Die Zeichenfolge „HTTPS“ ist bei der Eingabe nahezu jeder Internet-Adresse ersichtlich. Doch kaum jemand macht sich Gedanken darüber, wofür sie steht und was der Unterschied zu „HTTP“ ist. Wir erklären heute in unserem Blog-Beitrag über diese Zeichen auf und was sie mit IT-Sicherheit zu tun haben.
Was bedeutet „HTTP“?
Die Zeichenfolge „HTTP“ ist eine Abkürzung und steht für „HyperText Transfer Protocol“. Sie macht deutlich, über welches Protokoll der eigene Browser mit einer Webseite kommuniziert. Dieses Protokoll bestimmt die Regeln, wie die Kommunikation abläuft.
Was ist der Unterschied zwischen „HTTPS“ und „HTTP“?
Beide Varianten gibt es schon sehr lange, genau genommen seit den 90ern. Der Unterschied steckt in der IT-Sicherheit. Das ursprüngliche „HTTP“ wurde durch ein Sicherheitslayer ergänzt und somit erweitert zu „HTTPS“. Das bedeutet es wurde eine Verschlüsselung der Verbindung eingeführt. Damit können die übertragenen Daten nicht so einfach mitgelesen oder verändert werden. Die Verschlüsselung läuft in der Regel über ein TLS- Zertifikat. (Früher wurden vor allem SSL-Zertifikate genutzt, die sind jedoch mittlerweile eher veraltet.) Die Zertifikate werden genutzt, um ein Mindestmaß an Sicherheit zu garantieren. Denn dadurch ist es schwieriger Daten wie den Login-Namen oder Passwörter abzufangen.
Welche Vor- und Nachteile bietet HTTPS?
Die durch HTTPS-Webseiten genutzten TLS-Zertifikate kosten die Webseiten-Betreiber Geld und früher gab es teilweise Probleme mit der Geschwindigkeit der Server bei der Encodierung. Diese sind aber heute kaum mehr spürbar und somit eher zu vernachlässigende Nachteile.
Die positiven Effekte und der Nutzen, der sich durch die Verschlüsselung ergibt, ist deutlich höher. Früher galt es als besonders sicher, aber heute wird man eher sagen, es ist einfach der „neue“ Standard und sollte immer genutzt werden. Aus diesem Grund werden Webseiten ohne diesen Standard mittlerweile auch durch den Browser als unsicher angezeigt.
Ist jede Seite mit „HTTPS“ automatisch „sicher“?
Durch das „Secure“ in HTTPS entsteht der Eindruck, dass Webseiten mit dieser Kennzeichnung automatisch sicher sind. Das ist jedoch nicht der Fall. Auch betrügerische Seiten, wie etwa Phishing-Seiten, können das Protokoll für ihre Verbindungen nutzen. HTTPS sorgt lediglich dafür, dass die Verbindung zwischen Nutzer und Website verschlüsselt ist. Es kann dadurch aber nicht auf die Vertrauenswürdigkeit einer Website geschlossen werden. Beispielsweise können die gesendeten Daten missbraucht werden, oder die Website bietet Schadprogramme zum Download an.
Zudem ist HTTPs seit über zehn Jahren absoluter Standard für Webseiten. Cyberkriminelle sind also darauf eingestellt und wissen auch, wie sie diesem Sicherheitsstandard umgehen können.
Warum ist HTTPS heute Standard?
In früheren Zeiten nutzten nur eingeschränkt Seiten wie Banken oder Shops HTTPS. Heute ist es jedoch überall. Gründe dafür sind unter anderem die erhöhte Wichtigkeit von Datenschutz (DSGVO), die auch für alle Webseiten gilt und auch für die Nutzer zunehmend wichtiger geworden ist. Zudem stufen Suchmaschinen Seiten, die nur „HTTP“ nutzen als weniger vertrauenswürdig ein und geben diesen eine entsprechend schlechtere Position im Ranking. Durch die Konkurrenz der Webseiten untereinander ist es entsprechend sinnvoll, die eigene Webseite mit einem Zertifikat zu sichern.
Wir raten Ihnen bei einer Webseite zukünftig zu schauen, ob sie über eine HTTPS-Verbindung läuft. Anderenfalls sollten Sie keine wichtigen Daten, wie persönliche Informationen oder gar Bankdaten, dorthin übertragen.