Definition

Was ist HTTPS (Hypertext Transfer Protocol Secure)?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

Hypertext Transfer Protocol Secure (HTTPS) ist ein Protokoll, mit dem sich im Internet Webseiten und Daten verschlüsselt und sicher zwischen Webservern und Webbrowsern austauschen lassen. Es nutzt eine Ende-zu-Ende-Verschlüsselung und Authentifizierung.

Die Abkürzung HTTPS steht für Hypertext Transfer Protocol Secure. Es handelt sich um ein Protokoll zur sicheren Übertragung von Informationen im Internet. Hauptsächlich wird es für die verschlüsselte Kommunikation zwischen dem Webbrowser eines Anwenders und dem Webserver verwendet.

Ursprünglich wurde HTTPS von Netscape entwickelt und in deren Browser veröffentlicht. Heute unterstützen alle gängigen Browser HTTPS. Die Installation zusätzlicher Software ist nicht notwendig. Mit dem Hypertext Transfer Protocol Secure lassen sich Vertraulichkeit und Integrität beim Datenaustausch zwischen Client und Server im World Wide Web herstellen. Das Protokoll nutzt hierfür die Ende-zu-Ende-Verschlüsselung und die Authentifizierung.

Aus technischer Sicht fügt das Protokoll zwischen HTTP (Hypertext Transfer Protocol) und TCP (Transmission Control Protocol) eine zusätzliche Schicht ein. Mit Hilfe der Authentifizierung können die Kommunikationspartner beim Aufbau der Verbindung die Identität des anderen überprüfen. Phishing oder Man-in-the-Middle-Angriffe lassen sich dadurch verhindern.

In der Regel authentisiert sich nur der angefragte Webserver, die Client-Authentifizierung ist zwar ebenfalls möglich, wird aber nur selten verwendet. Verschlüsselte Verbindungen sind in der Adresszeile des Browsers an dem Beginn mit "https://" anstatt "http://" zu erkennen. Zusätzlich zeigen die Browser Symbole vor der Adresse wie bspw. ein Schloss als Hinweis auf eine verschlüsselte Verbindung an.

Die Funktionsweise des Hypertext Transfer Protocol Secure

Das Hypertext Transfer Protocol Secure verwendet TLS (Transport Layer Security) als Zwischenschicht zwischen HTTP und TCP. Für die sichere Verbindung nutzt TLS verschiedene Mechanismen. Kommunikationspartner authentifizieren sich über Zertifikate. Die Zertifikate stellt eine vertrauenswürdige Instanz, eine so genannten Certificate Authority (CA), aus. Die eigentliche Kommunikation verschlüsselt ein Session Key, der nur für die jeweilige Sitzung gültig ist.

Meist authentifiziert sich lediglich der Dienstanbieter (Webserver) gegenüber dem Client mit einem Zertifikat. Dies stellt sicher, dass der User tatsächlich mit dem Webserver verbunden ist, den er adressiert hat. Was den eigentlichen Abruf der Internetseiten vom Webserver angeht, ist HTTPS identisch mit HTTP. Seiten werden über Requests angefordert und anschließend vom Server mit seiner Antwort ausgeliefert.

Als Standardport verwendet das Hypertext Transfer Protocol Secure den Port 443. Unverschlüsseltes HTTP wird in der Regel über Port 80 ausgeführt. Ein Webserver benötigt, um Seiten per HTTPS ausliefern zu können, eine SSL-Bibliothek wie OpenSSL. In fast allen gängigen Webhosting-Installationen ist eine SSL-Bibliothek entweder bereits enthalten oder leicht nachzurüsten.

Verwendung des Hypertext Transfer Protocol Secure

Die Hauptanwendung für das Hypertext Transfer Protocol Secure ist die sichere Übertragung von Webseiten im Internet. Die Nutzung von HTTPS wird durch Suchanbieter wie Google zusätzlich forciert, da verschlüsselte Seiten mit besseren Positionen in den Ergebnislisten belohnt werden. Auch die zunehmende Verbreitung von offenen, für die Allgemeinheit nutzbaren WLANs trägt zur Verbreitung von HTTPS bei, da sich WLAN-User mit den Ende-zu-Ende-verschlüsselten Verbindungen vor unbefugtem Abhören anderer WLAN-Nutzer schützen können. Die Inhalte sind dann unabhängig vom WLAN-Protokoll verschlüsselt. Da TLS eine eigene Zwischenschicht zwischen TCP und Protokollen höherer Schichten darstellt, lässt es sich für die Absicherung anderer Protokolle wie SMTPS, IMAPS und FTPS einsetzen.

