HTTPS: Was es bedeutet und warum es wichtig ist
Wir alle profitieren von der unglaublichen Vielfalt an Websites im Internet. Unterhaltung, Information, Inspiration, Dienstleistungen und mehr sind in scheinbar unbegrenzter Menge verfügbar. Doch leider sind nicht alle Websites gutartig. Es gibt – wie in der Analogwelt auch –zwielichtige Geschäftsleute, Kriminelle und organisiertes Verbrechen. So werden Benutzer von Onlinebanking auf eine gefälschte Website gelockt, damit ihre Zugangsdaten abgegriffen werden können. Oder jemand installiert einen öffentlichen WLAN-Hotspot, um heimlich die darüber stattfindende Kommunikation auszuhorchen.
Anfänglich wurde der gesamte Datenverkehr im World Wide Web offen abgewickelt – im Klartext und leicht zu hacken. Das HTTP-Protokoll vermittelt die Kommunikation zwischen Client (Webbrowser) und Webserver unverschlüsselt. Dies erleichtert kriminelle Aktivitäten wie das Ausspähen von Metadaten oder Man-in-the-middle-Angriffe.
Um das Web sicherer zu machen, wurde HTTPS entwickelt. Hier erfahren Sie, was HTTPS ist und wie es funktioniert.
- DSGVO-konform & sicher gehostet in Deutschland
- Produktivität steigern – weniger Aufwand, mehr Output
- Direkt im Browser starten – ohne Installation
Was ist HTTPS?
Die Abkürzung HTTPS steht für „Hypertext Transfer Protocol Secure“, übersetzt: „Sicheres Hypertext-Übertragungsprotokoll“. Das Übertragungsprotokoll ist gewissermaßen die Sprache, in der sich der Webclient – in der Regel der Webbrowser – und der Webserver miteinander verständigen. HTTPS ist diejenige Version des Übertragungsprotokolls, die mit einer verschlüsselten Kommunikation operiert.
Der Zweck von HTTPS
HTTPS erfüllt zwei Funktionen:
Die Kommunikation zwischen Webclient und Webserver wird verschlüsselt. Damit soll verhindert werden, dass ein unbefugter Dritter die Kommunikation abhört, indem er z. B. den WLAN-Netzwerkverkehr mitliest.
Der Webserver wird authentifiziert, indem gleich zu Beginn der Kommunikation ein Zertifikat an den Webclient gesendet wird, das die Vertrauenswürdigkeit der Domäne bescheinigt. Diese Maßnahme hilft dabei, Betrug durch gefälschte Websites zu bekämpfen.
Unterschiede zwischen HTTP und HTTPS
Wie unterscheiden sich HTTP und HTTPS? Die einfache Antwort lautet: technisch betrachtet gar nicht! Das Protokoll selbst, also die Syntax, ist bei beiden Varianten identisch.
Der Unterschied liegt darin, dass HTTPS ein besonderes Transportprotokoll nutzt, nämlich SSL/TLS. Nicht das Protokoll selbst, sondern dessen Übertragungsart ist zusätzlich gesichert. Dazu folgende Analogie:
- Zwei Personen telefonieren miteinander.
- Sie benutzen eine gemeinsame Sprache, um sich zu verständigen: HTTP.
- Die Telefonverbindung, über die ihr Gespräch läuft, ist im Falle von HTTP ungesichert und im Falle von HTTPS auf besondere Weise abhörsicher.
Die folgende Tabelle fasst die wichtigsten Unterschiede aus Benutzersicht zusammen:
| HTTP | HTTPS | |
|---|---|---|
| Übertragung | Unverschlüsselt | Verschlüsselt |
| Zertifikat | Nein | Ja |
| Port-Nummer | 80 | 443 |
| Adressierung in der URL | http:// | https:// |
Alle aktuellen Webbrowser warnen den Benutzer, wenn er eine Website unter dem Protokoll HTTP aufruft.
Wenn Sie die Icons links in der Adresszeile anklicken, erhalten Sie weitere Informationen:
Je nach Browser und Sicherheitseinstellungen verweigert die Software sogar das Öffnen einer ungesicherten Website oder zeigt statt der Website eine Warnung an.
Wie funktioniert HTTPS?
Zuständig für die Sicherheit ist nicht das HTTP selbst, sondern das zugrundeliegende Transportprotokoll. Wo liegt der Unterschied?
Das HTTP-Protokoll regelt lediglich, wie die Inhalte strukturiert sein müssen, die Webclient und Webserver miteinander austauschen. Das Transportprotokoll dagegen weist an, wie die Datenströme zwischen den Computern übertragen werden. Es sorgt beispielsweise dafür, dass keine Datenpakete verloren gehen. Das Standard-Transportprotokoll, das auch von HTTP benutzt wird, ist TCP, das „Transmission Control Protocol“.
Zu diesem Transportprotokoll gibt es eine Erweiterung, die die Datenströme verschlüsselt: Diese Erweiterung heißt TLS (früherer Name: SSL). Jegliche Kommunikation, die mithilfe dieses Transportprotokolls übertragen wird, ist so verschlüsselt, dass nur der eigentliche Empfänger (Webbrowser bzw. Webserver) den übertragenen Inhalt lesen kann.
Wenn eine URL mit vorangestelltem https:// angegeben wird, dann ergänzt der Webbrowser sie automatisch mit der Port-Nummer 443. Diese Nummer teilt dem empfangenden Computer mit, dass er über TLS/SSL kommunizieren soll.
- Verschlüsselt die Website-Kommunikation
- Verhindert Sicherheitswarnungen
- Verbessert die Google-Platzierung
Warum die HTTPS-Verschlüsselung wichtig ist
Die Fähigkeiten der Hacker, Websites auszuspähen und zu manipulieren, wachsen ständig. Deshalb ist es wichtig, die Datenströme zu verschlüsseln – insbesondere in frei zugänglichen Netzwerken, etwa einem öffentlichen WiFi-Hotspot.
HTTPS ist der neue Standard. Websites ohne HTTPS werden, wie erwähnt, von aktuellen Webbrowsern zumindest negativ vermerkt oder sogar abgeblockt. HTTPS dagegen wirkt sich vermutlich positiv auf das Google-Ranking aus, auch wenn Google dies bislang nicht explizit bestätigt hat.
Die europäische Datenschutzgrundverordnung (DSGVO) schreibt vor, dass die Websites auf dem neuesten Stand der Sicherheit gehalten werden müssen – und das bedeutet zurzeit: HTTPS.
In unserem weiterführenden Artikel erfahren Sie, wie Sie Ihre Webseite auf HTTPS umstellen.