HTTPS (Hypertext Transfer Protocol Secure)
HTTPS (HTTP over SSL oder HTTP Secure) nennt man die Verwendung von SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) als Unterschicht des regulären HTTP-Applikations-Layers. HTTPS verschlüsselt und entschlüsselt Anfragen der Anwender an die Website und auch die Seiten, die vom Webserver zurückgegeben werden. Die Verwendung von HTTPS verhindert Lauschangriffe und MitM-Angriffe (Man-in-the-Middle). HTTPS wurde von Netscape entwickelt.
HTTPS und SSL unterstützen die Verwendung von digitalen Zertifikaten der Form X.509 auf der Server-Seite. Sollte es notwendig sein, kann der Nutzer somit den Sender authentifizieren. Solange kein anderer Port spezifiziert ist, verwendet HTTPS Port 443 und nicht den für HTTP üblichen Port 80. Darüber kommuniziert das Protokoll mit der darunterliegenden TCP/IP-Schicht.
Angenommen Sie besuchen eine Website, um deren Online-Angebot zu studieren. Sobald Sie fertig zum Bestellen sind, wird Ihnen eine URL (Uniform Resource Locator) zur Verfügung gestellt, die mit https:// anfängt. Rufen Sie eine entsprechende Webseite auf, wird sie mithilfe des HTTPS-Layers im Browser verschlüsselt. Die sogenannten Acknowledgements, die ihr Browser vom Server erhält, werden ebenfalls verschlüsselt kommuniziert. Das System überträgt sie mittels „https://“-URL und der HTTPS -Sublayer des Browsers entschlüsselt sie für den Anwender.
Wird HTTPS schlecht im Browser oder einer Server-Software implementiert, dann ist die Wirksamkeit fraglich. Das gilt auch, wenn die Systeme gewisse Algorithmen gar nicht unterstützen. Auch wenn HTTPS die Daten während der Kommunikation zwischen Server und Client absichert, wird sie am Endsystem entschlüsselt. Dort sind die Daten dann nur so sicher wie der jeweilige Host-Computer. SSL-Sicherheitslücken wie Heartbleed oder Poodle haben demonstriert, dass auch HTTPS kein Garant für eine sichere Übertragung ist.
HTTPS ist nicht mit S-HTTP zu verwechseln. Das ist ebenfalls eine für mehr Sicherheit erweiterte Version von HTTP, die von der Firma EIT (1995 von Verifone übernommen) entwickelt und als Standard vorgeschlagen wurde.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!