Besonderheiten und Sicherheitsaspekte des Hypertext Transfer Protocol Secure

Die Vertrauenswürdigkeit der Identität des Servers hängt beim Hypertext Transfer Protocol Secure maßgeblich von der Echtheit des Zertifikats ab. Ob man der Identität des Webservers vertrauen kann, muss der Webbrowser anhand einer Liste vertrauenswürdiger CAs und eines Gültigkeitsdatums entscheiden. Unsauberes Arbeiten der Zertifizierungsstellen oder widerrechtlich erworbene Zertifikate können die sichere Authentifizierung des Hypertext Transfer Protocol Secure allerdings kompromittieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Migration vorhandener vSphere-Umgebungen auf v6.7

Das Wichtigste beim vSphere-Versionswechsel

Migration vorhandener vSphere-Umgebungen auf v6.7

Mit „vSphere 6.7“ und dem dazu gehörigen „vCenter 6.7“ hat VMware eine neue Version seiner Virtualisierungssoftware vorgestellt. Was bei der Aktualisierung von Vorgängerversionen auf die Version 6.7 zu beachtenist, zeigt dieser Beitrag. lesen

Präzise Referenzmessungen bei Glasfaser-Verkabelungen

Qualitätsprüfung per Patch-Kabel

Präzise Referenzmessungen bei Glasfaser-Verkabelungen

Bei der Bereitstellung von optischen Hochgeschwindigkeitsnetzwerken, zum Beispiel per Ethernet mit 100 Gigabit pro Sekunde (Gbit/s) oder Fibre-Channel mit 128 Gbit/s, müssen die Netzwerkverantwortlichen genau wissen, wie sich die Leistung der Glasfaserverkabelung zu den Anwendungsstandards verhält. Der Kunde darf vom Kabelhersteller Gewährleistung erwarten. lesen

Sicherheitslücken im Mobilfunkstandard LTE entdeckt

LTE-Sicherheitslücke

Sicherheitslücken im Mobilfunkstandard LTE entdeckt

Über Sicherheitslücken im Mobilfunkstandard LTE können Hacker auf Smartphones beobachten, wer welche Webseite besucht. Das haben IT-Experten vom Horst-Görtz-Institut der Ruhr-Universität Bochum herausgefunden. Betroffen sind alle Geräte, die LTE verwenden – also so gut wie alle Handys und Tablets sowie einige vernetzte Haushaltsgeräte. Schließen lassen sich die gefundenen Lücken nicht; sie sind sogar noch im kommenden Mobilfunkstandard 5G enthalten, der derzeit zertifiziert wird. lesen

HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

Webmaster in der HTTPS-Pflicht

Transportverschlüsselung Teil 2

Webmaster in der HTTPS-Pflicht

Als ob die DSGVO alleine vielen Administratoren nicht schon genug schlaflose Nächte verursacht hätte, möchte Google unter Androhung eigener Sanktionen das Internet zwangsweise auf HTTPS umstellen. IT-Verantwortliche geraten einmal wieder in Zugzwang, wenn sie nicht riskieren wollen durch Google abgestraft zu werden und dadurch wertvollen Traffic aus Deutschlands meistgenutzter Websuche zu verlieren. lesen

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

Transportverschlüsselung Teil 1

TLS 1.3 - Viel heiße Luft oder ein großer Wurf?

Die Bedeutung der Datenverschlüsselung hat in den vergangenen Jahren massiv zugenommen. Beim Entwurf von TLS 1.3 bestand das Ziel darin, der aufkeimenden Bedrohung durch das Quantencomputing mit einer anspruchsvolleren Verschlüsselung gegenzusteuern, ohne dabei die User-Agents zu überfordern und gleichzeitig eine höhere Performance für latenzsensible IoT-Anwendungen zu liefern. lesen

Die Browser-Oberfläche zum Management von Server 2016

Project Honolulu

Die Browser-Oberfläche zum Management von Server 2016

Das Web-basierte Tool „Project Honolulu“ vereinfacht die Verwaltung von „Windows 2016“, Eventlog, Server Manager, Failover Cluster und Hyper Converged Cluster in einer Oberfläche. Die überzeugende Funktionalität können Server-Administratoren selbst ausbauen. lesen

Test: Netscout LinkRunner G2

Durchblick im LAN

Test: Netscout LinkRunner G2

Mit seinem Android-basierenden LAN-Tester LinkRunner G2 legt Netscout ein Gerät vor, das jedem Admin gefallen dürfte. Kinderleichte Bedienung gepaart mit durchdachten Test-Szenarien und schier endlose Erweiterungsmöglichkeiten über den Netscout-eigenen App-Store sprechen ebenso für sich, wie der patentierte PoE-Lasttest bis 51 Watt. Wir haben uns das Gerät näher angesehen. lesen

Azure Import/Export zum Versenden von Daten nutzen

Komplette Festplatten per Kurier an Microsoft senden

Azure Import/Export zum Versenden von Daten nutzen

Microsoft bietet für seine Cloud-Lösung Microsoft Azure den Dienst Import/Export, mit dem sich große Datenmengen in die Cloud übertragen lassen. Sinnvoll ist das auch für die Speicherung großer Datenmengen, oder zur Datensicherung. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45154591 / Definitionen)