HTTPS

Was ist HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) ist die verschlüsselte Variante des HTTP-Protokolls und stellt sicher, dass die Datenübertragung zwischen Webbrowser und Server vertraulich und unverändert bleibt. Es nutzt Transport Layer Security (TLS), um Inhalte vor Mitlesen, Veränderung und Man-in-the-Middle-Angriffen zu schützen. HTTPS ist heute der De-facto-Standard für alle Webseiten, insbesondere für solche mit Formularen, Login-Informationen oder Zahlungsabwicklungen.

Technischer Aufbau & Varianten

HTTPS basiert auf denselben HTTP-Mechanismen, erweitert um eine kryptografisch gesicherte Verbindung:

• TLS-Handshake:
  Authentifizierung des Servers mittels Zertifikat, Schlüsselaustausch, Aushandlung der Cipher Suite

• Zertifikate:

  • X.509-Zertifikate

  • Ausgestellt durch vertrauenswürdige Certificate Authorities (CAs)

• Sicherheitsfeatures:

  • Datenverschlüsselung

  • Integritätsprüfung via Message Authentication Codes (MAC)

  • Authentifizierung des Kommunikationspartners

• TLS-Versionen:

  • TLS 1.2 (weit verbreitet)

  • TLS 1.3 (modern, schneller, sicherer)

  • Veraltete Protokolle wie SSLv2, SSLv3, TLS 1.0/1.1 sollten deaktiviert sein

Relevanz in der Praxis

HTTPS ist unerlässlich für:

• Vertraulichkeit sensibler Daten wie Passwörter, Zahlungsinformationen, personenbezogene Daten

• Vertrauen & SEO-Ranking: Google bevorzugt HTTPS-Webseiten

• Absicherung von REST-APIs & Webdiensten

• Sicherstellung von Datenintegrität, Schutz vor Manipulation auf dem Transportweg

• Browserwarnungen: HTTP-Seiten mit Loginformularen werden als „unsicher“ markiert

Standards & regulatorische Anforderungen

• RFC 5246 / 8446: Spezifikationen für TLS 1.2 und TLS 1.3

• BSI TR-02102-2: Technische Richtlinie zur TLS-Konfiguration

• PCI DSS: HTTPS für Übertragung von Kreditkartendaten verpflichtend

• DSGVO Art. 32: Verschlüsselung als empfohlene Maßnahme zur Sicherheit der Verarbeitung

Verwandte Begriffe

• TLS

• Certificate Authority

• Man-in-the-Middle

• HTTP

• Content Security Policy

Beispiel aus der Praxis

Eine E-Commerce-Plattform hatte ihr Hauptportal bereits auf HTTPS umgestellt, verwendete jedoch HTTP für eingebettete Zahlungswidgets von Drittanbietern. Diese Mixed-Content-Konfiguration ermöglichte es Angreifern, JavaScript über eine unsichere Verbindung einzuschleusen. Nach vollständiger Umstellung aller Inhalte auf HTTPS und Aktivierung von HSTS (HTTP Strict Transport Security) wurde das Risiko eliminiert und die PCI-DSS-Zertifizierung erfolgreich erneuert.