GlobalSign Blog

26 Jun 2018

Was ist der Unterschied zwischen HTTP und HTTPS?

Moment mal, gibt es wirklich zwei davon? Gelegenheitsuser bemerken es selten, aber HTTP (oder http://) und HTTPS (https://) sind beides Optionen für den Anfang einer URL und zeigen einen wichtigen Unterschied bei den ganzen Webseiten, die Sie täglich besuchen. Auch wenn Sie nicht sehr daran interessiert sind, herauszufinden, wie dieses Zeug funktioniert, gehen wir jede Wette ein, dass dieser Artikel Ihren Horizont erweitern wird. Betrachten Sie dies als Ihre erste Lektion, wenn Sie mehr über Internetsicherheit erfahren möchten.

Dies ist der Unterschied zwischen HTTP und HTTPS, wie er durch diese tolle Infografik von FirstSiteGuide erklärt wird. Im Folgenden werde ich die wichtigsten Punkte erklären.

HTTP: Keine Datenverschlüsselung implementiert

Jeder URL-Link, der mit HTTP beginnt, verwendet eine einfache Art des "Hypertext Transfer Protocol". Dieses wurde Anfang der 1990er Jahre von Tim Berners-Lee geschaffen, als das Internet noch in seinen Kinderschuhen steckte. Mit diesem Netzwerkprotokollstandard können Webbrowser und Server durch den Austausch von Daten miteinander kommunizieren.

HTTP wird auch als "ein zustandsloses System" bezeichnet, was bedeutet, dass es eine Verbindung bei Bedarf aktiviert. Sie klicken auf einen Link, um eine Verbindung anzufordern, und Ihr Webbrowser sendet diese Anforderung an den Server, der durch Öffnen der Seite antwortet. Je schneller die Verbindung ist, desto schneller werden Ihnen die Daten angezeigt.

Als "Application Layer Protocol (Protokoll der Anwenderschicht)" konzentriert sich HTTP auf die Anzeige der Informationen, kümmert sich aber weniger darum, wie diese Informationen von einem Ort zum anderen gelangen. Unglücklicherweise bedeutet dies, dass HTTP abgefangen und möglicherweise verändert werden kann, wodurch sowohl die Informationen als auch der Informationsempfänger (also Sie) angreifbar werden.

HTTPS: Verschlüsselte Verbindungen

HTTPS ist nicht das Gegenteil von HTTP, sondern sein jüngerer Cousin. Die beiden sind im Wesentlichen gleich, da sich beide auf das gleiche "Hypertext-Transfer-Protokoll" berufen, durch das es möglich wird, angeforderte Web-Daten auf Ihrem Bildschirm anzuzeigen. Aber HTTPS ist doch etwas anders, fortgeschrittener und viel sicherer.

Einfach gesagt, das HTTPS-Protokoll ist eine Erweiterung von HTTP. Das "S" in der Abkürzung stammt vom Wort „Secure (sicher)“ und es wird von Transport Layer Security (TLS) [der Nachfolger von Secure Sockets Layer (SSL)] unterstützt, der Standard-Sicherheitstechnologie, die eine verschlüsselte Verbindung zwischen einem Webserver und einem Browser herstellt.

Ohne HTTPS werden alle Daten, die Sie auf der Website eingeben (wie Ihr Benutzername/Passwort, Kreditkarten- oder Bankdaten, sonstige Daten die über Formulare übermittelt werden usw.), unverschlüsselt gesendet und sind daher anfällig für Abfangen oder Belauschen. Aus diesem Grund sollten Sie immer überprüfen, ob eine Website HTTPS verwendet, bevor Sie irgendwelche Daten eingeben.

Zusätzlich zur Verschlüsselung der Daten, die zwischen dem Server und Ihrem Browser übertragen werden, authentifiziert TLS auch den Server, mit dem Sie sich verbinden, und schützt die übertragenen Daten vor Manipulationen.

Mir hilft es, wenn ich es mir so vorstelle: HTTP in HTTPS entspricht einem Reiseziel, während SSL einer Reise entspricht. Das erste ist dafür zuständig, die Daten auf Ihren Bildschirm zu bekommen, und das zweite managt den Weg dorthin. Mit vereinten Kräften bewegen sie Daten auf sichere Weise.

Die Vor- und Nachteile von HTTPS

Wie bereits erwähnt, trägt HTTPS dazu bei, die Cyber-Sicherheit zu gewährleisten. Es ist ohne Zweifel eine bessere Netzwerkprotokolllösung als sein älterer Cousin HTTP.

Aber hat HTTPS alles nur Vorteile? Vielleicht gibt es doch einen Nachteil? Lassen Sie es uns herausfinden.

Die Vorteile des Einsatzes von HTTPS

Die oben genannten Sicherheitsvorteile - Authentifizierung des Servers, Verschlüsselung der Datenübertragung und Schutz des Austauschs vor Manipulation - sind die offensichtlichen Hauptvorteile des Einsatzes von HTTPS. Websitebetreiber möchten und müssen die Daten ihrer Besucher schützen (HTTPS ist tatsächlich eine Voraussetzung für Websites, die Zahlungsinformationen gemäß dem PCI-Datensicherheitsstandard erfassen), und Websitebesucher möchten sicher gehen, dass ihre Daten sicher übertragen werden.

