Glossar

HTTPS

Die Abkürzung HTTPS steht für das Hypertext Transfer Protocol Secure, was übersetzt sicheres Übertragungsprotokoll für Hypertext bedeutet. Bei diesem im Internet angewendeten Übertragungsprotokoll handelt es sich um eine Entwicklung des Unternehmens Netscape, die im Jahr 1994 publiziert wurde. Die Standards für HTTPS finden sich in der Norm RFC 2818. Das Ziel der Entwicklung dieses Protokolls bestand darin, die Übertragung von Daten im Internet abhörsicher zu gestalten. Dazu arbeitet HTTPS mit einer Verschlüsselung, die bei jeder neuen Session zwischen dem Client und dem Server ausgehandelt wird. Der Vorteil dieses Protokolls ist, dass es nicht netzabhängig ist und von allen Browsern neueren Datums unterstützt wird.

Die Grundlage für HTTPS ist SSL

Grundsätzlich ist HTTPS mit HTTP identisch, nur das ergänzend die SSL-Technologien angewendet werden. Der Client und der Server müssen sich gegenseitig identifizieren und authentifizieren. Das geschieht mit dem SSL-Handshake-Protokoll. Danach wird ein symmetrischer Schlüssel ausgetauscht, der jeweils nur für eine Sitzung gilt, die als Session bezeichnet wird. Der Austausch der verwendeten Schlüssel erfolgt nach dem Diffie-Hellman-Prinzip oder mit einer asymmetrischen Verschlüsselung. Ein weiteres markantes Kennzeichen für HTTPS ist, dass für die Verbindung zwischen Client und Server grundsätzlich der Port 443 verwendet wird. Der Aufbau einer verschlüsselten Verbindung via HTTPS wird vom Browser mit einem Schloss-Symbol angezeigt. Einen Support für HTTPS bringen nur die Server mit, auf denen eine SSL-Bibliothek vorhanden ist. Diese kann beispielsweise über OpenSSL bereitgestellt werden.

Websites mit HTTPS müssen Zertifikate vorweisen können

Wird in die Adresszeile der Browser eine Domain mit der Kennung HTTPS eingegeben, überprüft der Browser zuerst, ob er ein gültiges Zertifikat für diese Website hat. Ist das nicht der Fall, wird ein Menü angezeigt, in dem der Nutzer entscheiden kann, ob er der Website vertraut oder sie verlassen möchte. Ohne gültiges Zertifikat oder die Zustimmung des Nutzers wird eine mit der Verschlüsselung nach HTTPS arbeitende Website im Browser nicht angezeigt. Eine ganze Reihe von aktiven Zertifikaten wird bereits bei der Installation aktueller Browser mit hinterlegt. Dazu zählen einige E-Mail-Dienste sowie das Online-Lexikon Wikipedia, das sowohl via HTTP als auch HTTPS aufrufbar ist.

Beeinträchtigt HTTPS die Ladezeiten einer Website?

Zum Start von HTTPS waren die Unterschiede bei der Ladezeit im Vergleich zum traditionellen HTTP-Standard noch deutlich zu spüren. Inzwischen haben sich das System selbst und auch die Hardware erheblich verbessert, sodass mittlerweile keine Nachteile bei der Ladezeit einer Website durch die Verwendung des Standards HTTPS mehr zu befürchten sind. Das zu übertragende Datenvolumen wird nur geringfügig durch die Aushandlung des Schlüssels zu Beginn einer Session vergrößert. Außerdem kommen inzwischen so genannte SSL Accelerators zum Einsatz, die serverseitig den Mehraufwand bei der Rechenleistung kompensieren.

Anwendungsgebiete und Gefahrenpotential von HTTPS

Die Hauptanwendungsgebiete von HTTPS sind Websites, über die beispielsweise das Online-Banking angeboten wird. Auch die Maildienste arbeiten inzwischen durchweg mit der HTTPS-Technologie. Weitere Anwender sind Onlineshops. Das größte Gefahrenpotential geht von „Man in the Middle“-Angriffen aus, bei denen die abgesprochenen Websites gespiegelt werden. Solche Angriffe werden beim Online-Banking beispielsweise durch das SMS-TAN-Verfahren oder durch die Anzeige von Grafiken, die mit einem mobilen TAN-Generator ausgelesen werden müssen, weitgehend verhindert. Außerdem benötigt der Angreifer selbst ein gültiges Zertifikat. 2012 wurde zur Prävention gegen derartige Angriffe das HSTS-Verfahren entwickelt und im Standard RFC 6797 normiert. Eine weitere Gegenmaßnahme stellt das Extended-Validation-Zertifikat dar, welches ab im Jahr 2008 für HTTPS-Websites verfügbar wurde.


Interessiert? Erfahren Sie mehr zum Thema "HTTPS" - kontaktieren Sie uns jetzt

We create for You

Unter der Überschrift „Kreation“ vereinen wir die 4 Kernkompetenzen von baseplus®: Das Design, die Entwicklung, das Online Marketing und Print, in der jeweils anmutenden Farbe. Das konsequente Color-Coding dient der optimierten Benutzerführung, die Claims kommunizieren jeden Bereich zusätzlich.

Klicken Sie hier, um zu sehen was wir meinen