HTTPS

HTTPS (HyperText Transfer Protocol Secure) ist ein Protokoll, mit dem eine gesicherte Verbindung zwischen Server und Client aufgebaut wird, die nicht von Unbefugten abgehört werden kann.

Funktionsweise

Eine standardmäßige HTTP-Verbindung im Internet kann sehr leicht von Unbefugten abgehört werden. Um dies zu vermeiden und damit eine sichere Datenübertragung zu gewährleisten, wird eine HTTPS-Verbindung genutzt. Es wird zum Einen die Übertragung verschlüsselt und zum Anderen der Server authentifiziert.

Wenn ein Nutzer auf einen Link klickt oder eine in die Adressleiste eingegebene URL mit Enter bestätigt, dann wird der Verbindungsaufbau vom Browser gestartet. Der Server legt ein Zertifikat vor, dass ihn als echten, vertrauenswürdigen Anbieter authentifiziert. Wenn der Client die Echtheit überprüft hat, sendet er einen Sitzungsschlüssel, der nur für den Server lesbar ist. Auf Basis dieses Schlüssels kann nun eine Datenverschlüsselung stattfinden. In der Regel wird hierfür SSL verwendet.


600x400-https-01.png

Hintergrund und Ziele

Der Sinn von einer HTTPS-Verbindung ist es, die übermittelten Daten zu schützen. Eine HTTP-Verbindung kann sehr leicht abgehört werden, was gezielte Angriffe auf den Einzelnen ermöglicht. Bestimmte Daten, die ein User in sein Browserfenster eingibt, sind sehr persönlich (Kontodaten, E-Mails, Kreditkarteninformationen etc.) und müssen vor derartigen Zugriffen geschützt werden.

Ein anderes Problem ist Phishing, bei dem über gefälschte Webseiten die vom User eingegebenen Daten an Unbefugte gesendet werden. Die Verwendung von HTTPS anstelle von HTTP kann sowohl das Abhören, als auch das Phishing verhindern. Letzteres ist durch das Zertifikat möglich. Das Ziel von HTTPS ist also, dem Internetnutzer Sicherheit und Datenschutz zu bieten.

Einsatz und Bedeutung

HTTPS wird bei allen Webseiten verwendet, bei denen ein Nutzer Daten eingibt. Zum wichtigsten Einsatzgebiet gehört das Online-Banking, aber auch sonst überall, wo ein passwortgesicherter Account verwendet wird, ist eine HTTPS- Verbindung sinnvoll. Dazu gehören neben E-Mail- und Shopping-Accounts auch Social Network Zugänge, mit deren Übernahme großer persönlicher Schaden angerichtet werden kann. Auch ohne Account kann eine Eingabe von persönlichen Daten erfolgen. Wird zum Beispiel ein Flug oder ein ganzer Urlaub online gebucht, dann müssen entsprechende Daten gesichert an den Anbieter übermittelt werden.

Im eigenen Interesse sollte also jeder Internetnutzer an der richtigen Stelle auf eine sichere Verbindung achten und damit auf Datenschutz. Ob eine HTTPS-Verbindung besteht kann jeder ganz leicht in der Adresszeile ablesen. Dort steht am Anfang “https” und es wird auch optisch immer häufiger hervorgehoben. Dazu kommt ein kleines Schlosssymbol.

Nachteile

Es gibt einige Nachteile von HTTPS im Vergleich zu HTTP-Verbindungen. Allerdings sind die meisten nur sehr geringfügig und sollten im Hinblick auf die Sicherheit, die durch HTTPS entsteht, in Kauf genommen werden.

  • Es entstehen Zusatzkosten für die Zertifikate und zusätzlich auch steigende Kosten bei steigendem Traffic. Gerade für neue und für kleinere Seiten sind diese Zusatzkosten keine Kleinigkeit.
  • Bei HTTPS-Verbindungen können keine Inhalte im Cache abgelegt werden, d.h. die Zwischenspeicherung fällt weg. Doch die tendenziell steigenden Bandbreiten wirken diesem Nachteil entgegen.
  • Eine Schwäche ist auch die schlechtere Performance, die durch die Verwendung der SSL-Verschlüsselung entsteht. Der Server muss deutlich mehr rechnen, wodurch die Antwortzeit sich erhöht.
  • Mit HTTPS funktionieren keine virtuellen Hosts.

Vorteile

Neben dem offensichtlichen Vorteil, dem Datenschutz im Internet, gibt es auch noch einen weiteren großen Pluspunkt. Für die Verwendung von HTTPS ist keine zusätzliche Softwareinstallation notwendig. Dadurch kann sie ohne Einschränkung von jedem genutzt werden. Die Authentifizierung durch das Zertifikat schafft zudem Vertrauen beim potentiellen Kunden.

Unterschied zu HTTP

Wesentlicher Unterschied ist die gebotene Sicherheit. Im Grunde ist die Technik bei beiden die gleiche, nur bei HTTPS kommt die SSL-Verschlüsselung dazu. Deshalb ist es auch grundsätzlich möglich, das gesamte Internet über HTTPS-Verbindungen zu verwirklichen. Doch wegen den genannten Nachteilen und aus Gewohnheit nutzt kaum jemand eine sichere Verbindung, wenn sie nicht zwingend erforderlich ist.

Sicherheit

Da der Unterschied zu HTTP nur in der Verschlüsselung besteht, hängt die Sicherheit von HTTPS allein von der verwendeten Verschlüsselungstechnik ab. In der Regel ist das SSL, was zum jetzigen Zeitpunkt als sicher gilt. Es ist aber zu beachten, dass eine sichere Datenübertragung allein nicht ausreicht, um die Daten komplett zu schützen - sie müssen vom Empfänger auch gesichert abgespeichert werden.

Weblinks