HTTP und HTTPS sind Protokolle, die es ermöglichen, Daten und Informationen in einem Netzwerk zu übertragen. Die bedeutendste Anwendung beider Standards ist die Darstellung von Internetseiten. Ohne die Verwendung eines der beiden Protokolle können keine Webseiten angezeigt werden. Doch worin bestehen die Gemeinsamkeiten und worin die Unterschiede zwischen HTTP und HTTPS?
Was ist HTTP?
HTTP steht für Hypertext Transfer Protocol und ist auf der Anwendungsebene für die Übertragung von Daten innerhalb eines Computernetzwerks zuständig. Die wichtigste Anwendung ist die Darstellung von Webseiten, aber HTTP ist nicht auf diese beschränkt. Das Protokoll stellt sicher, dass alle Informationen vom Browser und vom Webserver richtig interpretiert und wiedergegeben werden.
Entwickelt wurde HTTP in den frühen 1990er Jahren vom britischen Informatiker Sir Tim Berners-Lee, welcher derzeit an der Schweizer Forschungseinrichtung CERN tätig war. Mit der Vorstellung der Version HTTP/0.9 im Jahr 1991 schuf Berners-Lee die Grundlage für das heutige Internet.
Die damalige Version erlaubte das Herunterladen einfacher HTML-Dokumente. Doch seither wurde das Netzwerkprotokoll stetig weiterentwickelt und um zusätzliche Funktionen erweitert.
- Version 1: Im Jahr 1996 wurde HTTP/1 vorgestellt, welches die Übertragung von Binärdateien und das Senden von Header-Informationen ermöglichte.
- Version 1.1: Im Jahr 1999 wurde das Hypertext Transfer Protocol um Funktionen wie die Unterstützung von virtuellen Hosts, Ressourcen-Caching oder die Option, mehrere Dateien über eine TCP-Verbindung herunterladen zu können, erweitert.
- Version 2: Mit den wachsenden Anforderungen an das Internet wurde das Protokoll im Jahr 2015 um zusätzliche Features wie die Kompression von header-Daten und die parallele Übertragung von Anfragen ausgebaut.
- Version 3: Das aktuelle HTTP/3 basiert auf dem QUIC-Protokoll und ermöglicht eine noch schneller Datenübertragung.
Was ist HTTPS?
HTTPS steht für Hypertext Transfer Protocol Secure und baut auf dem HTTP-Standard auf. Dabei wird dessen Struktur um eine weitere Sicherungsebene ergänzt, sodass die Datenübertragung mit HTTPS nun verschlüsselt werden kann. Die Verschlüsselung erfolgt dabei über ein SSL- bzw. TLS-Zertifikat.
Um eine Verbindung über HTTPS zu realisieren, beantragt der Website-Inhaber ein SSL-Zertifikat bei einer entsprechenden Zertifizierungsstelle (CA). Dafür muss er der CA bestimmte Angaben wie den Domainnamen, seinen Standort oder den Namen seiner Organisation zur Verfügung stellen. Nachdem die CA die Angaben geprüft und verifiziert hat, stellt sie dem Antragsteller ein Zertifikat aus. Dieses enthält unter anderem
- den Domainnamen,
- die Zertifizierungsstelle,
- das Ausstellungs- sowie das Ablaufdatum,
- den öffentlichen Schlüssel und
- die SSL/TLS-Version
Nachdem der Antragsteller das Zertifikat erhalten hat, installiert er es auf seinem Webserver. Dabei wird der private Schlüssel des Zertifikats erzeugt. Dieser bleibt auf dem Server gespeichert und muss geheim gehalten werden.
Der öffentliche Schlüssel hingegen kann von jedem Browser verwendet werden, der auf den Server zugreifen möchte.
Ruft ein Browser die entsprechende Webseite auf, prüft er zunächst die Gültigkeit des vorliegenden SSL-Zertifikats, indem er die CA mit einer im Browser gespeicherten Liste von Zertifizierungsstellen vergleicht. Kann der Webbrowser die CA und die Gültigkeit des Zertifikats verifizieren, wird eine sichere Verbindung zum Server aufgebaut. Die Verschlüsselung der Datenübertragung ist nun aktiv.
HTTP vs. HTTPS: Welches Protokoll ist besser?
Die strengen Datenschutzbestimmungen der DSGVO sehen vor, dass personenbezogene Daten geschützt werden müssen. Dies beinhaltet auch eine Verschlüsselung der Datenübertragung. Somit ist die Verwendung von HTTPS bei jeder Anwendung zu empfehlen, bei der personenbezogene Daten übermittelt werden.
Die Empfehlung erstreckt sich insbesondere auf Anwendungen wie
- E-Commerce-Websites und Onlineshops
- Online-Banking-Plattformen
- Websites mit Anmelde- und Kontaktformularen
Darüber hinaus honorieren Suchmaschinen die Nutzung von HTTPS mit einem besseren Ranking. Somit hat sich die Verschlüsselung mittels SSL/TLS inzwischen als Standard etabliert und die reinen HTTP-Verbindungen weitgehend verdrängt.