Was ist HTTPS?

HTTPS ist eine sichere Methode zum Senden von Daten zwischen einem Webserver und einem Webbrowser.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • HTTPS definieren
  • Erfahren Sie, wie HTTPS funktioniert
  • Die Bedeutung von HTTPS verstehen
  • Erfahren Sie, wie Sie HTTPS auf einer Website erhalten

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist HTTPS?

Hypertext transfer protocol secure (HTTPS) ist die sichere Version von HTTP, dem primären Protokoll für die Übertragung von Daten zwischen Webbrowsern und Websites. HTTPS ist verschlüsselt, um die Sicherheit der Datenübertragung zu verbessern. Das ist besonders wichtig, wenn Benutzer sensible Daten übertragen, z. B. für die Anmeldung bei einem Bankkonto, E-Mail-Dienst oder einem Gesundheitsdienstleister.

Jede Website, insbesondere mit Anmeldedaten, sollte HTTPS verwenden. In modernen Webbrowsern wie Chrome werden Websites, die kein HTTPS verwenden, anders markiert als diejenigen, die es verwenden. Suchen Sie nach einem Vorhängeschloss in der URL-Zeile, was anzeigt, dass die Webseite sicher ist. Webbrowser nehmen HTTPS ernst; Google Chrome und andere Browser markieren alle Websites, die kein HTTPS verwenden, als unsicher.

Beispiel für die Sicherheit von Google Chrome

Wie funktioniert HTTPS?

HTTPS verwendet ein Verschlüsselungsprotokoll, um die Kommunikation zu verschlüsseln. Das Protokoll heißt Transport Layer Security (TLS), früher als Secure Sockets Layer (SSL) bekannt. Dieses Protokoll sichert die Kommunikation durch Verwendung einer sogenannten asymmetrischen Public-Key-Infrastruktur. Diese Art von Sicherheitssystem verwendet zwei verschiedene Schlüssel, um die Kommunikation zwischen zwei Parteien zu verschlüsseln:

  1. Der private Schlüssel – Dieser Schlüssel wird vom Besitzer einer Website kontrolliert und, wie Sie wahrscheinlich schon vermutet haben, privat gehalten. Dieser Schlüssel befindet sich auf einem Webserver und wird zum Entschlüsseln von Informationen verwendet, die mit dem öffentlichen Schlüssel verschlüsselt wurden.
  2. Der öffentliche Schlüssel – Dieser Schlüssel steht allen zur Verfügung, die auf sichere Weise mit dem Server interagieren möchten. Informationen, die mit dem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem privaten Schlüssel wieder entschlüsselt werden.
E-Book
5 Wege zur Maximierung von Sicherheit und Performance
E-Book
Everywhere Security für jede Phase des Lebenszyklus von Angriffen

Warum ist HTTPS so wichtig? Was passiert, wenn eine Website nicht über HTTPS verfügt?

HTTPS verhindert, dass Websites ihre Informationen auf eine Weise übertragen, die leicht von Spähern im Netzwerk gelesen werden kann. Beim Übertragen über normales HTTP werden Informationen in Datenpakete aufgeteilt, die sich mit freier Software leicht „ausspionieren“ lassen. Das macht die Kommunikation über ein unsicheres Medium (z. B. öffentliches WLAN) sehr verwundbar gegenüber Ausspähversuchen. Tatsächlich erfolgt die gesamte Kommunikation über HTTP im Klartext, sodass sie für jeden Akteur mit den richtigen Tools leicht zugänglich und anfällig für On-Path-Angriffe ist.

Bei HTTPS wird der Datenverkehr so verschlüsselt, dass die ausgespähten oder auf andere Weise abgefangenen Pakete als unsinnige Zeichen angezeigt werden. Schauen wir uns ein Beispiel an:

Vor der Verschlüsselung:

Dies ist eine vollständig lesbare Textzeichenfolge

Nach der Verschlüsselung:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Auf Websites ohne HTTPS können Internet-Service-Provider (ISPs) oder andere Vermittler Inhalte ohne Zustimmung des Websitebesitzers in Websites einfügen. Dies erfolgt üblicherweise in Form von Werbung, bei der ein ISP seinen Umsatz steigern möchte und bezahlte Werbung in die Webseiten seiner Kunden injiziert. Erfahrungsgemäß werden die erzielten Gewinne und die Qualitätskontrolle dieser Anzeigen in keiner Weise mit dem Besitzer der Website geteilt. HTTPS verhindert, dass unmoderierte Drittanbieter auf diese Weise Werbung in Webinhalte einfügen können.

Injektion von Drittanbieterinhalten

Bild von Ars Technica

Eine vollständige Liste der Vorteile von HTTPS finden Sie unter Warum HTTPS verwenden?

Registrieren
Kostenloses SSL – inkl. in jedem Cloudflare-Tarif

Welchen Port verwendet HTTPS?

HTTPS verwendet Port 443. Damit unterscheidet sich HTTPS von HTTP, das Port 80 verwendet.

(In Netzwerken ist ein Port ein virtueller, softwarebasierter Punkt, an dem Netzwerkverbindungen beginnen und enden. Alle an ein Netzwerk angeschlossenen Computer verfügen über eine Reihe von Anschlüssen, über die sie Datenverkehr empfangen können. Jeder Port ist mit einem bestimmten Prozess oder Dienst verbunden, und verschiedene Protokolle verwenden verschiedene Ports).

Wie unterscheidet sich HTTPS sonst noch von HTTP?

Technisch gesehen ist HTTPS kein von HTTP getrenntes Protokoll. Es verwendet einfach die TLS/SSL-Verschlüsselung über dem HTTP-Protokoll. HTTPS basiert auf der Übertragung von TLS/SSL-Zertifikaten, die überprüfen, ob ein bestimmter Provider auch der ist, für den er sich ausgibt.

Wenn ein Benutzer eine Verbindung zu einer Webseite herstellt, sendet die Webseite ihr SSL-Zertifikat. Das SSL-Zertifikat enthält den öffentlichen Schlüssel, der zum Starten der sicheren Sitzung erforderlich ist. Die beiden Computer, der Client und der Server, durchlaufen dann einen Prozess, der als SSL/TLS-Handshake bezeichnet wird. Hierbei handelt es sich um eine Reihe beidseitiger Kommunikationsabläufe, die zum Herstellen einer sicheren Verbindung verwendet werden. Wenn Sie einen tieferen Einblick in das Thema Verschlüsselung und SSL/TLS-Handshake erhalten möchten, lesen Sie, was in einem TLS-Handshake passiert.

Wie kann eine Website auf HTTPS umsteigen?

Viele Website-Hosting-Anbieter und andere Dienste bieten gegen eine Gebühr TLS/SSL-Zertifikate an. Diese Zertifikate werden häufig von vielen Kunden gemeinsam genutzt. Zertifikate zu einem höheren Preis können einzeln für bestimmte Websites registriert werden.

Alle Websites, die Cloudflare verwenden, erhalten HTTPS kostenlos mit einem gemeinsam genutzten Zertifikat (der Fachbegriff hierfür ist Multi-Domain-SSL-Zertifikat). Durch das Einrichten eines kostenlosen Kontos wird sichergestellt, dass eine Website einen regelmäßig aktualisierten HTTPS-Schutz erhält. Schauen Sie sich auch unsere kostenpflichtigen Tarife für einzelne Zertifikate und andere Features an. In beiden Fällen profitiert eine Website von allen Vorteilen von HTTPS.