Worin liegt der Unterschied HTTPS und HTTP?
denisismagilov / stock.adobe.com
12.11.2019 Fachinformation 205 0

HTTPS-Verschlüsselung – Was das heißt und wie es funktioniert

Sobald man ins Internet geht, sind diese Buchstaben immer im Blick: HTTPS. Manchmal sieht man auch noch HTTP. Aber was genau bedeutet das eigentlich? Und gibt es einen Unterschied zwischen HTTPS und HTTP?

Kontakt

Hendrik Schäfer

Was bedeutet HTTPS und HTTP?

Mit HTTP (Hyper Text Transfer Protocol) oder HTTPS (Hyper Text Transfer Protocol Secure) können Daten im Internet zwischen dem Client (Webbrowser) und Server übertragen werden.
Der Client sendet dazu eine Anfrage (Request) an den Server, der eine Antwort (Response) an den Client zurückgibt. So können Daten zwischen einem Browser und einem Server hin- und hergeschickt werden. Das Problem dabei ist, dass andere Personen eine unverschlüsselte Kommunikation mitlesen können. Somit können vertrauliche Daten, wie Bankdaten, von einem so genannten „Man-in-the-middle-Angreifer“ kopiert oder sogar manipuliert werden. Das möchte niemand. Deshalb sollte die HTTP-Verbindung verschlüsselt werden.

Viele Server bieten eine solche Verschlüsselung an und dies kann man dadurch erkennen, dass die URL, also die Adresse des Servers, mit HTTPS (Hyper Text Transfer Protocol Secure) beginnt. Mit diesem Protokoll wird eine geschützte Verbindung zwischen dem Browser und Server aufgebaut. In beide Richtungen sind die Daten nun entsprechend verschlüsselt und können nicht mehr einfach kopiert oder manipuliert werden. 

Wie funktioniert die HTTPS-Verbindung?*

Bei einer HTTPS-Verschlüsselung arbeiten sowohl der Webbrowser (Client) und der Server mit einem nur für sie bekannten Schlüssel. Damit dieser Schlüssel nur für den Client und den Server einsehbar ist, wird dieser in drei Schritten generiert und übertragen:

  1. Der Server (z. B. ein Webshop oder eine Bank) schickt Dateninformationen für eine asymmetrische Verschlüsselung an den Client (Webbrowser). Asymmetrisch bedeutet, dass mit diesen Informationen andere Dateien verschlüsselt, aber nicht wieder entschlüsselt werden können. Andere könnten diese Dateninformationen zwar ausspionieren, aber erstmal nichts weiter damit anstellen.
  2.  Der Client (Webbrowser) kann einen geheimen symmetrischen Schlüssel generieren und verschlüsselt nun diesen mit den Dateninformationen vom Webshop auf eine sehr komplexe Weise und verschickt diesen zurück an den Server. Der Server besitzt die relevanten Informationen, um die asymmetrische Verschlüsselung öffnen zu können und gelangt so an den symmetrischen Schlüssel des Clients. Ein symmetrischer Schlüssel bedeutet, dass mit diesem Schlüssel Daten ver- und auch entschlüsselt werden können.
  3. Die gesamte nachfolgende Kommunikation zwischen Server und Client findet ab dann nur noch durch den gemeinsam bekannten symmetrischen Schlüssel statt - und das geschützt.

Selbst wenn der „Man-in-the-middle“ dazwischensteht und versucht, mit den ausspionierten Dateninformationen die Verschlüsselung zu öffnen, funktioniert das nicht.

*) am Beispiel der RSA-Methode

Um das Ganze bildlicher zu beschreiben:
Im ersten Schritt wird ein Schloss vom Webshop an den Client geschickt. Der „Man-in-the-middle“ kopiert sich das Schloss. Wenn der Client nun seine persönlichen Daten überträgt, verschließt er diese mit dem Schloss und verschickt ihn zurück an den Webshop. Wenn der Angreifer nun versucht das Schloss zu öffnen, hat er dafür „nur“ das kopierte gleiche Schloss. Und damit kann er das Schloss nicht öffnen. Der Webshop hat aber einen persönlichen Schlüssel, mit dem er das Schloss öffnen kann.

Wie wird die Echtheit des Kommunikationspartners gewährleistet?

Wenn der Webbrowser (Client) mit dem Server (z. B. Webshop oder Bank) kommuniziert, sollten beide Partner wissen, dass sie auch mit den richtigen kommunizieren. Denn es könnte auch sein, dass sich ein Angreifer (Man-in-the-middle) dazwischenschaltet und dem Client vorgaukelt der eigentliche Kommunikationspartner zu sein.
Damit dies nicht geschieht, ist ebenfalls die HTTPS-Verbindung zuständig. Denn neben der sicheren Datenübertragung kümmert sich die HTTPS-Verbindung auch um die Verifizierung des Kommunikationspartners. Dafür wird von einer unabhängigen Zertifikationsstelle (CA – Certification Authority) die Zuordnung einer Server-Identifikation (öffentlicher Schlüssel) zu einer rechtmäßigen Instanz geprüft und ein digitales Zertifikat ausgestellt.
Dieses Zertifikat ist durch einen Schlüssel, den nur die CA besitzt geschützt. Welcher CA vertraut wird, ist in jedem Webbrowser hinterlegt und wird regelmäßig aktualisiert.

In unserem Video erhalten Sie nicht nur weitere Informationen zu dem Thema, sondern diese auch noch anschaulich dargestellt. 

Hier kommen Sie zu unserem Video mit Untertiteln.

Haftungsausschluss

Trotz sorgfältiger Recherche können diese Texte unvollständig oder fehlerhaft sein. Für daraus entstehende Schäden an Personen oder Gegenständen übernehmen die Herausgeber keine Haftung.