Was ist HTTPS?

Was ist eigentlich HTTPS?

Mehr Datenschutz und Privatsphäre im Internet ist ein allgegenwärtiges Diskussionsthema, nachdem es zahlreiche Enthüllungen über weit angelegte Internet-Überwachung gab.

Aber auch bei der Sicherheit von onlinebasierten Anwendungen wie z.B. Online-Banking spielt HTTPS eine entscheidende Rolle.

Hier erklären wir einfach und verständlich, was HTTPS ist und wie es funktioniert.

Was ist HTTPS – die einfache Erklärung

Unterschied HTTP / HTTPS

Wofür steht HTTP?

Wer häufig Webseiten besucht, dem ist in der Adresszeile vom Browser bestimmt bereits der vorangestellte Zusatz „http://“ oder „https://“ aufgefallen.

HTTP bedeutet:

Hypertext Transfer Protocol

Letztlich handelt es sich dabei um ein Protokoll, welches die Kommunikation zwischen dem Browser (sog. „Client“, also eine Software auf dem Computer des Anwenders) und dem Server (ein physikalischer oder virtueller Computer, auf dem z.B. Webseiten betrieben werden) standardisiert.

Mittels HTTP werden Webseiten (HTML-Dokumente), Bilder und weitere Dateien abgerufen.

Auch Benutzereingaben (z.B. auf einer Webseite eigegebener Suchbegriff) werden mittels HTTP übertragen.

Wofür steht HTTPS?

Das „normale“ HTTP-Protokoll ist unverschlüsselt.

D.h. jeder, der auf die Datenverbindung zwischen Client und Server zugreifen kann, hat prinzipiell die Möglichkeit, alle Daten mitzulesen (inkl. sensibler Daten wie Passwörtern).

Für mehr Sicherheit gibt es das HTTPS-Protokoll:

Hypertext Transfer Protocol Secure

Der Zusatz „Secure“ (also sicher) signalisiert, dass hier das HTTP-Protokoll mit einem zusätzlich aktivierten Verschlüsselungsverfahren verwendet wird.

Kurzum und einfach erklärt: HTTP (bzw. „http://“ in der Adresszeile vom Browser) weist auf eine unverschlüsselte Verbindung hin, während bei HTTPS (bzw. „https://“) der Datenverkehr zwischen Client und Server verschlüsselt wird.

Viele Browser signalisieren mittlerweile z.B. durch Grünfärbung der Adresszeile oder ein Schloss-Symbol, wann HTTPS aktiv ist (und wann nicht).

Wie funktioniert die Verschlüsselung einer HTTPS-Verbindung?

HTTPS ist letztlich nur ein Kommunikationsprotokoll.

Für die Verschlüsselung bedient sich HTTPS eines separaten Verfahrens.

Ursprünglich war das SSL („Secure Socket Layer“).

Aufgrund von Schwächen in den Verschlüsselungsalgorithmen wird SSL mittlerweile kaum noch verwendet. Aufgrund der bis dahin weiten Verbreitung wird die Abkürzung jedoch weiterhin verwendet, auch wenn das technisch nicht korrekt ist.

Stattdessen werden moderne HTTPS-Verbindungen mit TLS (Transport Layer Security) verschlüsselt.

TLS ist quasi ein SSL-Nachfolger, der mehr Sicherheit bietet.

Damit Client und Server überhaupt verschlüsselt kommunizieren können, wird vor der Herstellung der eigentlichen HTTPS-Verbindung ein sogenannter „Handshake“ (Händeschütteln) durchgeführt.

Beim „Handshake“ stellen sich (sozusagen) der eigene Computer und der Server gegenseitig vor.

Dabei werden z.B. die unterstützten Verschlüsselungsverfahren (z.B. SSLv3, TLS 1.1, TLS 1.2) sowie zahlreiche weitere technische Parameter ausgetauscht.

Auf Basis dieser Kommunikation wird das Verschlüsselungsverfahren ausgewählt und sowohl der Client wie auch der Server berechnen jeweils einen öffentlichen und einen privaten Schlüssel.

Der öffentliche Schlüssel könnte von einem Angreifer mitgelesen werden, ist aber an sich wertlos.

Dieser öffentliche Schlüssel wird dazu genutzt, den eigentlichen Datenverkehr „digital zu signieren“. Wer den eigentlichen Datenverkehr mitlesen möchte, braucht jedoch den privaten Schlüssel.

Jedoch halten sowohl Client wie auch Server ihre privaten Schlüssel geheim. Ausgetauscht wird lediglich jeweils der öffentliche Schlüssel.

Nun gäbe es noch ein potenzielles Problem.

Beim „Anruf“ eines Servers weiß der Client zunächst einmal nicht, ob der antwortende Server auch der „echte“ Server ist.

