HTTP und HTTPS im Browser

HTTP und HTTPS: Was ist der Unterschied?

IT-Sicherheit

HTTP und HTTPS: Was ist der Unterschied?

Die Protokolle HTTP und HTTPS sind wichtig für die Kommunikation im Internet und daher als Begrifflichkeiten oft im Netz anzutreffen. Aber wo liegt der Unterschied zwischen diesen beiden Protokollen? Wir haben alle Details.

Sobald Sie eine Adresse im Web-Browser eingeben und bestätigen, wird im Hintergrund ein Kommunikationsprotokoll gestartet, das zwischen Client (dem Browser) und Webserver (die Zielseite) vermittelt. Das ist der normale Ablauf beim Surfen im Netz.

Dabei stellt sich allerdings die Frage, welche Protokolle im Hintergrund agieren – und das spielt besonders bei der Sicherheit eine große Rolle.

Was ist HTTP?

Steht http:// (= Hypertext Transfer Protocol) vor der von Ihnen eingegebenen URL, dann ist das ein Zeichen für eine ungesicherte Verbindung.

Als einer der Grundbausteine für das World Wide Web stammt das HTTP-Protokoll aus den 90ern und hatte eine simple Aufgabe: Einen Standard erschaffen, der das Surfen im Netz reibungslos möglich macht.

Mithilfe des http-Protokolls werden Dateien von einem Client zum anderen im Internet angefordert und übertragen. Wurden in der Anfangszeit des WWW vor allem HTML-Dokumente per http übermittelt und dann als Webseiten angezeigt, können mittlerweile alle Arten von Daten über das Protokoll abgefragt werden.

Das funktioniert auch nach wie vor genau wie es soll, hat aber einen schwerwiegenden Haken: Das HTTP-Protokoll als sogenanntes Client-Server-Prinzip funktioniert einfach nur, interessiert sich aber nicht dafür, wie die Daten tatsächlich ausgetauscht werden.

Durch die unverschlüsselte Kommunikation von Client zu Webserver werden Sie angreifbar, da Kriminelle die Anfragen relativ einfach abfangen und manipulieren können. Das ist besonders dann gefährlich, wenn Transaktionen oder sensible Daten über diese Verbindung gesendet werden.

Was ist HTTPS?

HTTPS (= Hypertext Transfer Protocol Secure) ist nicht etwa das Gegenteil von HTTP, sondern eine logische Weiterentwicklung, die die übertragenen Daten zusätzlich kryptografisch verschlüsselt.

Sollten Sie eine Webseite besuchen, achten Sie bei sich im Browser auf das Schloss neben der URL, das eine gesicherte Verbindung via https:// signalisiert.

Die Funktion ist dabei so einfach wie effektiv: Der angesprochene Webserver authentifiziert sich mit einem Zertifikat, das zurück zum Client gesendet wird und sich dadurch als vertrauenswürdige Quelle auszeichnet.

Die Verschlüsselung der Verbindung erfolgt dabei via SSL/TLS. SSL (= Secure Sockets Layer) und dessen Nachfolger TLS (= Transport Layer Security) sorgen für eine erhöhte Sicherheit bei der Ansteuerung einer Webseite.

Zusätzlich benötigen Seitenbetreiber eine Zertifizierung, um die Authentifizierung zwischen Server und Domain eindeutig nachzuweisen – eine Art Sicherheitsschlüssel, der zwischen Besucher und Zielseite beim Besuch ausgetauscht wird. Dieses Zertifikat kann bei einschlägigen Zertifizierungsstellen beantragt und ausgestellt werden.

Welche Unterschiede existieren zwischen HTTP und HTTPS?

Das ist tatsächlich ist schnell erklärt, denn auf technischer Ebene funktionieren beide Protokolle absolut identisch. Der einzige Unterschied ist der zuvor angesprochene Sicherheitsaspekt, den HTTPS mit sich bringt. Aus diesem Grund existiert dieses Protokoll immer öfter im Netz – weil es gegenüber HTTP deutliche Vorteile bietet.

HTTPS bietet einen klaren Mehrwert auf technischer Ebene:

  • Eine SSL/TLS-Verschlüsselung
  • Ein spezielles Authentifizierungszertifikat
  • Eine eigene Adressierung in der URL-Leiste
  • Ein eigenes Schloss-Symbol im Browser

Weitere klare Vorteile für die Nutzung von HTTPS:

  • Kundenvertrauen: Muss der Nutzer hochsensible Daten eintragen, spielt Vertrauen eine wichtige Rolle. Ein Website-Nutzer wird seine Daten eher auf einer verschlüsselten Seite eintragen als auf einem nicht-verschlüsselten Web-Angebot.
  • Suchmaschinenoptimierung (SEO): Google ist stets bemüht, den Usern nur die besten Ergebnisse möglichst weit oben im Ranking anzubieten. Neben informativen Content spielt Sicherheit auch bei der Nutzerfahrung eine wichtige Rolle und authentifiziert die gerankte Webseite als seriöse Quelle.

Warum sollte man auf die sichere Verbindung setzen?

Auch wenn heute nicht jedes Webangebot auf eine verschlüsselte Kommunikation setzt, so wird dazu zumindest geraten. Die Gefahr, in den Fokus von Cyber-Kriminellen zu gelangen, ist nicht nur hoch, sondern durchaus realistisch −erst recht, wenn dem Angriff kein Schutz gegenübersteht.

Unverschlüsselte Verbindungen können von Kriminellen auf einfache Art und Weise ausgespäht und identifiziert werden. Über diese Verbindungen wird dann Schadsoftware eingeschleust, die über hinterlistig angepasste Webseiten verteilt werden.

Ein klassischer Vorgang wäre hier der Einsatz einer Man-in-the-Middle-Attacke (MITM). Hierbei können sich die Angreifer zwischen Besucher und Webserver einschleusen und beiden Parteien vorspielen, sie hätten es mit der jeweils anderen zu tun. Die Kommunikation findet also nicht wie geplant statt, sondern über die dritte zugeschaltete Person.

Man braucht hier nur wenig Fantasie, um sich auszumalen, was mit den übertragenen Daten geschieht, die unwissend abgefangen werden.

Zudem werden solche MITM-Attacken gerne eingesetzt, um noch offensiver vorzugehen und dabei das System des Nutzers und des dahinterliegenden Systems anzugreifen. Die Schäden, die durch solch ein Vorgehen entstehen, sind oft empfindlich.

Ein kleiner Tipp: Vor allem öffentliche WLAN-Verbindungen sind ein gern genutztes Ziel für Hacker, da hier nur niedrige oder überhaupt keine Sicherheitsbarrieren existieren. Hier gilt besondere Vorsicht!

Fazit: HTTPS ist die eindeutig bessere Wahl

Eine Umstellung auf das HTTPS-Protokoll ist zwar kein Muss, die Vorteile für Betreiber und Besucher liegen allerdings auf der Hand. Das haben mittlerweile viele Web-Anbieter selbst für sich erkannt, denn die zusätzliche Verschlüsselung spielt im Netz eine immer größere Rolle und das auch bei Webseiten, die nicht mit hochsensiblen Daten arbeiten.

HTTPS liefert nicht nur mehr Sicherheit, sondern schafft gleichzeitig Vertrauen. Daher sollte ein Umstieg auf das verschlüsselte Protokoll ernsthaft in Betracht gezogen werden. Vor allem, da der Prozess einer Umstellung weder kompliziert noch zeitintensiv ist.

Übrigens: Kennen Sie schon die Link11 Web Security Suite?

Die Web Security Suite von Link11 vereint alle wichtigen Dienste, um Webanwendungen auf allen Ebenen zu sichern und vor verheerenden Angriffen zu schützen.

Neben einem bewährten Web-DDoS-Schutz gesellen sich Bot-Management, Secure DNS, Secure CDN und eine Zero-Touch-WAF hinzu, um einen allumfassenden Schutz für Ihre Dienste zu bieten.

Link11 Web Security Suite