ihr Zertifikat und ihre Ueberwachung bewusst dekommissioniert werden, statt zurueckgelassen zu werden.

Fehlermuster, die es zu beseitigen gilt

Das klassische Versagen ist eine vergessene Subdomain, die niemandem gehoert, bis Nutzer darauf treffen. Das zweite ist uebermassige Abhaengigkeit von einem einzelnen Ingenieur oder einem einzelnen Anbieterportal. Das dritte ist die Annahme, dass Zertifikatsautomatisierung vollstaendige HTTPS-Hygiene bedeutet, was falsch ist, wenn Weiterleitungen, Header oder Edge-Konfigurationen inkonsistent sind.

Vermeiden Sie es, Zertifikatsoperationen als Stammwissen zu speichern. Fuehren Sie ein geteiltes Runbook, eine Verantwortungskarte und eine Validierungscheckliste. Wenn eine Produktionsdomain existiert, sollte jemand wissen, warum sie existiert, wie sie erneuert wird und wie das Team den Erfolg bestaetigt.