HTTPS

HTTPS (HyperText Transfer Protocol Secure) ist eine sichere Version des HTTP-Protokolls, das SSL/TLS verwendet, um eine verschlüsselte Verbindung zwischen Server und Client aufgebaut wird, die nicht von Unbefugten abgehört werden kann. Das HTTPS-Protokoll ermöglicht es, sensible User-Daten wie Kreditkartennummern, Bankinformationen und Login-Daten gesichert zu übertragen. Mittlerweile ist HTTPS das Standardprotokoll. HTTP-Verbindungen ohne SSL-Zertifikat werden in weitgehend allen Browsern als unsicher ausgewiesen.

Funktionsweise und Abgrenzung zu HTTP

Das HTTPS-Protokoll dient zur Verschlüsselung von Informationsübertragungen im Internet und zur Authentifizierung von Servern. Das ursprüngliche HTTP-Protokoll war als Klartextprotokoll anfällig für Lauschangriffe und Man-in-the-middle-Angriffe. Durch die Integration von SSL-Verschlüsselungen, bewahrt das HTTPS-Protokoll über das WWW übertragene Daten vor Angriffen durch Dritte. Mittels einem asymmetrischen Encryption-System und dem sogenannten SSL-Handshake wird durch die Erstellung eines Shared Secret eine verschlüsselte Kommunikationssitzung zwischen zwei Systemen (z.B. einem Webserver und einem Browser) aufgebaut werden.^[1] Anders als HTTP, verstärkt HTTPS die Authentifizierung mittels des SSL-Protokolls. Das SSL-Zertifikat einer Website beinhaltet einen sogenannten Public-Key. Mit diesem kann ein Browser überprüfen, ob vom Server übermittelte Dokumente (z.B. HTML-Seiten) von jemanden, der im Besitz des passenden sogenannten Private-Keys ist, signiert wurden: Klickt ein Nutzer auf einen Link oder bestätigt eine in die Adressleiste eingegebene URL mit Enter, wird der Verbindungsaufbau vom Browser gestartet. Der Server legt ein Zertifikat vor, dass ihn als echten, vertrauenswürdigen Anbieter authentifiziert. Wenn der Client die Echtheit überprüft hat, sendet er einen Sitzungsschlüssel, der nur für den Server lesbar ist. Auf Basis dieses Schlüssels kann nun eine Datenverschlüsselung stattfinden. HTTPS-Webseiten können auch für eine gegenseitigen Authentifizierung konfiguriert werden. Das reduziert die Anfälligkeit für Phishing-Attacken — das ist etwa beim mobilen Arbeiten im Home Office relevant.^[2]

Hintergrund und Ziele

Google hat als erster Suchmaschinenanbieter HTTPS als Standard im eigenen Webbrowser eingeführt. Im Januar 2017 wurden in Chrome zunächst Login-Seiten ohne HTTPS-Protokoll als unsicher ausgewiesen. Noch vor Einführung der ersten Phase gab Google allerdings bekannt, dass langfristig eine Ausweitung der HTTPS-Standardisierung auf alle Webseiten geplant sei.^[3] Die Verwendung von HTTPS anstelle von HTTP kann sowohl das Abhören, als auch das Phishing verhindern. Letzteres ist durch das Zertifikat möglich. Das Ziel von HTTPS ist also, dem Internetnutzer Sicherheit und Datenschutz zu bieten.

Nutzen für den User

Im eigenen Interesse sollte jeder Internetnutzer auf eine sichere Verbindung achten. Ob eine HTTPS-Verbindung besteht, kann jeder ganz leicht in der Adresszeile ablesen. Dort steht am Anfang “https” und es wird auch optisch immer häufiger hervorgehoben. Dazu kommt ein kleines Schlosssymbol.^[4]

Vorteile und Nachteile

In seinen Anfängen war die Implementierung von HTTPS mit einigen Nachteilen technischer Natur verbunden. Hierzu zählten etwa Probleme beim Caching oder die reduzierte Serverantwortzeit, die sich negativ auf die Website-Performance auswirkte. Übrig geblieben ist lediglich der Erwerb von SSL-Zertifikaten, die jedes Jahr erneuert werden müssen. Mittlerweile überwiegen klar die Vorteile. Neben dem offensichtlichen Vorteil, dem Datenschutz im Internet, gibt es auch noch einen weiteren großen Pluspunkt. Für die Verwendung von HTTPS ist keine zusätzliche Softwareinstallation notwendig. Dadurch kann sie ohne Einschränkung von jedem genutzt werden. Die Authentifizierung durch das Zertifikat schafft zudem Vertrauen beim potentiellen Kunden und User.

Sicherheit

Da der Unterschied zu HTTP nur in der Verschlüsselung besteht, hängt die Sicherheit von HTTPS allein von der verwendeten Verschlüsselungstechnik ab. Diese wird zwar zunehmend besser, dennoch ist zu bedenken, dass eine sichere Datenübertragung allein nicht ausreicht, um Daten komplett zu schützen.^[5]

Einzelnachweise

↑ Diffie-Hellman-Verfahren IT Administrator. Abgerufen am 03.11.2021
↑ Wie schützt man sich gegen Phishing? BSI. Abgerufen am 03.11.2021
↑ Moving towards a more secure web Google Security Blog. Abgerufen am 03.11.2021
↑ So erkennen Sie eine sichere Verbindung beim Surfen Telekom. Abgerufen am 03.11.2021
↑ Website Security: Der komplette Guide für eine sichere Website wao.io by Avenga. Abgerufen am 03.11.2021

Weblinks

[1] Diffie-Hellman-Verfahren IT Administrator. Abgerufen am 03.11.2021

[2] Wie schützt man sich gegen Phishing? BSI. Abgerufen am 03.11.2021

[3] Moving towards a more secure web Google Security Blog. Abgerufen am 03.11.2021

[4] So erkennen Sie eine sichere Verbindung beim Surfen Telekom. Abgerufen am 03.11.2021

[5] Website Security: Der komplette Guide für eine sichere Website wao.io by Avenga. Abgerufen am 03.11.2021

[1]

[2]

[3]

[4]

[5]