Auch für diese Problem gibt es eine Lösung.

Der Server muss über ein SSL-Zertifikat verfügen, welches von einer vertrauenswürdigen Drittpartei signiert wurde (sog. CA – Certificate Authority).

Jedes Betriebssystem bzw. jeder Browser liefert eine Datenbank mit vertrauenswürdigen CAs mit. Nur wenn die signierende CA enthalten ist, vertraut der Browser dem SSL-Zertifikat „von Haus aus“.

Der Server verfügt über eine statische IP-Adresse (sozusagen die Telefonnummer des Servers).

Die CA bestätigt, dass das Zertifikat echt ist und zu der Domain und der IP-Adresse des Server passt.

Warum bedeutet HTTPS mehr Sicherheit?

Gerade wenn es um die Übertragung von sensiblen Daten geht (z.B. Passwort für Online-Banking oder Übertragung von Kreditkarten-Daten von Online-Bezahlverfahren), ist HTTPS schon länger Standard.

Mittlerweile wird HTTPS jedoch auch für immer mehr „normale Webseiten“ verwendet.

Der Grund liegt hierbei in einem geschärften Bewusstsein für Datenschutz und Privatsphäre.

Verschlüsselt eine Webseite alle Verbindungen, wird es Dritten erschwert, dass Surfverhalten zu erfassen (z.B.: „Welche Inhalte ruft ein Anwender auf Webseite XY ab?“).

„Diese Verbindung ist nicht sicher“ – was bedeutet die Warnung?

Wie zuvor beschrieben, muss der Server einer Webseite über ein SSL-Zertifikat verfügen, welches durch eine sogenannte CA (Certificate Authority) signiert wurde.

Nur dann vertraut der Browser diesem Zertifikat.

Es gibt jedoch für Webseitenbetreiber auch die Möglichkeit, SSL-Zertifikate selbst zu signieren.

Bei solchen, selbst ausgestellten SSL-Zertifikate fehlt der Schutz durch die CA, welche validiert hat, dass Domain-Name und IP-Adresse des Server zusammenpassen.

Hier könnte sich ein Dritter „zwischenschieben“ und sich als zugehöriger Server ausgeben.

Deshalb warnen Browser vor solchen selbstsignierten Zertifikaten oder solchen von einer als unsicher eingestuften CA – „Diese Verbindung ist nicht sicher“.

Anwender sollten solche Meldungen nicht leichtfertig quittieren – insbesondere wenn sensible Daten mit der Webseite ausgetauscht werden.

Wo findet HTTPS Anwendung?

Prinzipiell wird HTTPS hauptsächlich beim Web-Browsing (also dem Aufruf von Webseiten) verwendet.

Das betrifft vornehmlich Computer (PC oder Mac) sowie Mobilgeräte (Tablet, Smartphone).

Außerdem kann es sein, dass Software bzw. Programme im Hintergrund eine verschlüsselte HTTP-Verbindung nutzen, um Daten mit einem Server über eine Schnittstelle auszutauschen.

Das aktuelle Verschlüsselungsverfahren, welches beim HTTP-Protokoll verwendet wird (TLS – Transport Layer Security) findet darüber hinaus auch bei anderen Protokollen Verwendung.

So gibt es z.B. TLS-Erweiterungen für FTP (File Transfer Protocol) oder für die Kommunikation mit einem Mail-Server (POP3, IMAP, SMTP).

HTTPS sorgt für Sicherheit dank Verschlüsselung

Wer über das Internet Daten überträgt und dabei bestmögliche Sicherheit haben möchte, dass die Daten nicht von Dritten (z.B. Hacker) mitgelesen werden können, sollte auf eine aktive HTTPS-Verbindung achten.

Moderne Browser zeigen HTTPS in der Regel durch ein Schloss-Symbol in der Adresszeile oder eine grüngefärbte Adresszeile an.

Beispiele für Daten, die verschlüsselt übertragen werden sollten, sind:

• Personenbezogene Daten (z.B. Name, Anschrift etc.)
• Zahlungsdaten (z.B. Kreditkartennummer, Online-Banking Zugangsdaten)
• Zugangsdaten (z.B. Passwörter)
• Sensible Dokumente (z.B. vertrauliches PDF-Dokument)

Wer im Begriff ist, solche Daten auf einer Webseite einzugeben bzw. hochzuladen, sollte sich davor vergewissern, dass eine verschlüsselte Verbindung aktiv ist.

Davon abgesehen nutzen mittlerweile auch viele Webseite HTTPS, obwohl dort z.B. nur Inhalte abgerufen werden können, ohne dass der Nutzer sensible Daten eingeben könnte.

Dies soll primär nicht der Sicherheit, sondern der Privatsphäre beim Web-Browsing dienen.