❯ ZUM LEXIKON

Defini­tion

HTTPS (Hyper­Text Trans­fer Proto­col Secure) ist ein Proto­koll, mit dem eine gesicherte Verbin­dung zwischen Server und Client aufge­baut wird, die nicht von Unbefug­ten abgehört werden kann.

Funkti­ons­weise

Eine standard­mä­ßige HTTP-Verbin­dung im Inter­net kann sehr leicht von Unbefug­ten abgehört werden. Um dies zu vermei­den und damit eine sichere Daten­über­tra­gung zu gewähr­leis­ten, wird eine HTTPS-Verbin­dung genutzt. Es wird zum Einen die Übertra­gung verschlüs­selt und zum Anderen der Server authen­ti­fi­ziert.

Wenn ein Nutzer auf einen Link klickt oder eine in die Adress­leiste einge­ge­bene URL mit Enter bestä­tigt, dann wird der Verbin­dungs­auf­bau vom Browser gestar­tet. Der Server legt ein Zerti­fi­kat vor, dass ihn als echten, vertrau­ens­wür­di­gen Anbie­ter authen­ti­fi­ziert. Wenn der Client die Echtheit überprüft hat, sendet er einen Sitzungs­schlüs­sel, der nur für den Server lesbar ist. Auf Basis dieses Schlüs­sels kann nun eine Daten­ver­schlüs­se­lung statt­fin­den. In der Regel wird hierfür SSL verwen­det.

Hinter­grund und Ziele von HTTPS

Der Sinn von einer HTTPS-Verbin­dung ist es, die übermit­tel­ten Daten zu schüt­zen. Eine HTTP-Verbin­dung kann sehr leicht abgehört werden, was gezielte Angriffe auf den Einzel­nen ermög­licht. Bestimmte Daten, die ein User in sein Browser­fens­ter eingibt, sind sehr persön­lich (Konto­da­ten, E‑Mails, Kredit­kar­ten­in­for­ma­tio­nen etc.) und müssen vor derar­ti­gen Zugrif­fen geschützt werden.

Ein anderes Problem ist Phishing, bei dem über gefälschte Websei­ten die vom User einge­ge­be­nen Daten an Unbefugte gesen­det werden. Die Verwen­dung von HTTPS anstelle von HTTP kann sowohl das Abhören, als auch das Phishing verhin­dern. Letzte­res ist durch das Zerti­fi­kat möglich. Das Ziel von HTTPS ist also, dem Inter­net­nut­zer Sicher­heit und Daten­schutz zu bieten.

Einsatz und Bedeu­tung

HTTPS wird bei allen Websei­ten verwen­det, bei denen ein Nutzer Daten eingibt. Zum wichtigs­ten Einsatz­ge­biet gehört das Online-Banking, aber auch sonst überall, wo ein passwort­ge­si­cher­ter Account verwen­det wird, ist eine HTTPS- Verbin­dung sinnvoll. Dazu gehören neben E‑Mail- und Shopping-Accounts auch Social Network Zugänge, mit deren Übernahme großer persön­li­cher Schaden angerich­tet werden kann. Auch ohne Account kann eine Eingabe von persön­li­chen Daten erfol­gen. Wird zum Beispiel ein Flug oder ein ganzer Urlaub online gebucht, dann müssen entspre­chende Daten gesichert an den Anbie­ter übermit­telt werden.

Im eigenen Inter­esse sollte also jeder Inter­net­nut­zer an der richti­gen Stelle auf eine sichere Verbin­dung achten und damit auf Daten­schutz. Ob eine HTTPS-Verbin­dung besteht kann jeder ganz leicht in der Adress­zeile ablesen. Dort steht am Anfang “https” und es wird auch optisch immer häufi­ger hervor­ge­ho­ben. Dazu kommt ein kleines Schloss­sym­bol.

Nachteile

Es gibt einige Nachteile von HTTPS im Vergleich zu HTTP-Verbin­dun­gen. Aller­dings sind die meisten nur sehr gering­fü­gig und sollten im Hinblick auf die Sicher­heit, die durch HTTPS entsteht, in Kauf genom­men werden.

  • Es entste­hen Zusatz­kos­ten für die Zerti­fi­kate und zusätz­lich auch steigende Kosten bei steigen­dem Traffic. Gerade für neue und für kleinere Seiten sind diese Zusatz­kos­ten keine Kleinig­keit.
  • Bei HTTPS-Verbin­dun­gen können keine Inhalte im Cache abgelegt werden, d.h. die Zwischen­spei­che­rung fällt weg. Doch die tenden­zi­ell steigen­den Bandbrei­ten wirken diesem Nachteil entge­gen.
  • Eine Schwä­che ist auch die schlech­tere Perfor­mance, die durch die Verwen­dung der SSL-Verschlüs­se­lung entsteht. Der Server muss deutlich mehr rechnen, wodurch die Antwort­zeit sich erhöht.
  • Mit HTTPS funktio­nie­ren keine virtu­el­len Hosts.

Vorteile

Neben dem offen­sicht­li­chen Vorteil, dem Daten­schutz im Inter­net, gibt es auch noch einen weite­ren großen Pluspunkt.

  • Für die Verwen­dung von HTTPS ist keine zusätz­li­che Software­instal­la­tion notwen­dig. Dadurch kann sie ohne Einschrän­kung von jedem genutzt werden.
  • Die Authen­ti­fi­zie­rung durch das Zerti­fi­kat schafft zudem Vertrauen beim poten­ti­el­len Kunden.

Unter­schied zu HTTP

Wesent­li­cher Unter­schied zu HTTP ist die gebotene Sicher­heit. Im Grunde ist die Technik bei beiden die gleiche, nur bei HTTPS kommt die SSL-Verschlüs­se­lung dazu. Deshalb ist es auch grund­sätz­lich möglich, das gesamte Inter­net über HTTPS-Verbin­dun­gen zu verwirk­li­chen. Doch wegen den genann­ten Nachtei­len und aus Gewohn­heit nutzt kaum jemand eine sichere Verbin­dung, wenn sie nicht zwingend erfor­der­lich ist.

Sicher­heit

Da der Unter­schied zu HTTP nur in der Verschlüs­se­lung besteht, hängt die Sicher­heit von HTTPS allein von der verwen­de­ten Verschlüs­se­lungs­tech­nik ab. In der Regel ist das SSL, was zum jetzi­gen Zeitpunkt als sicher gilt. Es ist aber zu beach­ten, dass eine sichere Daten­über­tra­gung allein nicht ausreicht, um die Daten komplett zu schüt­zen — sie müssen vom Empfän­ger auch gesichert abgespei­chert werden.