HTTPS – Hypertext Transfer Protocol Secure

Das Hypertext Transfer Protocol ist das das Standardprotokoll zum Aufruf von Webseiten. Diese liegen in der Regel im HTML-Format vor und werden von einem Browser vom Server angefordert. HTTP setzt als Anwendung auf der Architektur des Internets auf – übertragen wird standardmäßig unverschlüsselt über Port 80 (via TCP).

Als Erweiterung wurde 1994 das Hypertext Transfer Protocol Secure entwickelt. Der Zusatz Secure zeigt dabei an, dass alle Kommunikation verschlüsselt mit Hilfe von SSL bzw. TLS erfolgt. Anstatt des normalen Ports verwendet Kommunikation via HTTPS Port 443.

Der Unterschied zwischen HTTP und HTTPS liegt also in erster Linie darin, ob alle Daten abhörsicher übertragen werden oder im Netzwerk im Klartext mitgelesen werden können.

Grundlegend funktioniert HTTPS genau so wie HTTP. Das klassische Hypertext Transfer Protocol setzt auf dem Transport Control Protocol (TCP) auf und stellt die Basis für viele Anwendungen im Internet dar. Der Unterschied zur HTTPS-Variante liegt darin, dass zwischen TCP und HTTP noch eine Verschlüsselung der übertragenen Daten mittels TLS abläuft.

Der für die Verschlüsselung notwendige Austausch von Krypto-Schlüsseln erfolgt dabei entweder asymmetrisch oder nach dem Diffie-Hellmann-Verfahren. Dabei wird ein Sitzungsschlüssel festgelegt, über den Client und Server für die Dauer der Sitzung kommunizieren können. Die eigentliche Kommunikation erfolgt weiter über HTTP inklusive aller im Protokoll vorgesehener Mechanismen. Lediglich auf dem „Transportweg“ sind alle Daten verschlüsselt. Daher wird neben SSL heute vor allem der Begriff Transport Layer Security (TLS) verwendet.

Mit einem Zertifikat weist sich der Server gegenüber dem Client (z. B. einem Browser) aus. Für HTTPS-Verbindungen ist das notwendig, damit die sichere Verbindung via SSL-Handshake aufgebaut werden kann.

Die meisten Zertifikate werden von einer so genannten Certificate Authority (CA) bereitgestellt. Das sind zentrale Stellen, die als vertrauenswürdig gelten und daher bereits im Browser hinterlegt sind. Alle von dieser Stelle ausgegebenen Zertifikate gelten somit automatisch als vertrauenswürdig.

Wurde ein Zertifikat ohne Mitwirkung einer CA erstellt, erscheint in allen aktuellen Browsern eine Warnmeldung. Damit eine Verbindung aufgebaut wird, muss der Nutzer eine Ausnahme hinzufügen. Zwar werden Daten mit selbst signierten Zertifikaten prinzipiell genau so gut verschlüsselt wie mit durch eine CA-validierten, allerdings werden so genannte Man-in-the-Middle Angriffe erleichtert.

Im konkreten Fall würde eine solche Warnmeldung erneut erscheinen. Sobald der Nutzer die Ausnahme bestätigt, laufen alle Daten durch die Verbindung des Angreifers. Dieser kann alle Daten ab sofort mitlesen, auch wenn sie nach außen hin weiter verschlüsselt sind – denn er hat sich erfolgreich dazwischen geschaltet (Man-in-the-Middle).

Heute werden immer mehr Daten über das Internet übertragen. Nicht nur Einkäufe werden im Web vorgenommen, sondern auch ein großer Teil der Telefongespräche wird dank der Umstellung auf Voice-over-IP über das Internet getätigt. Je mehr Daten und auch finanzielle Transaktionen auf diese Weise getätigt werden, desto attraktiver ist ein Datendiebstahl durch Kriminelle. Hinzu kommen staatliche Akteure, die Daten ihrer eigenen Bürger oder derer aus anderen Ländern überwachen. Zudem verpflichten starke europäische Datenschutzgesetze wie die DSGVO Website-Betreiber dazu für Datenschutz zu sorgen.

Daher ist eine durchgehende HTTPS-Verschlüsselung ratsam und wünschenswert – denn nur durch solche technischen Maßnahmen, lässt sich das Mitlesen von Daten im Internet verhindern. Eine moderne Website sollte unabhängig von der Branche standardmäßig über HTTPS aufgerufen werden. So wird das Vertrauen von Nutzern gestärkt aber vor allem Datenschutzvorgaben erfüllt.