Was ist HTTPS?

HTTPS ist eine sichere Methode zum Senden von Daten zwischen einem Webserver und einem Webbrowser.

Share facebook icon linkedin icon twitter icon email icon

HTTPS

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • HTTPS definieren
  • Erfahren Sie, wie HTTPS funktioniert
  • Die Bedeutung von HTTPS verstehen
  • Erfahren Sie, wie Sie HTTPS auf einer Website erhalten

Was ist HTTPS?

Hypertext transfer protocol secure (HTTPS) ist die sichere Version von HTTP, dem primären Protokoll für die Übertragung von Daten zwischen Webbrowsern und Websites. HTTPS ist verschlüsselt, um die Sicherheit der Datenübertragung zu verbessern. Das ist besonders wichtig, wenn Benutzer sensible Daten übertragen, z. B. für die Anmeldung bei einem Bankkonto, E-Mail-Dienst oder einem Gesundheitsdienstleister.

Jede Website, insbesondere mit Anmeldedaten, sollte HTTPS verwenden. In modernen Webbrowsern wie Chrome werden Websites, die kein HTTPS verwenden, anders markiert als diejenigen. Suchen Sie nach einem grünen Schloss in der URL-Zeile, was anzeigt, dass die Webseite sicher ist. Webbrowser nehmen HTTPS ernst; Google Chrome und andere Browser markieren alle Websites, die kein HTTPS verwenden, als unsicher.

Google Chrome Security Example

Im Cloudflare Diagnostic Center können Sie überprüfen, ob eine Website HTTPS verwendet.

Wie funktioniert HTTPS?

HTTPS verwendet ein Verschlüsselungsprotokoll, um die Kommunikation zu verschlüsseln. Das Protokoll heißt Transport Layer Security (TLS), früher als Secure Sockets Layer (SSL) bekannt. Dieses Protokoll sichert die Kommunikation durch Verwendung einer sogenannten asymmetrischen Public-Key-Infrastruktur. Diese Art von Sicherheitssystem verwendet zwei verschiedene Schlüssel, um die Kommunikation zwischen zwei Parteien zu verschlüsseln:

  1. Der private Schlüssel – Dieser Schlüssel wird vom Besitzer einer Website kontrolliert und, wie Sie wahrscheinlich schon vermutet haben, privat gehalten. Dieser Schlüssel befindet sich auf einem Webserver und wird zum Entschlüsseln von Informationen verwendet, die mit dem öffentlichen Schlüssel verschlüsselt wurden.
  2. Der öffentliche Schlüssel – Dieser Schlüssel steht allen zur Verfügung, die auf sichere Weise mit dem Server interagieren möchten. Informationen, die mit dem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem privaten Schlüssel wieder entschlüsselt werden.

Warum ist HTTPS so wichtig? Was passiert, wenn eine Website nicht über HTTPS verfügt?

HTTPS verhindert, dass Websites ihre Informationen auf eine Weise übertragen, die leicht von Spähern im Netzwerk gelesen werden kann. Beim Übertragen über normales HTTP werden Informationen in Datenpakete aufgeteilt, die sich mit freier Software leicht „ausspionieren“ lassen. Das macht die Kommunikation über ein unsicheres Medium (z. B. öffentliches WLAN) sehr verwundbar gegenüber Ausspähversuchen. Tatsächlich erfolgt die gesamte Kommunikation über HTTP im Klartext, sodass sie für jeden Akteur mit den richtigen Tools leicht zugänglich und anfällig für Man-in-the-Middle-Angriffe ist.

Bei HTTPS wird der Datenverkehr so verschlüsselt, dass die ausgespähten oder auf andere Weise abgefangenen Pakete als unsinnige Zeichen angezeigt werden. Schauen wir uns ein Beispiel an:

Vor der Verschlüsselung:

Dies ist eine vollständig lesbare Textzeichenfolge

Nach der Verschlüsselung:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Auf Websites ohne HTTPS können Internet-Service-Provider (ISPs) oder andere Vermittler Inhalte ohne Zustimmung des Websitebesitzers in Websites einfügen. Dies erfolgt üblicherweise in Form von Werbung, bei der ein ISP seinen Umsatz steigern möchte und bezahlte Werbung in die Webseiten seiner Kunden injiziert. Erfahrungsgemäß werden die erzielten Gewinne und die Qualitätskontrolle dieser Anzeigen in keiner Weise mit dem Besitzer der Website geteilt. HTTPS verhindert, dass unmoderierte Drittanbieter auf diese Weise Werbung in Webinhalte einfügen können.

Third-party content injection

Bild vonArs Technica

Was ist der Unterschied zwischen HTTPS und HTTP?

Technisch gesehen ist HTTPS kein von HTTP getrenntes Protokoll. Es verwendet einfach die TLS/SSL-Verschlüsselung über dem HTTP-Protokoll. HTTPS basiert auf der Übertragung vonTLS/SSL-Zertifikaten, die überprüfen, ob ein bestimmter Provider auch der ist, für den er sich ausgibt.

Wenn ein Benutzer eine Verbindung zu einer Webseite herstellt, sendet die Webseite ihr SSL-Zertifikat. Das SSL-Zertifikat enthält den öffentlichen Schlüssel, der zum Starten der sicheren Sitzung erforderlich ist. Die beiden Computer, der Client und der Server, durchlaufen dann einen Prozess, der als SSL/TLS-Handshake bezeichnet wird. Hierbei handelt es sich um eine Reihe beidseitiger Kommunikationsabläufe, die zum Herstellen einer sicheren Verbindung verwendet werden. Wenn Sie einen tieferen Einblick in das Thema Verschlüsselung und SSL/TLS-Handshake erhalten möchten, lesen Sie, was in einem TLS-Handshake passiert.

Wie kann eine Website auf HTTPS umsteigen?

Viele Website-Hosting-Anbieter und andere Dienste bieten gegen eine Gebühr TLS/SSL-Zertifikate an. Diese Zertifikate werden häufig von vielen Kunden gemeinsam genutzt. Zertifikate zu einem höheren Preis können einzeln für bestimmte Websites registriert werden.

Alle Websites, die Cloudflare verwenden, erhalten HTTPS kostenlos mit einem gemeinsam genutzten Zertifikat (der Fachbegriff hierfür ist Multi-Domain-SSL-Zertifikat). Durch das Einrichten eines kostenlosen Kontos wird sichergestellt, dass eine Website einen regelmäßig aktualisierten HTTPS-Schutz erhält. Schauen Sie sich auch unsere kostenpflichtigen Tarife für einzelne Zertifikate und andere Funktionen an. In beiden Fällen profitiert eine Website von allen Vorteilen von HTTPS.