Was bedeutet HTTPS?

Das HTTPS Protokoll wurde ursprünglich von Netscape entwickelt und veröffentlicht. Heute nutzen es so gut wie alle gängigen Browser. Um Vertraulichkeit und Sicherheit für die Internetznutzer zu bieten, verwendet das Protokoll eine Ende-zu-Ende-Verschlüsselung und eine Authentifizierung.

Beide Abkürzungen haben wohl die meisten von uns schon gehört und gelesen. Doch was bedeutet HTTP und HTTPS?

HTTP bedeutet Hypertext Transfer Protocol. Es handelt sich hierbei also um ein Protokoll, mit dem Informationen vom Server in euren Webbrowser geladen werden. Allerdings wird dazu keinerlei Verschlüsselung verwendet. Das heißt jeder ist dazu in der Lage, eure Aktivtäten auf Webseiten, deren URL mit HTTP beginnt, zu überwachen.

Die Frage „Was heißt HTTPS?“, haben wir oben bereits geklärt und daran lässt sich auch der Unterschied zwischen den beiden Protokollen ausmachen. Das HTTPS Protokoll übernimmt eigentlich dieselbe Aufgabe wie das HTTP Protokoll, allerdings fügt es noch eine Verschlüsselung hinzu. So bleibt die Verbindung zwischen dem jeweiligen Server und eurem Browser sicher. Da alle gängigen Browser HTTPS unterstützen, ist dafür keine extra Installation nötig.

Dies Frage lässt sich sehr leicht beantworten. Eine Webseite, die das HTTPS Protokoll nutzt, erkennt ihr daran, dass in der Adresszeile, ebendiese Abkürzung vor der URL steht. Außerdem ist vor der Adresszeile ein verriegeltes Schloss als Symbol zu sehen.

Generell kann man sagen, dass viele ganz normale Webseiten, auf denen man keine persönlichen Daten eingeben muss, das ganz normale HTTP Protokoll verwenden. Seiten auf denen allerdings private Informationen eingegeben werden müssen, wie zum Beispiel Online-Banking Seiten oder auch Online-Shops, nutzen das verschlüsselte HTTPS Protokoll.

Es gibt Webseiten, auf denen man sich nur aufhält, um vielleicht den einen oder anderen interessanten Artikel zu lesen. Es gibt aber auch Webseiten, über die wir Produkte oder Dienstleistungen einkaufen. Oder auch solche, über die wir unsere Bankgeschäfte regeln. Auf letzteren beiden ist es unerlässlich, dass wir auch persönliche Informationen über uns preisgeben. Nicht auszudenken, was passieren könnte, wenn diese in falsche Hände gelangen. Da ein HTTP Protokoll ohne Verschlüsselung arbeitet, solltet ihr auf einer Internetseite, auf der ihr diese Abkürzung vor der URL seht, niemals sensible Daten eingeben. Seriöse Seiten, die mit Personendaten arbeiten, nutzen heutzutage immer das verschlüsselte HTTPS Protokoll.

Technisch betrachtet macht das HTTPS Protokoll nichts anderes, als zwischen dem Hypertext Transfer Protocol (HTTP) und dem Transmission Control Protocol (TCP) noch eine Schicht einzufügen. Bei dieser Schicht handelt es sich um SSL/TLS, welches für die Verschlüsselung und Authentifizierung verantwortlich ist.

Unter der Authentifizierung versteht man, dass sich der Webserver dem Nutzer gegenüber authentisieren muss. Da heißt, er muss so quasi beweisen, dass er wirklich der Webserver ist, der zur eingegebenen Adresse gehört. Auch eine Client-Authentifizierung ist auf diesem Wege möglich. Sie wird aber nur selten genutzt.

Die Ende-zu-Ende-Verschlüsselung gewährleistet, dass Stationen, die zwischen Client und Server liegen, die ausgetauschten Daten nicht entschlüsseln können.

SSL/TLS wird auch von anderen Anwendungsprotokollen verwendet. Es arbeitet so, dass es vom Anwender so gut wie nie bemerkt wird.

1. Client Hello: Der Client, also der Webbrowser, nimmt über ein Protokoll mit Verschlüsselungsoptionen mit einem Server Kontakt auf.

2. Server Hello: Der Server reagiert auf die Kontaktaufnahme und akzeptiert die Verbindung. Daraufhin schickt er, um sich zu authentifizieren, sein Zertifikat mit dem öffentlichen Schlüssel an den Client.

3. Validierung: Das Server-Zertifikat wird vom Client überprüft. Erkennt er seine Gültigkeit an, erzeugt er den symmetrischen Sitzungsschlüssel. Andernfalls wird die Verbindung sofort abgebrochen.

4. Encrypted Handshake Message: Durch den öffentlichen Server-Schlüssel verschlüsselt der Client den Sitzungsschlüssel und schickt diesen an den Server. Nun kann der Server mit seinem privaten Schlüssel den Sitzungsschlüssel entschlüsseln.

5. Ist dies geschehen, bestätigt der Server den geheimen Sitzungsschlüssel.

6. Ab diesem Zeitpunkt wird die komplette Kommunikation von Client zu Server und umgekehrt verschlüsselt, und zwar so lange bis die Verbindung unterbrochen wird.

