Was ist HTTPS?

Was ist HTTPS?

Schauen Sie sich einmal die Adresszeile Ihres Webbrowsers an. Dort finden Sie als erste vier Zeichen das Kürzel "http". Dieses Kürzel steht für "Hypertext Transfer Protocol".

Dieses HTTP-Protokoll wird fast immer dann verwendet, wenn Sie mit ihrem Webbrowser auf eine Webseite zugreifen. Dabei macht Ihr Webbrowser nichts anderes, als Daten von einem anderen Computer anzufordern. Das Protokoll ist nun quasi die gemeinsame Sprache, die beide Computer sprechen müssen, um einander zu verstehen. Und wie jede andere Sprache gibt es auch beim HTTP Regeln, wie bestimmte Worte (oder in diesem Falle Daten) zu verstehen sind.

Allerdings hat HTTP einen großen Haken : jeder kann es "mitlesen". Alles wird praktisch im Klartext über die Leitung geschickt. Und jeder, der Zugriff auf den Transportweg der Daten hat, kann diese Daten lesen und auch verändern. Somit sind HTTP-Übertragungen denkbar ungeeignet für Anwendungen wie etwa Onlinebanking.

Für solche Zwecke existiert darum ein dem HTTP verwandtes Protokoll, das HTTPS. HTTPS steht für "Hypertext Transfer Protocol Secure". "Secure", also sicher, ist HTTPS wegen einem bedeutenden Unterschied zu normalem HTTP. Alle Daten werden nämlich verschlüsselt an den jeweils anderen Computer gesendet.

Dabei erzeugen die beiden an der Verbindung beteiligten Computer zunächst jeweils den geheimen Schlüssel, den nur die beiden Kommunikationspartner kennen. Dies geschieht durch komplexe Berechnungen auf der Basis vorher ausgetauschter Daten. Diese Daten sind für jeden, der die Verbindung "belauscht" einsehbar, lassen jedoch keinen Schluß auf den resultierenden Schlüssel zu. Anschließend tauschen die beiden Kommunikationspartner noch einen öffentlichen Schlüssel aus, mit dem dann die zu sendenden Nutzdaten verschlüsselt werden. Dieser öffentliche Schlüssel ist ebenso für jeden einsehbar. Da er jedoch nur zur Verschlüsselung dient und nicht zum Entschlüsseln der Daten, ist er für sich allein nutzlos.

Allerdings gibt es auch bei HTTPS ein schwerwiegendes Problem. Der öffentliche Schlüssel muß nämlich "beglaubigt" sein, um eine einigermaßen hohe Garantie auf Authentizität des Anbieters zu gewährleisten. Das bedeutet, dass eine unabhängige Stelle bestätigen muß, dass der übermittelte Schlüssel auch tatsächlich von demjenigen stammt, von dem er zu stammen scheint. Dazu stellt diese unabhängige Stelle ein so genanntes signiertes Zertifikat aus, welches die Echtheit des entsprechenden Schlüssels bestätigt.
Allerdings werden in der Praxis oft unsignierte Zertifikate benutzt, die nicht von einer unabhängigen Stelle ausgestellt wurden. Somit ist die Sicherheit, die HTTPS bieten könnte, oft nicht gewährleistet.

Ein weiteres Problem bei sicheren HTTPS-Verbindungen ist, dass diese auch vorgetäuscht werden können. Durch geeignete Programmiertechniken, welche durchaus allesamt im Bereich üblicher Programmierkenntnisse liegen, lassen sich Teile des Browserfensters nachbilden. So kann zum Beispiel auch das "Schlosssymbol" in der Statuszeile des Browsers sowie das "https" am Anfang der Adresszeile gefälscht werden.

Sie sollten jedoch darauf achten, dass vor allem bei der Übertragung von vertraulichen oder persönlichen Daten wie PIN-Nummern, Passworten und ähnlichem eine HTTPS-Verbindung aufgebaut wurde. Sei es nun die Anmeldung beim Internet-Auktionshaus Ihrer Wahl oder die Ausführung von Online-Bankgeschäften. Etwas vorsichtiger sollten Sie jedoch bei weniger bekannten Webseiten sein. Denn ein "https" ist nicht immer die Gewähr für eine sichere Verbindung.