HTTPS kann in vielen Formen auftauchen: als Schloss-Symbol in der Adressleiste, als verschlüsselte Website-Verbindung, als Präfix HTTPS. Doch wofür steht das Kürzel genau und warum wechseln gerade alle von HTTP zu HTTPS?
Was ist HTTPS?
Das “S” in HTTPS steht für “Sicher” (secure). Gemeint ist damit die sichere Version des Standardprotokolls HTTP (“Hypertext Transfer Protocol”) für die Übertragung von Webseiten. Dieses Protokoll verwendet Ihr Webbrowser bei der Kommunikation mit einem anderen Server.
Grundsätzlich stellt ein Webserver immer beide Varianten bereit: Sie können also Seiten als http://pctipps.de, als auch als https://pctipps.de aufrufen. In der Regel konfiguriert der Seitenbetreiber seine Seite aber so, dass alle Anfragen per HTTP automatisch auf die Version mit HTTPS umgeleitet werden.
So ist es auch bei pctipps.de (Probieren Sie es aus und achten Sie auf die Adresszeile in Ihrem Browser: http://pctipps.de)
Wie HTTP Sie gefährdet
Warum ist HTTP aber nun ein Problem? Wenn Sie eine Verbindung zu einer Website mit normalem HTTP herstellen, sucht Ihr Browser nach der IP-Adresse, die der Website entspricht, stellt eine Verbindung zu dieser IP-Adresse her und geht davon aus, dass sie mit dem richtigen Webserver verbunden ist. Daten werden im Klartext über die Verbindung gesendet. Ein Lauscher in einem Wi-Fi-Netzwerk, Ihr Internetdienstanbieter oder staatliche Geheimdienste wie die NSA können die von Ihnen besuchten Webseiten und die Daten sehen, die Sie hin und her übertragen.
Das ist ein großes Problem. Zum einen gibt es keine Möglichkeit zu überprüfen, ob Sie mit der richtigen Website verbunden sind. Vielleicht denken Sie, Sie haben auf die Website Ihrer Bank zugegriffen, aber tatsächlich befinden Sie sich in einem kompromittierten (also manipuliertem) Netzwerk, das Sie auf eine Betrüger-Website weiterleitet. Sie würden dann alle Ihre vertraulichen Daten nicht an die Bank, sondern direkt an die Betrüger übermitteln.
Passwörter und Kreditkartennummern sollten daher niemals über eine HTTP-Verbindung gesendet werden, da sie sonst von Dritten leicht gestohlen werden können.
Diese Probleme treten auf, weil HTTP-Verbindungen nicht verschlüsselt sind. HTTPS-Verbindungen sind es dagegen.
Wie die HTTPS-Verschlüsselung Sie schützt
HTTPS ist viel sicherer als HTTP. Wenn Sie eine Verbindung zu einem HTTPS-gesicherten Server herstellen, überprüft Ihr Webbrowser das Sicherheitszertifikat der Website und überprüft, ob es von einer legitimen Zertifizierungsstelle ausgestellt wurde. Auf diese Weise können Sie sicherstellen, dass Sie tatsächlich mit der realen Website, beispielsweise der Ihrer Bank, verbunden sind, wenn in der Adressleiste Ihres Webbrowsers “https://meinebank.com” angezeigt wird.
Wenn Sie vertrauliche Informationen über eine HTTPS-Verbindung senden, kann niemand diese während der Übertragung abhören. HTTPS ermöglicht damit ein sehr sicheres Online-Banking und Online-Einkäufe.
Es bietet auch zusätzlichen Schutz für das normale Surfen im Internet. Beispielsweise verwenden praktisch alle Suchmaschinen standardmäßig HTTPS-Verbindungen. Dies bedeutet, dass Dritte nicht sehen können, wonach Sie suchen. Gleiches gilt für Wikipedia und andere Websites. Mit HTTP kann jeder im selben Wi-Fi-Netzwerk Ihre Suchanfragen sehen, ebenso wie Ihr Internetdienstanbieter.
Das Unternehmen, welches das Sicherheitszertifikat ausgestellt hat, soll für diese Sicherheit garantieren. Leider stellen Zertifizierungsstellen aber manchmal fehlerhafte Zertifikate aus, und das System fällt aus. Tatsächlich wurde auch schon in Zertifizierungsstellen eingebrochen, um Zertifikate zu entwenden! Obwohl HTTPS also duetlich sicherer ist als HTTP, gibt es dennoch Schwachstellen.
Warum HTTP obsolet ist
In manchen Ländern dürfen Internetanbieter (Provider) Ihren Webbrowser-Verlauf abrufen und an Werbetreibende verkaufen. Wenn das Web auf HTTPS umgestellt wird, kann Ihr Internetdienstanbieter jedoch nicht so viele dieser Daten sehen. Er sieht nur, dass Sie eine Verbindung zu einer bestimmten Website herstellen, aber nicht mehr die einzelnen Seiten, die Sie aufrufen. Dies bedeutet mehr Privatsphäre und mehr Sicherheit.
Mit HTTP könnte Ihr Internetdienstanbieter die von Ihnen besuchten Webseiten sogar manipulieren. Man könnte einer Webseite Inhalte hinzufügen, die Seite ändern oder sogar Dinge entfernen. Beispielsweise könnten Provider diese Methode verwenden, um mehr Werbung in die von Ihnen besuchten Webseiten einzufügen. Tatsächlich gab es sogar entsprechende Vorfälle in der Vergangenheit. HTTPS verhindert solche Eingriffe.
Und natürlich haben auch Geheimdienste mitunter ein Interesse daran, die von Internetnutzern auf der ganzen Welt besuchten Webseiten zu überwachen. Durch den Wechsel zu HTTPS fällt es Regierungen auf der ganzen Welt schwerer, Ihre Surfgewohnheiten aufzudecken.
Umstieg auf HTTPS via Browser
HTTP2 ist eine wichtige neue Version des HTTP-Protokolls, das von nahezu allen Webbrowsern unterstützt wird. Es fügt Komprimierung, Pipelining und andere Funktionen hinzu, mit denen Webseiten schneller geladen werden können. Derzeit (Stand: 2020) nutzen erst relativ wenige Webseiten HTTP2, aber ein Detail ist im Zusammenhang mit HTTPS jetzt schon interessant: Um eine HTTP2-Verbindung aufbauen zu können, muss diese immer verschlüsselt sein, also HTTPS-basiert!
Auch Google hat reagiert und schon von etwa 2018 an Webseiten mit HTTPS einen kleinen Bonus gewährt — diese wurden in den Google-Suchergebnissen leicht priorisiert im Vergleich zu Seiten auf HTTP-Basis. Dies war ein Anreiz für viele Websites, respektive deren Betreiber, auf HTTPS zu migrieren.
So überprüfen Sie, ob Sie per HTTPS mit einer Website verbunden sind
Sie können feststellen, dass Sie mit einer Website mit einer HTTPS-Verbindung verbunden sind, wenn die Adresse in der Adressleiste Ihres Webbrowsers mit “https: //” beginnt. Außerdem wird ein Schlosssymbol angezeigt, auf das Sie klicken können, um weitere Informationen zur Sicherheit der Website zu erhalten.
Dies sieht in jedem Browser etwas anders aus, aber die meisten Browser zeigen das Kürzel https: // und das Schlüsselsymbol an. Einige Browser verbergen standardmäßig das “https: //”, sodass nur ein Schlosssymbol neben dem Domainnamen der Website angezeigt wird. Wenn Sie jedoch in die Adressleiste klicken oder darauf tippen, wird der Teil “https: //” der Adresse angezeigt.
Wenn Sie ein unbekanntes Netzwerk (beispielsweise ein öffentliches WLAN) verwenden und eine Verbindung zur Website Ihrer Bank herstellen, stellen Sie sicher, dass Sie das HTTPS und die richtige Website-Adresse sehen. Auf diese Weise können Sie sicherstellen, dass Sie tatsächlich mit der Website der Bank verbunden sind, obwohl auch dies keine Garantie ist, dass keine Daten abgegriffen werden. Wenn auf der Anmeldeseite kein HTTPS-Indikator angezeigt wird, sind Sie möglicherweise mit einer Betrüger-Website in einem gefährdeten Netzwerk verbunden.
Achten Sie auf Phishing-Tricks
HTTPS selbst ist also keine Garantie dafür, dass eine Website sicher und autorisiert ist. Einige clevere Betrüger haben erkannt, dass die Leute nach der HTTPS-Anzeige und dem Schlosssymbol suchen und sich möglicherweise alle Mühe geben, ihre Websites zu verschleiern. Sie sollten also immer vorsichtig sein: Klicken Sie nicht auf Links in Phishing-E-Mails, da Sie sich sonst möglicherweise auf einer clever getarnten Seite befinden. Betrüger können auch Zertifikate für ihre Betrugsserver erhalten. Theoretisch werden sie nur daran gehindert, sich als Websites auszugeben, die sie nicht besitzen. Möglicherweise wird eine Adresse wie https://google.com.hackerserver.com angezeigt. In diesem Fall verwenden Sie eine HTTPS-Verbindung, sind jedoch tatsächlich mit einer Subdomain einer Website mit dem Namen hackerserver.com verbunden – nicht mit Google.
Andere Betrüger ahmen möglicherweise das Schlosssymbol nach und ändern das Favicon ihrer Website, das in der Adressleiste angezeigt wird, in ein Schloss, um Sie zu täuschen. Achten Sie auf diese Tricks, wenn Sie Ihre Verbindung zu einer Website überprüfen.
