HTTPS

HTTP Secure–eine Erweiterung von HTTP, die TLS zur sicheren Datenübertragung verwendet. HTTPS kombiniert HTTP mit Transport Layer Security (TLS) oder dem älteren Secure Sockets Layer (SSL), um Datenverschlüsselung, Integritätsprüfung und Server-Authentifizierung zu gewährleisten. Ein gültiges Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA) stellt sicher, dass der Client mit dem echten Server kommuniziert und nicht mit einem Man-in-the-Middle. Moderne TLS-Versionen (ab TLS 1.2, aktuell 1.3) bieten Perfekte Vorwärtsgeheimnis (PFS) und weisen unsichere Cipher Suites zurück. TLS 1.3 entfernt unsichere Features (z. B. RC4-Ciphers, SHA-1) und integriert Elliptic-Curve-Kryptographie (ECDHE) standardmäßig. Implementierungen sollten sicherstellen, dass HSTS aktiviert ist und keine unsicheren Protokollversionen (SSLv2, SSLv3, TLS 1.0/1.1) akzeptiert werden. Penetrationstests prüfen Zertifikatsketten, Cipher-Sicherheit und mögliche Downgrade-Angriffe (Logjam, POODLE).