Was ist HTTPS?
Immer mehr Websites stellen ihre Angebote standardmäßig auf HTTPS um. Nutzer bekommen das nicht immer mit, und doch profitieren sie von mehr Sicherheit und Datenschutz durch HTTPS.
HTTPS: Das "S" steht für "Sicherheit"
Websites werden standardmäßig über das Protokoll HTTP (Hypertext Transfer Protokoll) übertragen. HTTPS ist eine Variante von HTTP, die zusätzliche Sicherheit verspricht. Diese wird erreicht durch eine Verschlüsselung der ausgetauschten Daten. Verschlüsselt wird mittels SSL (Secure Sockets Layer) oder des moderneren Nachfolgers TLS (Transport Layer Security), weswegen mitunter auch von "HTTP via SSL/TLS" die Rede ist.
Neben der Verschlüsselung der ausgetauschten Daten, die Mitlesen und Manipulation dieser Daten verhindert, gewährleistet HTTPS auch eine Überprüfung der Legitimität der besuchten Websites. Diese belegen nämlich durch ein von bestimmten Prüfstellen ausgestelltes Zertifikat, dass sie tatsächlich die legitime, unter einer bestimmten Domain agierende Website sind, die der Nutzer kontaktieren wollte, und dass sich niemand an den Sicherheits-Ressourcen zu schaffen gemacht hat. Moderne Browser überprüfen diese Zertifikate automatisch und warnen den Benutzer, wenn das Zertifikat unvollständig, abgelaufen, von einer unbekannten Zertifizierungsstelle ausgestellt oder in anderer Form nicht vertrauenswürdig ist oder wenn es ohne ersichtlichen Grund geändert wurde.
Einsatzgebiet: (Fast) das ganze Internet
Das erste Gebiet, in dem HTTPS flächendeckend zum Einsatz kam, war das Online-Shopping. Viele Internet-Kaufhäuser sicherten so ihren Zahlungsverkehr und den Austausch sensibler Kundendaten ab. Später zogen E-Mail-Provider und soziale Netzwerke nach, die die Login-Daten (insbesondere Passwörter) ihrer Kunden bei der Übertragung mit HTTPS schützen.
In den letzten Jahren verbreitete sich HTTPS immer weiter. Es wird standardmäßig verwendet, um die Authentizität von Websites sicherzustellen, Benutzerkonten abzusichern sowie die Kommunikation, Identität und Surfgewohnheiten von Nutzern zu schützen – und somit den Datenschutz für diese zu verbessern.
Zwar gab es in den letzten Jahren einige spektakuläre Angriffe auf HTTPS, allen voran solche, die den in der SSL/TLS-Bibliothek "OpenSSL" vorhandenen "Heartbleed-Bug" ausnutzten. Mittlerweile ist dieser Bug aber behoben. Werden Systeme durch aktuelle Updates mit der neueren, sichereren OpenSSL-Version nachgerüstet, besteht dieses Risiko also nicht mehr. Und trotz der Medienberichte über Heartbleed bleibt HTTPS eine nützliche und wichtige Technologie für Sicherheit und Datenschutz im Internet.
Warnungen nicht leichtfertig ignorieren
HTTPS-Verbindungen lassen sich (neben dem betreffenden Zusatz vor der Adresse) meist an einem Schloss-Symbol im Browser erkennen. Viele Browser färben zudem den HTTPS-Zusatz oder gleich die ganze Adresszeile grün, um eine gesicherte Verbindung anzuzeigen.
Das Vorhandensein von HTTPS alleine bietet aber noch keinen lückenlosen Schutz. Zu diesem müssen die Anwender selbst beitragen. Neben dem Aktualisieren verwendeter Software und insbesondere des Browsers können sich Nutzer vor allem durch umsichtiges Surf-Verhalten schützen. Heutige Webbrowser machen das leicht: Sie geben gut sichtbare und leicht verständliche Warnmeldungen aus, wenn eine durch HTTPS abgesicherte Website kein vertrauenswürdiges Zertifikat vorweisen kann. Diese Warnung sollte nicht leichtfertig ignoriert werden. Das gilt in besonderem Maße, wenn auf der betreffenden Website nie zuvor eine Warnung ausgegeben wurde.