Bei der Bestellung eines SSL-Zertifikats muss man sich entscheiden auf welche Domain oder Subdomain man es bestellen will.
Für viele Leute gehört das „www.“ zwingend zu der Domain dazu, obwohl es eigentlich nur eine Subdomain ist.

Nehmen wir an, wir haben eine Domain „meinedomain.de“ auf die das SSL-Zertifikat eingerichtet ist.
Der gültige Aufruf per HTTPS sähe so aus: https://meinedomain.de
Würde jemand im Browser nur meinedomain.de oder www.meinedomain.de aufrufen, oder auch über den Link einer Suchmaschine die Seite aufrufen, würde die Seite unverschlüsselt aufgerufen werden.

Über eine .htaccess mit Rewrite Rules kann man den Besucher direkt auf die Variante mit Verschlüsselung führen.

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} !^meinedomain.de$ [NC]
RewriteRule ^(.*)$ https://meinedomain.de/$1 [R=301,L]


Würde jemand gezielt https://www.meinedomain.de aufrufen, bekäme er von seinem Browser natürlich dennoch eine Sicherheitswarnung durch den Browser. Erst wenn er die Seite dennoch aufrufen würde, hätte der Redirect eine Chance zu greifen.

Der umgekehrte Weg (das SSL-Zertifikat wurde auf www.meinedomain.de bestellt) sähe so aus:

RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} !^www.meinedomain.de$ [NC]
RewriteRule ^(.*)$ https://www.meinedomain.de/$1 [R=301,L]