Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Was ist HTTPS?

Was ist HTTPS bzw. Secure Web Protocol?

Werfen wir nun einen Blick auf Secure Web Protocol bzw. HTTPS. Das „S“ am Ende von HTTPS steht natürlich für „sicher“. HTTPS ermöglicht die Authentifizierung der Website sowie die Verschlüsselung der Kommunikation. Durch die Authentifizierung der Website wissen Sie, dass Sie tatsächlich www.apple.com und nicht irgendeine gefälschte Website besuchen. Ursprünglich wurde HTTPS zum Schutz von Anmeldedaten und vertraulichen Onlinetransaktionen wie Onlinebanking und Onlineshopping eingesetzt. Heutzutage ist HTTPS jedoch in fast allen Bereichen Standard.

HTTPS basiert auf einer Technologie, die als Public-Key-Kryptografie bezeichnet wird. Damit dies funktioniert, benötigt die Website ein von einer Zertifizierungsstelle zertifiziertes Public-/Private-Key-Paar. An dieser Stelle verzichte ich darauf, auf die Funktionsweise der Public-Key-Kryptografie einzugehen.

Lassen Sie uns nun unser Beispiel wiederholen, diesmal mit HTTPS. Schritt 1 ist unverändert: Wir geben die Adresse ein oder klicken auf einen Link.

Bevor wir mit Schritt 2 fortfahren können, müssen wir einen neuen Schritt absolvieren, den ich hier als Schritt 1.5 bezeichne. Dabei tauschen der Browser und der Webserver Nachrichten aus und führen einen „kryptografischen Tanz“ auf, der einige wirklich interessante Berechnungen umfasst und bei dem das Public-/Private-Key-Paar des Webservers verwendet wird, um die Website zu authentifizieren und zwei neue Schlüssel zu erstellen, die als Sitzungsschlüssel bezeichnet werden – einen für den Client und einen für den Server. Diese Sitzungsschlüssel werden verwendet, um die Nachrichten zu verschlüsseln und zu entschlüsseln.

Diese kryptografischen Funktionen werden von einem Protokoll namens Transport Layer Security (TLS) ausgeführt, das Nachfolger des mittlerweile veralteten Secure Sockets Layer (SSL) ist.

Als Nächstes folgt Schritt 2, der wie zuvor abläuft, jedoch mit dem Unterschied, dass der Browser nun seinen Sitzungsschlüssel verwendet, um die Anfragenachricht nach dem Erstellen und vor dem Versenden zu verschlüsseln. Die verschlüsselte Nachricht wird dann an den Webserver gesendet. Der Webserver entschlüsselt die Nachricht nach Erhalt mit seinem Sitzungsschlüssel und liest sie dann.

In Schritt 3 wird die Antwortnachricht in ähnlicher Weise verarbeitet. Nach dem Verfassen der Antwortnachricht wird diese durch den Webserver mit dessen Sitzungsschlüssel verschlüsselt und an den Browser zurückgesendet. Der Browser entschlüsselt die Nachricht nach Erhalt mit seinem Sitzungsschlüssel und liest sie dann.

Schritt 4 funktioniert schließlich wie gehabt – der Browser stellt die Antwort dar und der Betrachter kann die Webseite anzeigen.

Achten Sie auf das Vorhängeschlosssymbol, das eine sichere Verbindung und Authentifizierung der Website anzeigt.

Sie fragen sich möglicherweise, wie die Anfrage- und Antwortnachrichten zum Webserver und zurück gelangen. Die Antwort lautet: IP bzw. Internetprotokoll, was der Gegenstand der nächsten Präsentation ist. Was ist eine IP-Adresse?

Eine sichere Website ist zu einem wichtigen vertrauenswürdigen Signal für Internetnutzer geworden. Ein Schlosssymbol in der Adressleiste des Browsers bietet Nutzern von Websites ein gewisses Maß an Sicherheit, dass die Website legitim und sicher ist. 

Das Internet basiert auf Protokollen, einschließlich des Hypertext Transfer Protocol (HTTP). Das S nach dem HTTP bei einer Website-URL steht für „secure“ (sicher) und zeigt an, dass die Website die sichere Version von HTTP, d. h. HTTPS, verwendet. HTTPS (Hypertext Transfer Protocol Secure) wurde ursprünglich verwendet, um Onlineanmeldedaten zu schützen und die Sicherheit von Onlinebanking- und -shoppingtransaktionen zu gewährleisten. Im Jahr 2014 hat jedoch Google begonnen, HTTPS als Ranking-Signal zu verwenden. Dieser folgenreiche Schritt hat zu einer erheblichen Ausweitung von HTTPS geführt. Heute verwenden mehr als 80 % aller Websites HTTPS.

