Definition

HTTPS (Hypertext Transfer Protocol Secure)

Was ist HTTPS (Hypertext Transfer Protocol Secure)?

HTTPS (Hypertext Transfer Protocol Secure) ist ein Protokoll, das die Kommunikation und Datenübertragung zwischen dem Webbrowser eines Benutzers und einer Webseite sichert. HTTPS ist die sichere Version von HTTP.

Das Protokoll schützt Benutzer vor Lauschangriffen und sogenannten Man-in-the-Middle-Angriffen (MitM). Außerdem schützt es legitime Domains vor DNS-Spoofing-Angriffen (Domain Name System).

HTTPS spielt eine wichtige Rolle bei der Sicherung von Webseiten, die sensible Daten verarbeiten oder übertragen. Dazu zählen Daten von Online-Banking-Diensten, E-Mail-Anbietern, Online-Händlern, Gesundheitsdienstleistern und anderen. Kurz gesagt: Jede Website, die Anmeldedaten erfordert oder Finanztransaktionen durchführt, sollte HTTPS verwenden, um die Sicherheit der Benutzer, Transaktionen und Daten zu gewährleisten.

HTTP vs. HTTPS

Ein böswilliger Akteur kann eine HTTP-Verbindung leicht imitieren, verändern oder überwachen. HTTPS schützt vor diesen Schwachstellen, indem es den gesamten Datenaustausch zwischen einem Webbrowser und einem Webserver verschlüsselt. Dadurch wird sichergestellt, dass niemand diese Transaktionen manipulieren kann, wodurch die Privatsphäre der Benutzer geschützt wird und sensible Informationen nicht in die falschen Hände geraten.

HTTPS ist kein von HTTP getrenntes Protokoll. Es handelt sich vielmehr um eine Variante, die die TLS-Verschlüsselung (Transport Layer Security) über HTTP verwendet, um die Kommunikation zu sichern. Wenn ein Webserver und ein Webbrowser über HTTPS miteinander kommunizieren, führen sie einen sogenannten Handshake durch, bei dem sie TLS-Zertifikate austauschen, um die Identität des Anbieters zu überprüfen und den Benutzer und seine Daten zu schützen.

Obwohl manchmal noch SSL erwähnt wird, basieren alle modernen HTTPS-Verbindungen technisch auf TLS. Die Versionen SSL 2.0 und SSL 3.0 gelten als unsicher und wurden von der IETF offiziell außer Betrieb genommen (RFC 7568). Heute kommen ausschließlich TLS 1.2 und TLS 1.3 zum Einsatz. Ältere SSL-Versionen sind nicht mehr zulässig und werden von modernen Browsern blockiert.

Eine HTTPS-URL beginnt mit https:// statt mit http://. Die meisten Webbrowser zeigen an, dass eine Webseite sicher ist, indem sie links neben der URL in der Adressleiste ein geschlossenes Vorhängeschloss-Symbol anzeigen. In den meisten Browsern können Benutzer auf das Symbol klicken, um zu überprüfen, ob das digitale Zertifikat identifizierende Informationen über den Eigentümer der Webseite enthält, zum Beispiel dessen Namen oder den Namen seiner Firma.

Abbildung 1: HTTPS ist eine Variante von HTTP, die TLS-Verschlüsselung über HTTP verwendet, um die Kommunikation zu sichern.
Abbildung 1: HTTPS ist eine Variante von HTTP, die TLS-Verschlüsselung über HTTP verwendet, um die Kommunikation zu sichern.

Warum ist HTTPS besser als HTTP?

Bei HTTP können die über eine Webseite ausgetauschten Informationen von jedem böswilligen Akteur, der das Netzwerk ausspioniert, abgefangen oder ausgespäht werden. Dies ist besonders riskant, wenn ein Benutzer über ein ungesichertes Netzwerk, wie beispielsweise ein öffentliches WLAN, auf die Webseite zugreift. Da bei HTTP die gesamte Kommunikation im Klartext erfolgt, ist sie sehr anfällig für MitM-Angriffe.

HTTPS stellt hingegen sicher, dass die gesamte Kommunikation zwischen dem Webbrowser des Benutzers und einer Webseite vollständig verschlüsselt ist. Selbst wenn Cyberkriminelle den Datenverkehr abfangen, sehen sie nur unlesbare Daten. Diese können nur mit dem entsprechenden privaten Schlüssel in eine lesbare Form umgewandelt werden.

Verschlüsselung in HTTPS

HTTPS basiert auf dem TLS-Verschlüsselungsprotokoll, welches die Kommunikation zwischen zwei Parteien sichert. TLS verwendet zur Verschlüsselung eine asymmetrische Public-Key-Infrastruktur. Das bedeutet, dass zwei verschiedene Schlüssel verwendet werden:

  1. Der private Schlüssel: Dieser wird vom Eigentümer der Website kontrolliert und verwaltet und befindet sich auf dem Webserver. Er entschlüsselt Informationen, die mit dem öffentlichen Schlüssel verschlüsselt wurden.
  2. Der öffentliche Schlüssel: Dieser steht Benutzern zur Verfügung, die über ihren Webbrowser sicher mit dem Server interagieren möchten. Informationen, die mit dem öffentlichen Schlüssel chiffriert wurden, können nur mit dem privaten Schlüssel dechiffriert werden.

So funktioniert HTTPS

Wie im vorherigen Abschnitt erwähnt, nutzt HTTPS TLS mit Public-Key-Verschlüsselung, um einen gemeinsamen symmetrischen Schlüssel für die Datenverschlüsselung und Authentifizierung zu verteilen. Standardmäßig verwendet HTTPS Port 443, während HTTP Port 80 einsetzt. Alle sicheren Übertragungen erfordern Port 443, obwohl dieser Port auch HTTP-Verbindungen unterstützt.

