Was bedeutet HTTPS?

Das Hypertext Transfer Protocol Secure (HTTPS) ist ein Kommunikationsprotokoll für das Internet. Das HTTPS ist eine Erweiterung des Hypertext Transfer Protocol (HTTP), ergänzt mit dem Secure Sockets Layer (SSL) bzw. dessen Nachfolger, dem Transport Layer Security (TLS). Das HTTP ist darauf spezialisiert, die gesendeten Webseiteninhalte darzustellen, während es die Aufgabe von SSL bzw. TLS ist, die Daten sicher zu versenden.

Das HTTPS-Protokoll bietet gegenüber HTTP klare Vorteile wie den Schutz von potenziellen Hackerangriffen, den Schutz von personenbezogenen Daten, Anstieg des Nutzervertrauens in eine Webseite und eine Verbesserung des Suchmaschinenrankings. So bringt eine HTTPS-Verbindung zum einen den Schutz von sensiblen Daten im World Wide Web, zum anderen positive Effekte für die Suchmaschinenoptimierung (SEO) mit sich.

Ob eine verschlüsselte Verbindung besteht, kann im Browser am Anfang der Adresszeile erkannt werden: Eine sichere URL beginnt mit „https://“ – zur Verdeutlichung wird außerdem ein Schloss-Icon am Browser-Tab gezeigt und gibt Aufschluss über die Verschlüsselung der Inhalte.

 

Der Browser zeigt ein kleines Schloss neben der Adresszeile, wenn eine Webseite mit HTTPS Verschlüsselung aufgerufen wird.
Ein kleines Schloss neben der Adresszeile – so zeigt der Browser, dass man eine per HTTPS übertragene Seite aufruft.

Wie funktioniert HTTPS?

Was die Inhalte angeht unterscheidet sich HTTPS nicht von HTTP: Lediglich das Protokoll für die Übertragung ist anders und sorgt für die gewünschte Sicherheit. Die beiden grundlegenden Neuerungen gegenüber HTTP sind dabei zum einen das Zertifikat, mit dem eine unabhängige Stelle Vertrauenswürdigkeit bescheinigt, zum anderen die Verschlüsselung, die Unbefugten den Zugang zu den übertragenen Inhalten verwehrt.

Die Funktionsweise von HTTPS lässt sich wie folgt beschreiben:

  • Zunächst kontaktiert der Client (z. B. der genutzte Webbrowser) den Webserver.
  • Der kontaktierte Server nimmt die Verbindung an und sendet als Authentifizierung sein Zertifikat und seinen öffentlichen Schlüssel.
  • Das Zertifikat wird vom Client überprüft: Sollte das Zertifikat ungültig sein, wird die Verbindung unterbrochen. Ist es gültig, erstellt der Client geheime Sitzungsschlüssel.
  • Sitzungsschlüssel verschlüsseln die Daten und die Kommunikation. Diese werden durch den öffentlichen Schlüssel des Servers verschlüsselt und wieder an den Server geschickt. Der Server entschlüsselt den Sitzungsschlüssel und bestätigt diesen im nächsten Schritt.
  • Solange die Verbindung besteht, werden alle HTTP Anfragen und Antworten verschlüsselt. Bei erneutem Aufrufen der Verbindung wird zunächst wieder die Authentifizierung durchgeführt.

Wieso ist HTTPS für die Sicherheit so wichtig?

Über das normale Hypertext-Übertragungsprotokoll ohne TSL- oder SSL-Zertifikat werden alle Informationen unverschlüsselt vom Browser oder der App über das Internet übertragen. Prinzipiell sind diese Informationen für jeden lesbar, da sie in normalem Text übertragen werden. Somit sind sie besonders anfällig für einen Hacker-Angriff. Werden die Informationen also während der Übertragung online abgegriffen, können sie direkt gelesen und interpretiert werden.

Diese Sicherheitslücke ist vor allem bei der Übertragung persönlicher Daten, insbesondere beim Online-Banking, kritisch. Damit Hacker nicht einfach an Daten wie Name, Adresse, Telefonnummer, Passwörter usw. kommen, werden bei einer HTTPS-Verbindung alle über das Internet übertragenen Daten verschlüsselt und damit unlesbar für Hacker. Auch die Zunahme an privaten und öffentlichen WLAN-Netzwerken macht verstärkte Sicherheit nötig: Wer über einen öffentlichen WLAN-Hotspot surft, ist beim Aufruf über HTTPS deutlich besser geschützt.

Heutzutage nutzen nicht nur Banken die sichere Verbindung, man findet sie bei fast allen Websites im World Wide Web. Das ist vor allem Google zu verdanken – seit das Unternehmen 2014 anfing, HTTPS als Rankingfaktor einzusetzen: Waren zwei Seiten gleichwertig, rangierte die Seite mit HTTPS vor derjenigen ohne Zertifikat.

Mittlerweile ist es notwendiger Standard, eine sichere Website zu besitzen: Die Browser warnen vor als unsicher eingestuften Websites (auch wenn diese ansonsten harmlos sind): Die Warnmeldungen dürften viele Besucher verschrecken, die von den technischen Hintergründen in der Regel gar nichts wissen. Die Absprungrate (Bounce Rate) wird bei einer verschlüsselten Seite deswegen geringer sein.

Auch Google warnt Nutzer vor Seiten ohne Sicherheitszertifikat und stuft diese Seiten im Ranking herab. Wenn man dazu noch die für Google ebenfalls negativen Signale der schlechten Bounce Rate hinzunimmt, wird schnell klar, dass man sich als ernsthafter Webseitenbetreiber keine unverschlüsselte Seite leisten kann.

Für erfolgreiches SEO sollte also in jedem Fall eine Verschlüsselung der übertragenen Daten erfolgen und somit mehr Sicherheit für den Nutzer gewährleistet werden. Falls Sie noch eine Seite über HTTP betreiben, ist es höchste Zeit sich mit der Umstellung auf HTTPS auseinanderzusetzen.