Was ist der Unterschied zwischen HTTP und HTTPS?

HTTPS und das dazugehörige Sicherheitsprotokoll SSL (Secure Sockets Layer) wurden 1994 von Netscape eingeführt, um den Netscape-Browser zu schützen.

HTTPS-Verbindungen ermöglichen zwei wichtige Funktionen, um Vertrauen aufzubauen und sichere Verbindungen im Internet herzustellen:

  • Website-Authentifizierung: Durch die Authentifizierung einer Website wissen Nutzer, dass die Website auf ihre Legitimität überprüft wurde und dass beispielsweise apple.com die Website der Firma Apple ist.
  • Datenverschlüsselung: HTTPS-Websites verwenden das TLS-Protokoll (Transport Layer Security) (den Nachfolger von SSL), um den Webtraffic zu verschlüsseln und vertrauliche Informationen zwischen einem Client (z. B. ein Webbrowser) und einem Webserver zu schützen. Wenn Sie beispielsweise beim Onlineshopping Ihre Kreditkartendaten senden, um den Kauf zu tätigen, werden diese Daten bei HTTPS-Websites verschlüsselt und nicht nur als Text an den Webserver gesendet.

Wie funktioniert HTTPS?

HTTPS basiert auf einer Technologie namens Public Key Infrastructure (PKI). PKI basiert auf Public-Key-Verschlüsselung und einer digitalen Signatur. Vom Websitebetreiber wird ein „Schlüsselpaar“ erstellt und der öffentliche Schlüssel wird an die Zertifizierungsstelle (Certificate Authority, CA) gesendet. Diese signiert den öffentlichen Schlüssel, wodurch ein als digitales Zertifikat bezeichnetes Dokument erzeugt wird. Die Website verfügt jetzt über einen privaten Schlüssel und ein SSL-Zertifikat, das den öffentlichen Schlüssel enthält. Der öffentliche Schlüssel verifiziert alle signierten Elemente des privaten Schlüssels. Das digitale Zertifikat liefert eine Vertrauenskette sowie die Validierung, dass die Website authentisch ist. In Verbindung mit einem Sicherheitsprotokoll (SSL/TLS) ermöglicht HTTPS die Ver- und Entschlüsselung von Nachrichten und vertraulichen Daten, die zwischen dem Webbrowser und dem Webserver gesendet werden.

Die Schritte bei einem HTTPS-Anfrage-Antwort-Strom

Der Anfrage-Antwort-Strom des HTTPS-Protokolls beginnt genau wie bei HTTP. Er unterscheidet sich jedoch durch den Zwischenschritt 1.5:

Schritt 1: Navigation und Initiierung

Der Nutzer gibt eine Webadresse in einen Browser ein oder klickt auf einen Link in einer E-Mail oder einer anderen Nachricht. Die Adresse enthält eine URL (Uniform Resource Locator) mit der Zeichenfolge HTTP, die den Browser darüber informiert, dass zum Abrufen des Dokuments, das durch die URL dargestellt wird, HTTP verwendet werden soll.

Schritt 1.5: Der kryptografische Tanz

In Schritt 1.5 führen Browser und Webserver einen „kryptografischen Tanz“ aus. Dieser beinhaltet den Austausch verschlüsselter Nachrichten. Die Schritte erfordern die Ausführung komplexer kryptografischer Funktionen unter Nutzung des TLS-Protokolls sowie des über die Zertifizierungsstelle (CA) generierten Public-Private-Key-Paars des Webservers. Dieser Schritt authentifiziert die Website und erstellt zwei neue Schlüssel (Sitzungsschlüssel) – einen für den Client und einen für den Server. Diese Sitzungsschlüssel werden verwendet, um die Nachrichten zu verschlüsseln und zu entschlüsseln.

Schritt 2: HTTP-Anfragenachricht von Client an Server

Schritt 2 ist identisch mit dem Anfrage-Antwort-Strom von Schritt 2 für HTTP. Der Client, z. B. der Browser, erstellt eine Nachricht mit einer Anfrage, die an den Webserver weitergeleitet wird. Die Nachricht enthält zusätzliche Informationen über die Anfrage, z. B. über die anfragende Stelle. Anders als bei HTTP muss jedoch bei einer HTTP(S)-Anfrage nach dem Erstellen der Anfragenachricht und vor deren Versand durch den Browser der Sitzungsschlüssel zur Verschlüsselung der Nachricht verwendet werden.

Schritt 3: HTTPS-Antwort des Webservers an den Client

Nach Eingang einer Anfrage verwendet der Webserver seinen Sitzungsschlüssel, um die Nachricht zu entschlüsseln und zu lesen. Der Webserver erstellt dann eine Antwortnachricht, die mit dem Sitzungsschlüssel verschlüsselt wird, bevor sie an den Browser zurückgesendet wird.

