HTTPS-Verschlüsselung und SSL-Zertifikat: Wo liegt der Unterschied?

Wer sich im Internet bewegt, stolpert immer wieder über Akronyme wie HTTPS oder SSL – und das Versprechen, Daten damit sicher und verschlüsselt übertragen zu können. Doch um welche Daten geht es dabei und welchen Risiken setzt man sich ohne HTTPS und SSL aus? Wir erklären, was Begriffe wie HTTP, HTTPS oder SSL bedeuten und welche Vorteile ein sicheres  Übertragungsprotokoll bietet.

Viele der bis heute etablierten Technologien waren bereits fester Bestandteil des „frühen“ World Wide Webs. Dynamisches HTML (Hypertext Markup Language) mit Sprungmarken (Links) galt als Revolution konventioneller und linear aufgebauter Textdateien. Um diese HTML-Dateien als Grundlage für jede Webseite zwischen Webserver und Webbrowser übertragen zu können, wurde schließlich das Hypertext Transfer Protocol (HTTP) als Lösung konzipiert.

HTTP als Basis für die nötige Kommunikations-Verbindung im Internet

Die Funktionsweise des Hypertext Transfer Protocol ist recht simpel: Der Webbrowser fordert den Inhalt einer HTML-Datei beim Host an. Der Host ist dabei in der Regel eine Domain – also eine menschenlesbare Adresse, die aus einem Namen und einer Domainendung wie beispielsweise .de besteht. Diese Domain wird von global agierenden DNS-Servern in die IP-Adresse des Servers aufgelöst. Die Anfrage des Webbrowsers wird nun direkt an diese IP-Adresse durchgereicht.

Der Webserver ermittelt nun den Inhalt der angeforderten HTML-Datei und gibt diesen zusammen mit wenigen Header-Informationen an den Webbrowser zurück. Der Header umfasst dabei Daten wie das verwendete Datenformat und Informationen zur Webserver-Software.

Die wohl wichtigste Information ist jedoch der Status-Code, der als erstes im Header zu finden ist und sowohl vom Webbrowser als auch von Suchmaschinen ausgewertet wird. Dieser Code gibt Aufschluss darüber, ob der Request erfolgreich war. Alternativ informiert er auch über nicht mehr verfügbare oder umgezogene Inhalte.

Übersicht über die häufigsten HTTP(S) Status-Codes

• 2xx (OK) – Erfolgreiche Anfrage
• 301 (Moved permanently) – Die angefragte Ressource steht unter einer neuen URL bereit. Es erfolgt eine Weiterleitung auf die neue URL.
• 400 (Bad request) – Die Anfrage war fehlerhaft.
• 401 (Unauthorized) – Für die Anfrage ist eine Autorisierung nötig.
• 403 (Forbidden) – Die Anfrage wurde mangels Berechtigung des Clients nicht durchgeführt.
• 404 (Not found) – Die angefragte Ressource wurde nicht gefunden.
• 410 (Gone) – Die angefragte Ressource wurde dauerhaft entfernt.

„Einfaches“ Hypertext Transfer Protocol läuft ohne Verschlüsselung

HTTP sieht für die Datenübertragung zwischen Client (Webbrowser) und Webserver keine Verschlüsselung vor. Sämtliche Daten werden also in auslesbarem Klartext durch das Netzwerk geschickt. Nun fragt man sich, wer denn bei einer solchen Kommunikation “mithören” und die Daten ausspionieren könnte. Ist das Risiko etwa nur theoretischer Natur? Das ist es nicht. Denn jeder, der Zugang zum gleichen Netzwerk hat, könnte den Datentransfer mit geeigneter Software abhören.

HTTPS schützt Netzwerke durch SSL-Verschlüsslung

Entscheidend ist dabei auf Clientseite die Topologie des Netzwerks inklusive Routern. Der Benutzer sollte sich also die Frage stellen, welchen Weg der bilaterale Datentransfer nimmt. Erfolgt der Zugriff aus einem großen unverschlüsselten Netzwerk oder ist man möglichweise sogar über ein öffentliches WLAN mit dem Internet verbunden, sind Routing und mögliche Teilnehmer kaum noch überschaubar.

Rein technisch wurde dieses Problem in der Theorie bereits 1994 durch die Einführung des HTTPS (HTTP Secure) Protokolls gelöst. Ursprünglich von Netscape entwickelt, wurde der HTTP-Standard durch eine SSL-Verschlüsselungsebene ergänzt. Um was es sich dabei genau handelt, erklären wir gleich noch genauer.

Doch nochmal zurück zum WWW-Geschichtsunterricht: Eine theoretische Lösung war es deshalb, weil die reine Existenz der HTTPS-Technologie natürlich nicht ausreicht. Das HTTPS-Protokoll hilft niemandem, solange die Verwendung nicht obligatorisch ist und der Großteil der Webseiten noch immer auf HTTP und Übertragung in Klartext setzt.

DSGVO macht HTTPS und SSL-Zertifikate endgültig zum Web-Standard

In der Praxis waren Internetnutzer also viele Jahre lang noch weiter dem Risiko einer unverschlüsselten Datenübertragung ausgesetzt. Zum Standard wurde es vorerst nur bei der Übertragung hochsensibler Daten, beispielsweise im Bereich des Onlinebankings. Die Initialzündung für eine flächendeckende verschlüsselte Datenübertragung im Internet war die Einführung der DSGVO. Mit dem Inkrafttreten zum 1. Januar 2016 wurde hier zum Schutz personenbezogener Daten erstmalig auch eine SSL-Verschlüsselung via HTTPS vorgeschrieben.

