1994 entwickelte das Software-Unternehmen Netscape ein verschlüsseltes Übertragungsprotokoll, um die Datensicherheit im Internet zu erhöhen: das HTTPS (Hypertext Transfer Protocol Secure). HTTP (Hypertext Transfer Protocol) ist seit jeher das Standard-Kommunikationsprotokoll im Internet, mit dem eine Website von einem Webserver in den Browser des Website-Besuchers übertragen wird. Umgekehrt kann aber auch der Anwender über HTTP Daten zum Webserver übermitteln: beispielsweise Zahlungsdaten. Weil diese Informationen über HTTP aber als Klartext übertragen werden, können Datendiebe diese ohne allzu großen Aufwand einsehen. Bei HTTPS sind die Daten verschlüsselt und somit geschützt.

Das Wichtigste in Kürze

  • HTTPS ist kein eigenständiges Kommunikationsprotokoll, sondern ein HTTP mit zusätzlichem Verschlüsselungsprotokoll für höhere Datensicherheit
  • Das Standard-Verschlüsselungsprotokoll für HTTPS ist TLS (Transport Layer Security), das seinen Vorgänger SSL (Secure Sockets Layer) inzwischen fast vollständig abgelöst hat
  • Neben der Datenverschlüsselung ermöglicht HTTPS – abhängig vom verwendeten Sicherheitszertifikat – auch die Identitätsbestätigung des Website-Betreibers. Das ist beim Online-Banking und Online-Shopping ein wesentliches Sicherheitsmerkmal

HTTPS – Verschlüsselung und Authentifizierung

HTTPS ist die verschlüsselte Version des Internet-Standardprotokolls HTTP. Dabei sichert das Verschlüsselungsprotokoll (heute meist TLS statt SSL) die Kommunikation zwischen Webserver und Browser gegen Datendiebstahl ab. Darüber hinaus kann HTTPS mit dem zugrundeliegenden Sicherheitszertifikat aber auch die Identität des Website-Betreibers bestätigen. Die Website weist sich gegenüber dem Besucher als diejenige aus, die er besuchen wollte – wie mit einem Personalausweis. Die heutigen Webbrowser wie Mozilla Firefox, Google Chrome, Apple Safari oder Microsoft Edge überprüfen das Zertifikat automatisch – der User muss nichts bestätigen. Er kann aber die Informationen zum Zertifikat durch einen Klick auf den HTTPS-Info-Button jederzeit ansehen.

So macht der Browser eine HTTPS-Verbindung kenntlich

Der Browser zeigt eine bestehende HTTPS-Verbindung durch ein kleines grünes Schloss links in der Adressleiste an. Die Adresse der aufgerufenen Website (URL) beginnt außerdem immer mit „https://“ statt mit „http://“.

Mit HTTPS sicherer unterwegs im Internet

Immer mehr Menschen erledigen Überweisungen per Online-Banking und kaufen fast täglich in Webshops ein. Wegen zunehmender Datendiebstähle müssen Website-Betreiber die Daten ihrer Kunden bestmöglich vor Angriffen schützen, um vertrauenswürdig zu bleiben. Das gilt nicht nur für die Datenspeicherung, sondern auch für die Datenübermittlung. Daher ist eine verschlüsselte Datenkommunikation über HTTPS nicht mehr nur für Online-Banken wichtig, sondern auch für Webshops oder Soziale Netzwerke. Das sieht Google offenbar genauso und bezieht die HTTPS-Verschlüsselung als positives Kriterium in das Ranking einer Website ein. Nicht zuletzt deshalb ist HTTPS bei vielen größeren Websites bereits Standard.

Die HTTPS-Verschlüsselungsprotokolle SSL und TLS

HTTPS wird häufig auch als „HTTP mit SSL“ bezeichnet. Gemeint ist meistens aber nicht die Verschlüsselung mit SSL, sondern die mit TLS. TLS (Transport Layer Security) ist die Weiterentwicklung des Verschlüsselungsprotokolls SSL (Secure Sockets Layer), das wegen einiger Sicherheitslücken kaum noch verwendet wird. Die sicherere, modernere TLS-Verschlüsselung kommt außer für HTTPS übrigens auch in der E-Mailkommunikation oder bei der Dateiübertragung über FTP (File Transfer Protocol) zum Einsatz.

Das SSL-Zertifikat als Voraussetzung für eine HTTPS-Verbindung

Eine HTTPS-Verbindung zwischen Webserver und Browser kann nur zustande kommen, wenn auf dem Server ein signiertes SSL-Zertifikat hinterlegt ist. Auf diesem „Ausweis“ einer Website liegen wesentliche Informationen wie Angaben zum Zertifikat-Inhaber und der öffentliche Website-Schlüssel. Zwar kann ein Website-Betreiber so ein SSL-Zertifikat auch selbst erstellen und signieren. Aber nur anerkannte Zertifizierungsstellen können die Vertrauenswürdigkeit und Authentizität einer Website wirklich unabhängig prüfen und bestätigen. Daher blenden die meistgenutzten Browser wie etwa Mozillas Firefox bei einem HTTPS-Verbindungsaufbau mit selbst erstellten und signierten Zertifikaten eine Warnmeldung ein. Gleiches gilt für abgelaufene oder in anderer Weise unsichere Zertifikate.

SSL-Zertifikate gibt es in drei Validierungsstufen

Die offiziellen Vergabestellen bieten Zertifikate in drei Validierungsstufen an. Je höher dabei die Validierungsstufe ist, desto größer ist auch die belegte Vertrauenswürdigkeit (und natürlich auch der Preis für das Zertifikat).

SSL-Zertifikat mit Domain-Validierung (DV)

Das Zertifikat mit Domain-Validierung (DV) ist die einfachste, schnellste und günstigste Zertifizierungsform. Bei diesem Zertifikat prüft die Zertifizierungsstelle lediglich, ob der Antragssteller die Domain verwenden darf. Weitere Angaben zum Antragsteller prüft sie nicht. Während der HTTPS-Verbindung werden im betreffenden Informationsfenster des Browsers keine dieser Angaben angezeigt. Das DV eignet sich folglich nicht zur vertrauensschaffenden Authentifizierung des Website-Betreibers.

SSL-Zertifikat mit Validierung der Organisation (OV)

Bei diesem Zertifikat erfasst die Zertifizierungsstelle zusätzlich zur Domain-Berechtigung auch Angaben zum Unternehmen oder der Organisation des Antragsstellers. Diese Angaben sind später im HTTPS-Informationsfenster des Browsers auch einsehbar. Dadurch erhöht sich die Vertrauenswürdigkeit einer Website deutlich im Vergleich zur einfachen Zertifizierung mit Domain-Validierung (DV).

SSL-Zertifikat mit Extended Validation (EV)

Die Extended Validation (erweiterte Validierung) stellt die höchste Sicherheitsstufe dar. Sie ist zeitaufwendiger und teurer als die anderen Zertifizierungen. Unternehmen wie Online-Banken, die mit sensiblen Kundendaten umgehen, präsentieren ihre Website mit einer EV als besonders vertrauenswürdig. Die Zertifizierungsstelle prüft die Domain-Berechtigung und holt darüber hinaus umfassende Informationen zum Unternehmen oder der Organisation ein. Hierfür gibt es einen festgeschriebenen Richtlinienkatalog, den ein freiwilliger Verbund von Zertifizierungsstellen und Browser-Herstellern verantwortet. Zertifizierungsstellen müssen sich regelmäßig selbst einer Überprüfung (Audit) stellen, um SSL-Zertifikate mit Extended Validation (EV) vergeben zu dürfen.

Doppelt hält besser: HTTPS und umsichtiges Surfverhalten

2014 machte der gravierende Programmfehler „Heartbleed-Bug“ in den älteren Versionen der TLS-/SSL-Bibliothek OpenSSL deutlich, dass auch eine Verschlüsselung über HTTPS angreifbar sein kann. Zwar wurde diese Sicherheitslücke in der Nachfolgeversion geschlossen. Aber mit der deutlichen Zunahme des „Phishings“ ist die Datensicherheit in einer Weise bedroht, dass das HTTPS als alleinige Sicherheitsmaßnahme im Web nicht ausreichen kann.

„Phishing“ bezeichnet den Versuch von Betrügern, an Zugangsdaten zu gelangen, um unter falscher Identität Bestellungen zu tätigen oder Bankkonten zu leeren. Zu diesem Zweck bauen Datendiebe beispielsweise die Websites bekannter Online-Shops oder Banken täuschend echt nach. Dann locken sie Nutzer – meist per E-Mail – auf diese gefälschten Websites, damit diese dort ihre Zugangs- und Zahlungsdaten hinterlassen.

Diese „Phishing“-Websites stellen entweder keine HTTPS-Verbindung zur Verfügung oder eine mit verdächtigem Zertifikat. Im zweiten Fall zeigt der Browser in der Regel eine Warnmeldung an, aber darauf sollte man sich nicht komplett verlassen. Internet-Nutzer können sich schützen, indem sie vor allem beim Online-Banking und Online-Shopping auf das HTTPS-Symbol in der Browserleiste achten und die Identität des Website-Betreibers überprüfen. Hierfür genügt ein Klick auf das grüne HTTPS-Schloss-Symbol. Banken warnen außerdem davor, auf gefälschte E-Mails zu reagieren und unbedacht die darin enthaltenen Links anzuklicken.

Jetzt DSL-Angebote vergleichen

Verivox NGG Siegel

Mit der Nirgendwo-Günstiger-Garantie von Verivox sind Sie auf der sicheren Seite. Sie haben Ihren Internet- bzw. Mobilfunktarif zum besten Preis gefunden. Sollte es denselben Tarif doch woanders günstiger geben, erstatten wir Ihnen die Preisdifferenz über 24 Monate (max. 100 Euro). Darauf geben wir Ihnen unser Wort. Die Garantie gilt ausschließlich für Tarife, die im Vergleichsrechner von Verivox gelistet sind und über die Bestellstrecke von Verivox abgeschlossen wurden.

Mehr erfahren

Internet+Telefon
  • Kostenlos Tarife vergleichen
  • Bis zu 650 € sparen
  • Schnell und sicher wechseln