Mobile-Menu

Definition: Hyper Text Transfer Protocol Secure Was ist HTTPS?

Von zeroshope 3 min Lesedauer

Anbieter zum Thema

netfiles GmbH
Hyland Software Germany GmbH
Cloudgermany.de GmbH

HTTPS ist ein Protokoll, das eine gesicherte Kommunikation zwischen einem Webserver und einem Klienten (Browser) ermöglichen soll. Es baut auf dem klassischen HTTP auf, fügt aber zwei Sicherheitsebenen hinzu. Verwechslungsgefahr besteht zu S-HTTP.

HTTPS ermöglicht im Internet die gesicherte Kommunikation zwischen Server und Browser.(Bild: frei lizenziert © Gerd Altmann / Pixabay)
HTTPS ermöglicht im Internet die gesicherte Kommunikation zwischen Server und Browser.
(Bild: frei lizenziert © Gerd Altmann / Pixabay)

HTTPS steht für die englischen Vokabeln „Hyper Text Transfer Protocol Secure“. Übersetzt bedeuten diese Wörter „gesichertes Hypertext-Übertragungsprotokoll“. Es handelt sich um eine „Sprache“, mit der im Internet ein Server und ein Klient miteinander kommunizieren. Auf dem Server liegt beispielsweise die Webseite, die aufgerufen werden soll.

Der Klient ist der zuständige Webbrowser oder eine sonstige App, die auf die Daten zugreifen möchte. Die beiden Parteien müssen dabei einige Punkte aushandeln. Zu klären ist beispielsweise, welche Webseite genau aufgerufen werden soll, wie viele und welche Daten fließen müssen. Das Hypertext-Übertragungsprotokoll ermöglicht dies. HTTP ist deshalb lange der Standard für diese Art der Web-Kommunikation gewesen.

Leicht nachzuverfolgende Kommunikation

Das Problem dabei war, dass diese Form der Kommunikation leicht nachzuverfolgen war (und ist). Beispielsweise sogenannte „Man in the Middle“-Szenarien wurden umgesetzt. Ein Angreifer befindet sich logisch (oder sogar physisch) zwischen den Kommunikationsströmen und besitzt die vollständige Kontrolle über den Datenfluss. Sein Zugriff ist dadurch möglich, dass keine Verschlüsselung existiert. Und dass keine Authentifizierungen stattfinden. Genau an dieser Stelle setzt HTTPS an.

Die beiden Sicherheitsfunktionen von HTTPS

HTTPS bietet erstens eine Ende-zu-Ende-Verschlüsselung. Dies bedeutet, dass der Datenstrom vollständig vom Server bis zum Klienten und zurück gesichert ist. Die beiden Kommunikationspartner besitzen die Schlüssel, um die Daten lesbar zu machen. Selbst, wenn ein Angreifer die Informationen abfangen sollte, kann er also nichts mit diesen Daten anfangen, da diese für ihn unverständlich sind.

Für die Verschlüsselung kommt SSL bzw. TLS ein. Die erste Abkürzung steht für „Secure Sockets Layer“. Das zweite Akronym lässt sich zu den englischen Vokabeln „Transport Layer Security“ auflösen. TLS ist die jüngere Version von SSL. Dargestellt wird diese Verschlüsselung in der Regel durch „SSL/TLS“. Wichtig ist das „T“, weil es verdeutlicht, dass der gesamte Datentransport gesichert ist.

Die zweite Sicherheitsfunktion von HTTPS ist der Einsatz von Zertifikaten. Webserver erhalten diese von unabhängigen Prüfstellen, um ihre Sicherheit und Authentizität zu bestätigen. Die Server senden diese zu Beginn der Kommunikation direkt an den Klienten, um sich auszuweisen. Dies ermöglicht das HTTPS-Protokoll.

Verwechselungsgefahr mit S-HTTP

Das HTTP zu unsicher ist, war schon in den 1990er Jahren bekannt. 1995 stellte das Unternehmen Enterprise Integration Technologies deshalb eine Lösung namens S-HTTP vor, bei der alle Buchstaben für dieselben Wörter wie bei HTTPS stehen. Die beiden Entwickler Eric Rescoria und Allan M. Schiffmann regten an, ihre Lösung als neuen Standard zu nutzen. Ihre Lösung verschlüsselt jede einzelne Anfrage, allerdings nicht die Header, um den identischen Port wie für HTTP nutzen zu können. Es existiert also keine vollständige Ende-zu-Ende-Verschlüsselung. Das System ist deshalb weniger sicher und konnte sich nicht durchsetzen. Teilweise wird es aber noch verwendet. Durch die identischen Buchstaben mit HTTPS besteht eine Verwechslungsgefahr. Die nachfolgende Liste hilft im Zweifel zu erkennen, ob wirklich die beste Lösung verwendet wird.

Den Einsatz von HTTPS erkennen

Die folgenden Punkte zeigen an, ob die Kommunikation mittels HTTPS gesichert ist – und nicht etwa mit S-HTTP oder überhaupt nicht:

  • Im Browser ist links neben der Adresse ein Schloss zu sehen.
  • Alle modernen Webbrowser warnen, wenn sie kein HTTPS erkennen können.
  • Sie schlagen ebenfalls Alarm, wenn ein Zertifikat abgelaufen oder ungültig ist.
  • HTTPS-Seiten nutzen den Port 443. HTTP-Seiten verwenden standardmäßig den Port 80.
  • HTTPS ist zu sehen, wenn die vollständige Adresse aufgerufen wird.
Microservices, Cloud Native, REST API , Kubernetes & Co.: Cloud Computing Wiki

Definitionen rund um Cloud ComputingVon AWS bis XaaS: Alle relevanten Schlagworte aus dem Bereich Cloud Computing finden Sie verständlich erklärt in unseren Definitionen. Ganz im Sinne eines kleinen, aber feinen Glossars lesen Sie hier neutral verfasste und leicht verständliche Erklärungen zu den wichtigsten Begriffen. Als Service für Sie haben wir die hier erklärten Begriffe in unseren Beiträgen auch direkt mit den zugehörigen Lexikoneinträgen verlinkt. So können Sie die wichtigsten Erläuterungen direkt dort nachschlagen.  

Zum Special: Definitionen rund um Cloud Computing

(ID:49631020)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte