Shopify SSL pending: Domain-Zertifikat aktivieren und HTTPS-Zugriff herstellen

Direkte Lösung in Kürze

• DNS korrekt setzen: A (Root/@) → 23.227.38.65 und CNAME (www) → shops.myshopify.com.
• Konflikte entfernen: zusätzliche A/AAAA-Records (IPv6), falsche CNAMEs, Weiterleitungen am DNS-Provider.
• Falls Cloudflare/Proxy genutzt wird: DNS-Einträge für Root und www auf DNS only (nicht proxied) stellen.
• Warten und prüfen: DNS-Propagation + Zertifikatsausstellung (typisch Minuten bis mehrere Stunden), danach erneut in Einstellungen → Domains prüfen.

Wann tritt das auf?

• Im Shopify-Admin unter Einstellungen → Domains steht bei der Domain SSL ausstehend oder SSL pending.
• Aufruf von https://deinedomain.tld zeigt Zertifikatsfehler (z. B. „Zertifikat ungültig“ / „common name mismatch“).
• Die Domain funktioniert per HTTP oder zeigt auf eine andere Website/Plattform, aber HTTPS kommt nicht „grün“.
• Nach Domain-Transfer, DNS-Provider-Wechsel oder Cloudflare-Aktivierung bleibt SSL dauerhaft ausstehend.

Technischer Hintergrund: Warum passiert das?

Shopify stellt SSL-Zertifikate für Custom Domains automatisch aus. Dafür muss die Domain eindeutig auf Shopify zeigen (DNS-Routing). Wenn DNS-Einträge widersprüchlich sind (z. B. mehrere A-Records, AAAA-Record für IPv6, falscher CNAME) oder ein Proxy/CDN die Anfrage „abfängt“, kann Shopify die Domain nicht zuverlässig verifizieren bzw. den Zertifikatsprozess nicht abschließen. Zusätzlich kann DNS-Caching/Propagation dazu führen, dass Shopify (und Zertifikatsstellen) zeitweise noch alte Zielserver sehen.

Schritt-für-Schritt: So setzt du es um

1. Status im Admin prüfen

   • Öffne Shopify Admin → Einstellungen → Domains.
   • Prüfe die betroffene Domain: Status (verbunden / SSL ausstehend) und ob sie als Primäre Domain gesetzt ist.

2. DNS-Zielwerte festlegen (Sollzustand)

   • Root-Domain (Apex, @): A-Record auf 23.227.38.65
   • www-Subdomain: CNAME auf shops.myshopify.com

3. DNS beim Provider korrigieren

   • Öffne die DNS-Verwaltung bei deinem Domain-Provider (oder bei Cloudflare, falls dort die Nameserver liegen).
   • Setze/prüfe die Records genau wie in Schritt 2.
   • Entferne alle kollidierenden Einträge (Details in „Häufige Fehler“), besonders:
   • weitere A-Records für @
   • AAAA-Records für @ oder www
   • CNAME für @ (wenn der Provider das erlaubt, ist es meist falsch für Shopify)

4. Wenn Cloudflare genutzt wird: Proxy deaktivieren

   • In Cloudflare unter DNS den Cloud-Status für @ und www auf DNS only (graue Wolke) stellen.
   • Wichtig: Ziel ist, dass Requests für die Domain direkt bei Shopify ankommen, bis SSL aktiv ist.

5. Technisch prüfen, ob DNS wirklich auf Shopify zeigt

   Prüfe von einem System, das nicht deine lokalen DNS-Caches nutzt (oder nutze einen öffentlichen Resolver):

   # A-Record (Root)
   dig +short A deinedomain.tld @1.1.1.1
   
   # CNAME (www)
   dig +short CNAME www.deinedomain.tld @1.1.1.1
   
   # Prüfen, ob IPv6 (AAAA) unerwartet vorhanden ist
   dig +short AAAA deinedomain.tld @1.1.1.1
   
   ausgabe-soll:
   23.227.38.65
   shops.myshopify.com.
   (keine AAAA-ausgabe)

6. SSL-Zertifikatstatus prüfen

   Sobald DNS korrekt ist, kann die Ausstellung starten/abschließen. Prüfe das Zertifikat per TLS-Handshake:

   openssl s_client -servername deinedomain.tld -connect deinedomain.tld:443 < /dev/null 2>/dev/null | openssl x509 -noout -issuer -subject

   • Wenn noch kein korrektes Zertifikat ausgeliefert wird: Warte weiter (Propagation) oder suche nach DNS-Konflikten.

7. Primäre Domain und Weiterleitungen sauber setzen

   • In Einstellungen → Domains die gewünschte Domain als Primäre Domain setzen.
   • Prüfe, ob www ↔ Root korrekt weiterleitet (Shopify verwaltet dies über die primäre Domain-Konfiguration).

Häufige Fehler

• Mehrere A-Records für @ (Ursache: alte Hosting-/Landingpage-Einträge). Fix: Nur einen A-Record für @ verwenden: 23.227.38.65.

• AAAA-Record (IPv6) vorhanden (Ursache: Provider legt automatisch IPv6 an; Shopify erwartet hier meist kein IPv6-Routing). Fix: AAAA-Record für @ und ggf. www entfernen, dann erneut prüfen.

• www ist als A-Record gesetzt (Ursache: manuell angelegt, statt CNAME). Fix: A-Record für www löschen und CNAME www → shops.myshopify.com setzen.

• Cloudflare „Proxied“ aktiv (Ursache: Shopify sieht nicht das echte DNS-Ziel bzw. Zertifikatsprozess hängt). Fix: DNS-Einträge für @ und www auf DNS only stellen, bis SSL aktiv ist.

• DNS zeigt noch auf alte Plattform (Propagation/Caching) (Ursache: TTL hoch oder Resolver-Caches). Fix: TTL temporär auf 300 Sekunden senken, ein paar Stunden warten und mit dig gegen öffentliche Resolver prüfen.

• Falsche Domain als primär (Ursache: Root statt www oder umgekehrt, Weiterleitung wirkt „kaputt“). Fix: In Einstellungen → Domains die gewünschte Ziel-Domain als primär setzen und danach beide Varianten testen.

Best Practices

• DNS minimal halten: Für Shopify reichen in der Regel A (@) und CNAME (www). Alles Weitere nur, wenn fachlich nötig.
• Vor Umstellungen TTL senken (z. B. auf 300 Sekunden), danach wieder erhöhen.
• Änderungen erst messen, dann weiter ändern: Nach jeder DNS-Anpassung per dig prüfen, bevor die nächste Korrektur erfolgt.
• Cloudflare bewusst einsetzen: Erst SSL sauber auf Shopify aktivieren, dann Proxy/CDN-Funktionen wieder aktivieren und erneut testen.
• Beide Hostnames testen: https://deinedomain.tld und https://www.deinedomain.tld müssen erwartbar auf dieselbe Storefront führen.

Kurze Zusammenfassung

• SSL pending ist fast immer ein DNS-/Proxy-Problem, nicht ein Theme-Problem.
• Setze @ als A-Record auf 23.227.38.65 und www als CNAME auf shops.myshopify.com.
• Entferne zusätzliche A/AAAA-Records und falsche CNAMEs.
• Deaktiviere Proxies (z. B. Cloudflare „Proxied“) bis SSL aktiv ist.
• Prüfe DNS und Zertifikat mit dig und openssl und setze danach die primäre Domain korrekt.