Die Frage, ob ein HTTPS Zertifikat immer und für alle Seiten notwendig ist, wird kontrovers diskutiert. Einige Experten fordern, dass es keine unverschlüsselten HTTP-Verbindungen mehr geben sollte. Andere wiederum fragen sich, wozu man zum schlichten Abruf von Informationen aus dem Internet eine Verschlüsselung brauchen sollte. Schließlich werden hier keine privaten Daten eingegeben. Sie sind der Meinung, dass eine Verschlüsselung nur für Online-Shopping- oder Online-Banking-Seiten nötig ist.

Aber es gibt durchaus auch gute Gründe für eine Verschlüsselung für den Abruf von Informationen aus dem Internet. Schließlich surft der ein oder andere vielleicht auf Seiten, von denen er nicht möchte, dass andere darüber Bescheid wissen. Aus welchem Grund auch immer.

Experten sind der Meinung, dass man immer davon ausgehen muss, dass der durchschnittliche Internet-Nutzer die Konsequenzen seines Handelns nicht abschätzen kann. Sie sind also meist gar nicht dazu in der Lage, selbst zu entscheiden, wann eine Verschlüsselung nötig ist und wann nicht.

Wir haben jetzt also Antworten auf die Fragen „Was bedeutet HTTPS?“ und „HTTPS wie – funktioniert das?“ erhalten. Doch viele fragen sich jetzt bestimmt, wie sicher das HTTPS Zertifikat eigentlich ist. Genügt es wirklich, um sich sicher im World Wide Web zu bewegen?

Ob ein HTTPS Protokoll tatsächlich sicher ist, hängt vor allem vom Client und seinem Verhalten bei der Überprüfung des SSL-Zertifikats ab. Die Aufgabe des Clients ist es, sorgfältig zu prüfen, ob das Zertifikat wirklich vom entsprechenden Server stammt und auf seine Gültigkeit zu achten. Dies tut der Client über das Online Certificate Status Protocol – kurz OCSP – mit dem er bei der jeweiligen Zertifizierungsstelle, der Certificate Authority, nachfragt. Hier sind wir also beim Validierungs-Vorgang.

Leider gibt es bei der Implementierung von OCSP einen großen Schwachpunkt. Wenn der Browser nämlich für eine bestimmte Zeit keine Antwort von der Certificate Authority erhält, muss er das Zertifikat annehmen, obwohl es nicht geprüft wurde. Findet ein Angreifer also Mittel und Wege, um die Validierung zu behindern, kann er sich trotz Verschlüsselung in die Client-Server-Verbindung einhacken.

Eine weitere Schwachstelle ist, dass der Sitzungsschlüssel übertragen werden kann. Es kann auch passieren, dass der geheime Schlüssel bekannt wird, wodurch Unbefugte auf Sitzungsschlüssel schließen können und so aufgezeichnete, ursprünglich verschlüsselte Übertragungen nachträglich entschlüsseln können.

Um HTTPS noch sicherer zu machen, wird auf eine Kombination aus PFS (Perfect Forward Secrecy) mit Diffie-Hellman, einem Protokoll zur Schlüsselvereinbarung, gesetzt. Aber das Problem mit dem Akzeptieren der Zertifikate bleibt leider weiterhin bestehen.

Sich einzig und allein auf HTTPS zu verlassen, kann also auch nach hinten losgehen. Man sollte auch ein VPN zusätzlich zu HTTPS nutzen. Das VPN bietet eine weitere Sicherheitsebene und viele zusätzliche Funktionen.

Modernste Verschlüsselung, eine globale Infrastruktur und eine 30-Tage-Geld-zurück-Garantie machen NordVPN für Millionen Menschen auf der ganzen Welt zur Nr. 1 für Sicherheit.

Von SSL/TLS haben wir in diesem Artikel bereits gehört. Es handelt sich dabei um Protokolle zur Verschlüsselung von Informationen, die in der Regel zwischen Server und Client übertragen werden. Die Verschlüsselung der Übertragung kann aber auch zwischen zwei Servern oder zwei Clients stattfinden. Wir gehen hier allerdings von der ersten Möglichkeit aus.

Um eine SSL/TLS-Verbindung zustande kommen zu lassen, müssen vom Systemadministrator zwei Dateien vorbereitet werden: der private Schlüssel und das Zertifikat. SSL/TLS-Zertifikate werden von Zertifizierungsstellen, wie Symantec Trust Services, ausgestellt. Dafür muss allerdings eine weitere Datei, eine Signaturanforderung für ein Zertifikat, erstellt werden. Sie wird durch den privaten Schlüssel erstellt.

Die meisten Clients vertrauen zwar den Zertifikaten, die bei den Zertifizierungsstellen beantragt werden. Aber teilweise müssen auch zusätzliche Zertifikate auf dem Server installiert werden. Das ist aber auch von der Serversoftware abhängig, die verwendet wird. In der Regel ist es aber nicht nötig.

Sind die Dateien dann schließlich korrekt installiert, kann die SSL/TLS-Aushandlung mit den abgesicherten Protokollen initiiert werden.

Fazit

Wenn möglich solltet ihr nur Webseiten besuchen, die ein HTTPS Protokoll verwenden, die also verschlüsselt sind. Auf jeden Fall solltet ihr aber darauf achten, wenn ihr auf einer Seite persönliche Daten eingeben müsst. Eine seriöse Internetseite, die mit privaten Informationen arbeitet, wird heutzutage immer eine Verschlüsselung verwenden.