Schritt 4: Nachricht, die vom Browser wiedergegeben wird

Beim Empfang der verschlüsselten Nachricht verwendet der Browser seinen Sitzungsschlüssel, um die Nachricht zu entschlüsseln und dann zu lesen. Schließlich gibt der Browser die Antwortnachricht wieder und zeigt die Webseite im Browser an.

Warum sollte HTTPS verwendet werden?

Ohne HTTPS sind Internetnutzer und Daten, die online zwischen Clients (z. B. Browsern) und einem Webserver ausgetauscht werden, folgenden Risiken ausgesetzt:

Abfangangriffe: HTTPS verwendet das TLS-Protokoll zur Verschlüsselung von Kommunikation. Selbst wenn Angreifer Nachrichten abfangen, können sie die Daten nicht entschlüsseln und stehlen.

Diebstahl von Anmeldedaten: 54 % aller Sicherheitsvorfälle betreffen den Diebstahl von Anmeldedaten, wie aus einem Bericht von Ponemonhervorgeht. Die korrekte Implementierung von HTTPS auf Websites bewirkt, dass alle über diese Website übermittelten Daten – wie z. B. Anmeldedaten – verschlüsselt und damit sicher sind.

Vertrauensverlust: Bei Websites wird durch HTTPS signalisiert, dass von einer vertrauenswürdigen Zertifizierungsstelle ein digitales Zertifikat ausgestellt wurde. Die Zertifizierungsstelle führt bei der Zertifikatsausstellung eine gründliche Prüfung des betreffenden Unternehmens durch. Jedoch ist nach wie vor Vorsicht geboten, da laut Statistiken der Anti-Phishing Working Group (APWG) 83 % der Phishing-Websites HTTPS verwenden.

Häufig gestellte Fragen (FAQ)

HTTPS ist die sichere Version des Hypertext Transfer Protocol (HTTP), das Ressourcen wie HTML-Dokumente abruft. HTTPS ermöglicht den sicheren Nachrichtenversand zwischen dem Client (Browser) und einem Webserver. HTTPS verwendet die Verschlüsselung mit Schlüsselpaaren sowie das TLS-Protokoll (Transport Layer Security) für die Ver- bzw. Entschlüsselung solcher Nachrichten. HTTPS signalisiert außerdem, dass eine Website dieses sichere Protokoll verwendet und dass der Websitebetreiber verifiziert wurde.

HTTP ist ein Webprotokoll, das zur Bereitstellung von Inhalten einer Website verwendet wird, sodass diese in einem Browser angezeigt werden können. Das Webprotokoll – HTTP – ist ein Anfrage-Antwort-Protokoll, das definiert, wie Webclients mit Webservern kommunizieren. HTTPS ist die sichere Version dieses Protokolls, die das TLS-Protokoll (Transport Layer Security) sowie die Schlüsselpaar-Kryptografie verwendet, um den Nachrichtenaustausch zwischen dem Client (z. B. Browser) und einem Webserver zu sichern.

Nein, HTTPS bedeutet nicht unbedingt, dass eine Website sicher ist. 

HTTPS (Hypertext Transfer Protocol Secure) ist ein Protokoll, das die Kommunikation zwischen einem Webbrowser und einer Website verschlüsselt und eine sichere Verbindung bereitstellt. Es stellt sicher, dass die zwischen Nutzern und der Website übertragenen Daten nicht von unbefugten Parteien abgefangen oder manipuliert werden können.

HTTPS ist zwar eine wichtige Sicherheitsmaßnahme zum Schutz der Daten bei der Übertragung, es gewährleistet jedoch nicht die allgemeine Sicherheit oder Vertrauenswürdigkeit einer Website. Eine Website kann dennoch schädliche Inhalte enthalten, Schwachstellen aufweisen oder betrügerische Aktivitäten ausführen, auch wenn HTTPS verwendet wird.

HTTPS steht für „Hypertext Transfer Protocol Secure“. Das „S“ in HTTPS dient als Hinweis darauf, dass die Kommunikation zwischen einem Webbrowser und einer Website verschlüsselt und sicher ist.

Das „S“ in HTTPS zeigt an, dass auf der Website ein SSL/TLS-Zertifikat installiert wurde und dass die Verbindung verschlüsselt und sicher ist. Diese Verschlüsselung trägt zum Schutz vertraulicher Informationen bei und stellt sicher, dass die Verbindung des Nutzers mit der Website authentisch und vertrauenswürdig ist.

Warum entscheiden sich Kunden für Akamai?

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten umfassende Abwehrmaßnahmen, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.

Entdecken Sie alle Akamai Security Solutions