Die wachsende Nachfrage nach Datenschutz und -sicherheit seitens der Öffentlichkeit ist ein weiterer Vorteil für den Einsatz von HTTPS. Laut We Make Websites erfolgen tatsächlich 13% aller Warenkorbabbrüche aufgrund von Bedenken über die Zahlungssicherheit. Websitebesucher möchten wissen, dass sie Ihrer Website vertrauen können, insbesondere wenn sie finanzielle Daten eingeben. Der Einsatz von HTTPS ist eine Möglichkeit, dies zu tun (d. h. dies ist eine Möglichkeit, Ihren Besuchern zu zeigen, dass alle ihre eingegebenen Informationen verschlüsselt werden).

HTTPS kann auch bei Ihrer SEO helfen. Bereits 2014 hat Google HTTPS als Ranking-Signal angekündigt. Seitdem zeigen einige Studien und einzelne Erfahrungen von Unternehmen, die HTTPS implementiert haben, eine Korrelation mit höheren Rankings und Sichtbarkeit der Seite.

Browser bemühen sich auch, den Einsatz von HTTPS zu verstärken, indem sie UI-Änderungen implementieren, die sich negativ auf Nicht-HTTPS-Sites auswirken. So kündigte Google Anfang dieses Jahres an, dass Chrome ab Juli (nur noch ein paar Monate bis dahin!) alle HTTP-Websites als nicht sicher kennzeichnen wird.

Geplante Änderungen der Chrome-Benutzeroberfläche nach Googles Original-Ankündigung im Februar 2018 (Quelle)

Selbst wenn Sie sich jetzt eine HTTP-Site (in Chrome 66) ansehen, werden Sie feststellen, dass Google eine Meldung hinzugefügt hat, wenn Sie auf das Symbol "Weitere Informationen" in der Adressleiste klicken, die Besucher darauf aufmerksam macht, dass ihre Verbindung nicht sicher ist.

Beispiel einer HTTP-Site-Warnung in Chrome 66 (Dank an badssl.com für die Beispiel-HTTP-Site)

Firefox hat auch Pläne angekündigt, HTTP-Sites zu kennzeichnen. Stellen Sie sich die Auswirkungen davon auf Ihren Markenaufbau und Ihr Marketing, Ihre Kundenakquise und Ihre Verkäufe vor. Die einzige Möglichkeit, sich der anstehenden Änderung zu stellen, besteht darin, sie anzunehmen - holen Sie sich HTTPS auf Ihre Website!

Das sollten Sie vor dem Wechsel zu HTTPS beachten

Obwohl der Vorgang des Wechsels von HTTP zu HTTPS eine Einbahnstraße ist, gibt es immer noch viele Leute, die wahrscheinlich wegen der großen Anzahl möglicher Optionen auf ein Nebengleis geleitet werden.

Kurz gesagt, der bereits erwähnte Prozess besteht aus diesen vier Schritten:

  1. Ein SSL-Zertifikat beschaffen von einer vertrauenswürdigen Zertifizierungsstelle
  2. Installation des Zertifikats auf dem Hosting-Account Ihrer Website
  3. Einrichtung von 301 Weiterleitungen durch Bearbeiten der .htaccess-Datei in Ihrem Stammordner durch Hinzufügen von:
    1. RewriteEngine On
    2. RewriteCond %{HTTPS} off
    3. RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    4. Suchmaschinen darüber informieren, dass sich die Adresse Ihrer Website geändert hat und dass danach jeder, der Ihre Website besucht, automatisch an die HTTPS-Adresse weitergeleitet wird.

Wenn Ihnen das immer noch kompliziert erscheint, machen Sie sich keine Sorgen. Ihre Möglichkeiten sind nicht erschöpft!

Viele Hosting-Unternehmen bieten heutzutage SSL-Zertifikate als Teil ihrer Dienste an und erledigen den Großteil der Arbeit selbst (die ersten drei der vier oben genannten Schritte). Sie müssen nur Ihre Besucher auf die neuen Adressen hinweisen. Aber Vorsicht! Dies kann Sie ein paar zusätzliche Euro kosten.

Die Zukunft

Wie dem auch sei, das Internet hat mittlerweile mehr als 4 Milliarden Nutzer, Content-Konsumenten, Shopper und dergleichen. Die Kombination aus Benutzerforderungen (Website-Besucher sind sich der Datensicherheit mehr bewusst als je zuvor), Vorschriften (z. B. PCI DSS) und Unterstützung durch Browser (z. B. Pläne, HTTP-Websites als nicht sicher zu kennzeichnen) macht deutlich, dass der vollständige Übergang von HTTP zu HTTPS bald fällig sein wird.

Über den Autor

Duke Vukadinovic arbeitet für FirstSiteGuide.com. Er ist begeistert von der Internet-Welt und kann Web-Newbies hilfreich zur Seite stehen, viele erfolgreiche Blogs in verschiedenen Nischen zu erstellen.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen