HTTPS: Täglich nutzen wir es, nur was ist das eigentlich?

von | 29. April 2014

Die Verschlüsselung mittels HTTPS soll Vertraulichkeit, Integrität und Identität schaffen. Dabei sollen die Informationen diskret bleiben und vor neugierigen Blicken geschützt werden. Doch was ist HTTPS? Wie funktioniert es und […]

Die Verschlüsselung mittels HTTPS soll Vertraulichkeit, Integrität und Identität schaffen. Dabei sollen die Informationen diskret bleiben und vor neugierigen Blicken geschützt werden. Doch was ist HTTPS? Wie funktioniert es und warum wird nicht ausschließlich mit diesem Netzwerkprotokoll gearbeitet?

Standardmäßig werden die meisten Websites über eine HTTP-Verbindung aufgebaut. Das macht es Angreifern leicht, den Netzwerkverkehr zu protokollieren oder sogar zu verfälschen, da diese Verbindung völlig unverschlüsselt ist. Die sichere Version dieses Protokolls ist HTTPS (Hypertext Transfer Protocol Secure). Diese wird hauptsächlich in sensiblen Bereichen verwendet, wo personenbezogene Daten übertragen werden. Beispielsweise bei Online-Banking oder Shops. HTTPS ermöglicht eine Verschlüsselung des Kommunikationskanals zwischen Internet-Browser (Client) und dem jeweiligen Webserver.

Doch wie funktioniert HTTPS überhaupt? Dazu haben wir den Senior Linux Consultant der Firma Heinlein Support GmbH Stephan Seitz gefragt.

HTTPS ist korrekterweise HTTP over SSL, also ‘Hypertext Transfer Protocol over Secure Socket Layer‘. […] SSL ist eine Transportschicht welche – für HTTP gesprochen – zwischen TCP und HTTP verwendet wird. Im Detail wird dabei über TCP zuerst keine HTTP-Verbindung aufgebaut, sondern eine SSL-Verbindung. Erst nachdem die SSL-Verbindung ausgehandelt wurde, bzw. zustande gekommen ist, werden auf dieser transportverschlüsselten Verbindung zwischen Webserver und Browser HTTP-Daten ausgetauscht. […] SSL [sorgt] für eine Identifikation des Kommunikationspartners. Es ist also sichergestellt, dass die beispielhaften Website-Logins auch wirklich zu dem Server geschickt werden, dem man diese anvertrauen möchte.

Seitz erklärt, dass die Identität durch Zertifikate sichergestellt wird, die ähnlich wie Ausweise im echten Leben funktionieren. Sogenannte „Certificate Authorities“ kurz CA, übernehmen dabei die Aufgabe der Identitätsprüfung und die Ausstellung des Zertifikats. Ein gültiges Zertifikat bestätigt die Glaubwürdigkeit der aufgerufenen Website und erlaubt die Kommunikation mit dieser. Mit einem authentifizierten Zertifikat wird somit eine sichere Übertragung mit HTTPS möglich. Der Nutzer erkennt diese sichere HTTPS-Verbindung an der Adressierung der URL und an einem kleinen Schloss im Browser, das durch Anklicken weitere Informationen über das verwendete Zertifikat anzeigt.

HSMW-Login

Nach Seitz ist HTTPS ein vernünftig aufgebautes Protokoll, das die Verschlüsselung und die Prüfung der Identität des Kommunikationspartners ermöglicht. Welche Stärke an Verschlüsselung jeweils gegeben ist und wie genau die Identität des Gegenüber geprüft wurde, liegt immer im Bereich der Implementierung, der Wahl der CA und der Konfiguration. Zum Thema Sicherheit ist es, nach Seitz, Aufgabe der Softwareentwickler, Fehler – die immer in Entwicklungsprozessen auftreten können – zügig zu beheben; Aufgabe der Administratoren und Serverbetreiber, die Konfigurationen und Zertifikate entsprechend aktuell zu halten; Aufgabe der Distributoren, der öffentlichen „Computer Emergency Response Teams“ kurz CERTs, und nicht zuletzt der Presse, Sicherheitsprobleme zu benennen und öffentlich zu machen.

Nun liegt natürlich die Frage nahe, warum im Netz nicht ausschließlich mit HTTPS gearbeitet wird, da es grundsätzlich sicherer als HTTP ist. Dazu Seitz: „Da das Internet – glücklicherweise – nicht zentral organisiert ist, liegt es natürlich immer in der Hand der Betreiber der jeweiligen Dienste, HTTPS anzubieten, und natürlich in der Aufgabe der Benutzer, sich um die Qualität der einzelnen Dienste zu informieren.“ Jürgen Seifert, Netzwerkadministrator der Hochschule Mittweida, gibt diesbezüglich noch zu bemerken, dass die Nutzung verschlüsselter Protokolle sicherlich zunehmen wird. Eine komplette Umstellung der Server auf HTTPS ist deutlich rechenintensiver und bedeutet somit für Betreiber großer Webserver enorme Investitionskosten in mehr und/ oder leistungsfähigere Server sowie höheren Energieverbrauch für die Rechenleistung der Verschlüsselung. Des Weiteren können dadurch die Antwortzeiten und die Datenmenge leicht ansteigen. Seifert findet daher den ausschließlichen Einsatz von HTTPS nicht in jedem Fall gerechtfertigt. Wo es sinnvoll ist – insbesondere bei der Eingabe sensibler Daten – sollten Serverbetreiber und Nutzer, so Seifert, darauf achten, eine HTTPS-Verbindung einzusetzen.

Zusammenfassend konstatiert Seitz, dass es leicht sei, Sicherheit auf die Betreiber von Diensten abzuwälzen. „Dummerweise muss man sich aber selbst darum bemühen, wenn man das Thema ernst nimmt. Absolute Sicherheit kann es nicht geben und um ein vernünftiges Maß an Sicherheit muss sich jeder Einzelne Gedanken machen.“ Ein richtiger Ansatz zum Thema Sicherheit ist es, nach Seitz, sich an erster Stelle über den Verbleib der eigenen Daten, also den Datenschutz zu informieren. „Wer, egal ob über HTTP oder HTTPS, seine Geheimnisse – seien sie persönlich oder technisch – im Netz verteilt, muss sich darüber im Klaren sein, dass Anbieter auch Sicherheitsprobleme haben. In Bezug auf den Transport der Daten, also dem Einsatzzweck von HTTPS, ist es in erster Linie wichtig, sich über das Zertifikat, also die Identität der Website zu informieren.“ Zudem empfiehlt Seitz, Browserwarnungen stets ernst zu nehmen, auch wenn sie irreführend sein könnten. Im Idealfall sollte man die Informationen lesen, statt sofort auf „akzeptieren“ oder „ignorieren“ zu klicken.

Text: Peter Bauch. Grafik: Peter Bauch, Vanessa Schwaar

 

<h3>Peter Bauch</h3>

Peter Bauch