Besuchen Sie uns auf der it-sa 2024!

https Schriftzug

Was ist HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) erlaubt den Aufbau von verschlüsselten Verbindungen im Internet. Das Protokoll kommt heutzutage bei den meisten Webseiten und Online-Diensten zum Einsatz, um sensible Daten auf dem Transportweg vor unberechtigtem Zugriff und Manipulation zu schützen.

Jetzt absichern mit dem Myra DDoS Schutz
Funktionsweise von HTTPS

01

HTTPS: eine Definition

Das Hypertext Transfer Protocol Secure (HTTPS) ist ein Kommunikationsprotokoll im World Wide Web, mit dem sich im Gegensatz zu HTTP (Hypertext Transfer Protocol) Daten verschlüsselt und somit möglichst abhör- sowie fälschungssicher übertragen lassen. Anfangs setzten Webmaster die HTTPS-Technologie ausschließlich auf Websites ein, auf denen auch sensible Inhalte verarbeitet wurden – etwa beim Online-Banking oder im E-Commerce. Mittlerweile hat sich das verschlüsselte Übertragungsprotokoll allerdings als Standard im Internet durchgesetzt. Die meisten Seitenbetreiber sichern ihren Online-Auftritt mit HTTPS ab – allein schon, um in Suchmaschinen besser zu ranken. In den meisten Browsern weist ein Vorhängeschlosssymbol auf HTTPS-verschlüsselte Inhalte hin, während ungeschützte Seiten als potenziell unsicher gekennzeichnet werden.

Laptop mit Suchmaschine

02

Wie funktioniert HTTPS?

HTTP und HTTPS funktionieren beide nach dem Client-Server-Prinzip. Als Client fungiert in der Regel der Webbrowser und als HTTP-Server der Webserver. Um eine Webseite aufzurufen, sendet der Webbrowser eine Anfrage an den Webserver, der diese bearbeitet, eine Antwort zurückschickt und die Verbindung schließt. Anfrage und Antwort bestehen aus einem Header mit Steuerinformationen und den eigentlichen Daten. Die Kommunikation selbst basiert auf dem Textformat und erfolgt über TCP (Transmission Control Protocol) auf Port 80.

In der Anfrage adressiert der Browser eine Datei auf dem Server, die dieser ihm schicken soll. Dazu übermittelt er im Header eine URL, die aus der Angabe des Transportprotokolls (http://), dem Servernamen (optional), dem Domainnamen und der abschließenden Top-Level-Domain (z.B. .de oder .com) besteht. Bei HTTPS authentifiziert sich der Server zusätzlich mittels eines SSL/TLS-Zertifikats (Secure Sockets Layer / Transport Layer Security) gegenüber dem Client. Letzterer schickt dem Server im Anschluss eine zufällige Zahl, die mit dem Zertifikat des Servers verschlüsselt wurde. In weiterer Folge errechnen Client und Server einen Schlüssel, mit dem die weitere Kommunikation codiert wird.

03

Warum HTTPS verwenden?

Zwar verarbeiten nur die wenigsten Online-Portale hochsensible Inhalte, eine ungeschützte Webseite kann aber dennoch eine Gefahr für Seitenbesucher:innen darstellen. Beispielsweise nutzen Cyberkriminelle unverschlüsselte Verbindungen, um zielgerichtet Verbindungen zu korrumpieren und auf modifizierten Webseiten Schadsoftware zu verteilen. Dafür kommen etwa Man-in-the-Middle-Attacken (MITM) zum Einsatz, bei denen sich die Angreifer zwischen dem Nutzer-Client und dem Webserver der jeweiligen Internetseite einschleusen und die Kontrolle über den Datenverkehr übernehmen.

Oftmals bilden solche MITM-Attacken den Ausgangspunkt für weiterführende Angriffe auf die Systeme von Seitenbesucher:innen und das dahinterliegende Netzwerk. In Kombination mit anderen Angriffsvektoren wie Spear Phishing ist so auch die Infiltration von Unternehmen, Behörden und anderen Organisationen möglich. Um dieser Gefahr zu begegnen, sollten möglichst alle Webseiten und Dienste im Netz konsequent mit HTTPS verschlüsselt werden.

Security Schriftzug

04

Wie sicher ist HTTPS?

Das Abhören, Manipulieren oder Übernehmen von HTTPS-verschlüsselten Sitzungen gestaltet sich für Angreifer um ein Vielfaches schwieriger als bei herkömmlichen HTTP-Verbindungen. Hundertprozentige Sicherheit garantiert aber auch HTTPS nicht, denn vor Implementierungsfehlern und Schwachstellen ist SSL/TLS trotz aller Sorgfalt nicht gefeit. Außerdem nutzen einige Cyberkriminelle die Technologie für ihre Malware- und Phishing-Angriffe, um etwa manipulierten Webseiten einen vertraulichen Anstrich zu geben. Dennoch stellt HTTPS ein zentrales Puzzleteil für mehr IT Security im Internet dar, weshalb alle Webmaster und Seitenbetreiber die Verschlüsselung einsetzen sollten.

netzwerkverbindungen

05

HTTPS: Das müssen Sie wissen

Technisch handelt es sich bei HTTPS um die Kombination von herkömmlichen HTTP-Verbindungen und SSL/TLS-Verschlüsselung. Für die eindeutige Authentifizierung von Servern und Domains sind SSL/TLS-Zertifikate erforderlich, die den öffentlichen Schlüssel für den Aufbau der gesicherten Sitzungen zur Verfügung stellen. Sobald die Rechtmäßigkeit der Domain sichergestellt ist und die notwendigen Schlüsselpaare zwischen Client und Webserver ausgetauscht wurden, kann eine geschützte HTTPS-Verbindung im Internet aufgebaut werden. Die Verschlüsslung erschwert es Angreifern, den Datenverkehr bei der Übertragung zu belauschen oder zu manipulieren.

Die Myra DDoS Protection filtert auch HTTPS-geschützten Traffic und erlaubt eine einfache Verwaltung der dafür benötigten SSL/TLS-Zertifikate. Darüber hinaus sorgt das Myra-Expertenteam mittels SSL-Cipher-Management dafür, dass die TLS-Konfiguration stets den aktuellen Sicherheitsstandards entspricht.