Grundsätzlich war es dem Verbraucher nicht zuzumuten, sich selbst über die Sicherheit der Datenübertragung zu informieren. Entsprechend gibt die DSGVO allen Webseitenbetreibern vor, dass bei der Übertragung personenbezogener Daten grundsätzlich eine Verschlüsselung gewährleistet sein muss. Sobald es also zu einer direkten Interaktion, beispielsweise durch ein Kontaktformular kommt, muss der Webserver über entsprechende Absicherung verfügen.

Erfüllt eine Webseite dieses Kriterium nicht, drohen Strafen durch Datenschutzbehörden und Abmahnungen durch Mitbewerber.

SSL-Zertifikate sind der Schlüssel für eine sichere Verbindung

Nun wissen wir, was HTTPS bedeutet und dass es die um eine Verschlüsselung ergänzte Version von HTTP ist. Doch was ist eigentlich ein SSL-Zertifikat und wofür wird es benötigt?

SSL steht für “Secure Sockets Layer”, was die Erweiterung um eine Verschlüsselungs-Ebene umschreibt. Nur wenn ein gültiges SSL-Zertifikat auf dem Server eingebunden wird, signalisiert der Webbrowser dem Besucher eine aktive Verschlüsselung. In der Regel kennzeichnet ein kleines (grünes) Schloss links in der Adresszeile, dass Daten sicher übertragen werden.

Praktisch: Werden Daten über HTTPS übertragen und ist kein gültiges SSL-Zertifikat eingebunden, erhalten Besucher eine Warnung beim Aufruf der Webseite. Einer Datenübertragung kann dann zwar noch immer explizit zugestimmt werden, doch die meisten Besucher werden vermutlich einen Absprung vorziehen.

Webseitenbetreiber, die ein SSL-Zertifikat beantragen, müssen sich für die Zuteilung bei der Zertifizierungsstelle autorisieren. Das Zertifikat selbst enthält dann später sowohl Informationen über den Zertifikatsinhaber als auch über den Aussteller. Damit das Zertifikat von gängigen Webbrowsern akzeptiert wird, muss es von einer etablierten und vertrauenswürdigen Organisation ausgestellt sein.

Unterschiede bei den Kosten: SSL-Verschlüsselung gibt`s auch für wenig Geld?

Ein SSL-Zertifikat kann man in den meisten Fällen direkt über den eigenen Webhosting-Anbieter beziehen. Je nach Art des Zertifikats und der benötigten Domainabdeckung sind die anfallenden Kosten jedoch sehr unterschiedlich. Einfache SSL-Zertifikate, die für eine einzige Domain(variante) funktionieren, sind oft schon ab wenigen Euro pro Monat erhältlich. Besonders umfangreiche Wildcard SSL-Zertifikate, die neben der Hauptdomain auch beliebig viele Subdomains abdecken, kosten dagegen deutlich mehr – aber meist auch nicht die Welt.

Geld sparen mit kostenlosen SSL-Zertifikaten? Ja, aber…

Wer Kosten sparen möchte, kann zwar grundsätzlich versuchen, auf Gratis-Zertifikate von Anbietern wie “Let’s encrypt” oder “SSL for Free” zurückgreifen. Ob die Einbindung eines solchen Basis-Zertifikates von Ihrem Hosting-Anbieter jedoch unterstützt wird, sollten Sie aber besser im Vorfeld klären.

Doch das ist nicht das Hauptproblem bei vielen kostenlosen Spar-Zertifikaten: Achten Sie auch unbedingt auch auf die Laufzeit eingebundener Free-Zertifikate – ist das Datum überschritten, werden Ihre Besucher auf eine nicht vertrauenswürdige Verbindung hingewiesen. Und oft liegt die Laufzeit nur bei wenigen Wochen.

SSL und HTTPS als Qualitätsmerkmal moderner Webseiten – ohne geht’s nicht!

Webseiten-Betreiber sollten sich spätestens seit Einführung der DSGVO darüber bewusst sein, dass eine valide SSL-Verschlüsselung unverzichtbar ist. Eine Datenübertragung über HTTPS bietet jedoch auch abseits der Gesetzes-Konformität erhebliche Vorteile. Sie steht für Seriosität, gibt Ihren Besuchern ein gutes Gefühl und schafft somit Vertrauen.

Hinzu kommt, dass auch Suchmaschinen und Google im Speziellen eine unverschlüsselte Datenübertragung negativ bewerten – folglich leidet sogar das Ranking.

QUELLEN:

• https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol
• https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
• https://de.wikipedia.org/wiki/HTTP-Statuscode

Titelmotiv: Bild von Tumisu auf Pixabay

• Über
• Letzte Artikel

Host Europe

Hinter Ihrem Web-Erfolg steht höchste Leistung. Wir erfüllen auch Ihre Hosting-Wünsche – mit engagierten Experten und führenden Technologien. Host Europe - Professionelle Hosting Services für Privatkunden & Unternehmen.

Letzte Artikel von Host Europe (Alle anzeigen)

• Wie installiere ich ein Kontrollpanel wie cPanel auf meinem VPS? - 18. April 2024
• Wie sicher ist WordPress Hosting? - 16. April 2024
• Material Design: Googles grafischer Werkzeugkasten unter der Lupe - 9. April 2024