Bevor eine HTTPS-Datenübertragung beginnt, legen Browser und Server die Verbindungsparameter fest, indem sie einen TLS-Handshake durchführen. Dieser ist auch wichtig, um eine sichere Verbindung herzustellen.

So funktioniert der gesamte Prozess:

  1. Der Client-Browser und der Webserver tauschen „Hallo”-Nachrichten aus.
  2. Anschließend teilen sich beide Parteien ihre Verschlüsselungsstandards mit.
  3. Der Server teilt dem Browser sein Zertifikat mit.
  4. Der Client überprüft die Gültigkeit des Zertifikats.
  5. Anschließend verwendet der Client den öffentlichen Schlüssel, um einen Pre-Master-Secret-Key zu generieren.
  6. Dieser geheime Schlüssel wird mit dem öffentlichen Schlüssel verschlüsselt und an den Server weitergeleitet.
  7. Anschließend berechnen Client und Server anhand des Werts des geheimen Schlüssels den symmetrischen Schlüssel.
  8. Beide Seiten bestätigen, dass sie den geheimen Schlüssel berechnet haben.
  9. Anschließend erfolgt die Datenübertragung mit symmetrischer Verschlüsselung.

HTTPS und die CIA-Triade

Die CIA-Triade ist ein grundlegendes Modell der Informationssicherheit. Es steht für:

  • Confidentiality (Vertraulichkeit)
  • Integrity (Integrität)
  • Availability (Verfügbarkeit)

Diese drei Prinzipien gelten als Eckpfeiler eines robusten Informationssicherheitsprogramms. Das Ziel jeder Sicherheitsmaßnahme ist es, diese drei Aspekte für Informationsressourcen aufrechtzuerhalten. HTTPS garantiert die CIA-Triade:

  • HTTPS verschlüsselt die Verbindung des Website-Besuchers und verbirgt Cookies, URLs und andere Arten sensibler Metadaten.
  • HTTPS stellt sicher, dass alle zwischen dem Besucher und der Webseite übertragenen Daten nicht von Angreifern manipuliert oder verändert werden können.
  • HTTPS stellt sicher, dass der Benutzer auf die tatsächliche Webseite zugreift und nicht auf eine gefälschte Version.

Vorteile von HTTPS

HTTPS bietet gegenüber HTTP-Verbindungen zahlreiche Vorteile:

  • Daten- und Benutzerschutz: HTTPS verhindert das Ausspähen von Daten zwischen Webbrowsern und Webservern und stellt eine sichere Kommunikation her. So schützt es die Privatsphäre der Benutzer und sensible Informationen vor Angreifern. Dies ist für Transaktionen mit persönlichen oder finanziellen Daten von entscheidender Bedeutung.
  • Verbesserte Benutzererfahrung: Wenn Kunden wissen, dass eine Webseite authentisch ist und ihre Daten schützt, schafft dies Vertrauen.
  • Suchmaschinenoptimierung (SEO):). HTTPS-Webseiten werden in Suchmaschinenergebnissen in der Regel höher platziert, was für Unternehmen, die ihre digitale Präsenz durch SEO verbessern möchten, ein wesentlicher Vorteil ist.

Häufige Fehler mit HTTPS und wie man sie vermeidet

Die Sicherheit von Webseiten kann durch HTTPS verbessert werden. Ist HTTPS jedoch unsachgemäß implementiert, kann dies negative Auswirkungen auf die Sicherheit und Benutzerfreundlichkeit einer Website haben. Zu den häufigsten Fehlern gehören:

  • Abgelaufene Zertifikate: Stellen Sie immer sicher, dass das Zertifikat Ihrer Website auf dem neuesten Stand ist.
  • Fehlendes Zertifikat für alle Hostnamen: Besorgen Sie sich ein Zertifikat für alle Hostnamen, die die Website bedient, um Fehler aufgrund von Zertifikatsnamenfehlern zu vermeiden.
  • Unterstützung von Server Name Indication (SNI): Stellen Sie sicher, dass der Webserver SNI unterstützt und dass Ihre Zielgruppe SNI-fähige Browser verwendet.
  • Probleme beim Crawling und bei der Indizierung: Blockieren Sie die HTTPS-Website nicht durch robots.txt für das Crawling. Aktivieren Sie außerdem die ordnungsgemäße Indizierung aller Seiten durch Suchmaschinen.
  • Inhalt: Stellen Sie sicher, dass der Inhalt auf HTTP- und HTTPS-Seiten übereinstimmt.

Sind HTTPS-Verbindungen anfällig für Angriffe?

Zwar ist HTTPS sicherer als HTTP, aber keines der beiden Protokolle ist immun gegen Cyberangriffe. HTTPS-Verbindungen können für die folgenden böswilligen Aktivitäten anfällig sein:

  • Kryptoanalyse oder Protokollschwächen: Angreifer können Kryptoanalyse einsetzen oder potenzielle Schwächen ausnutzen, um die HTTPS-Verbindung zu kompromittieren.
  • Angriffe auf den Client-Computer: Angreifer können ein bösartiges Stammzertifikat auf dem Client-Computer oder im Vertrauensspeicher des Browsers installieren und so die HTTPS-Verbindung kompromittieren.
  • Manipulation einer Zertifizierungsstelle: Angreifer können eine Zertifizierungsstelle manipulieren oder kompromittieren, um ein gefälschtes Zertifikat zu erhalten, das von gängigen Browsern fälschlicherweise als vertrauenswürdig eingestuft wird.

Dieser Artikel wurde im Juli 2025 von der ComputerWeekly-Redaktion erweitert und aktualisiert.

Erfahren Sie mehr über Netzwerksicherheit