Was ist HTTPS?

HTTPS (Hypertext Transfer Protocol Secure) ist eine sichere Version des HTTP-Protokolls, das das verwendet SSL /TLS Protokoll zur Verschlüsselung und Authentifizierung. HTTPS wird angegeben durch RFC 2818 (Mai 2000) und verwendet standardmäßig Port 443 anstelle von HTTP-Port 80.

Das HTTPS-Protokoll ermöglicht es Website-Benutzern, vertrauliche Daten wie Kreditkartennummern, Bankinformationen und Anmeldeinformationen sicher über das Internet zu übertragen. Aus diesem Grund ist HTTPS besonders wichtig für die Sicherung von Online-Aktivitäten wie Einkaufen, Bankgeschäfte und Remote-Arbeit. HTTPS wird jedoch schnell zum Standardprotokoll für alle Websites, unabhängig davon, ob sie sensible Daten mit Benutzern austauschen oder nicht.

HTTPS fügt hinzu Verschlüsselung, Beglaubigung und Integrität zum HTTP-Protokoll:

Verschlüsselung: Da HTTP ursprünglich als Klartextprotokoll konzipiert wurde, ist es anfällig für Abhören und Mann in der Mitte greift an. Durch Einbeziehen von SSL /TLS Durch die Verschlüsselung verhindert HTTPS, dass über das Internet gesendete Daten von Dritten abgefangen und gelesen werden. Durch Kryptographie mit öffentlichem Schlüssel und dem SSL /TLS HandschlagDurch die Erstellung eines gemeinsamen geheimen Schlüssels kann eine verschlüsselte Kommunikationssitzung sicher zwischen zwei Parteien eingerichtet werden, die sich noch nie persönlich getroffen haben (z. B. einem Webserver und einem Browser).

Authentifizierung: Im Gegensatz zu HTTP enthält HTTPS eine robuste Authentifizierung über SSL /TLS Protokoll. SSL / einer WebsiteTLS Bescheinigung enthält ein Öffentlicher Schlüssel dass ein Webbrowser verwenden kann, um zu bestätigen, dass vom Server gesendete Dokumente (z. B. HTML-Seiten) von jemandem digital signiert wurden, der über die entsprechenden Dokumente verfügt privater Schlüssel. Wenn das Serverzertifikat von einer öffentlich vertrauenswürdigen Person signiert wurde Zertifizierungsstelle (CA)B. SSL.com, akzeptiert der Browser, dass alle im Zertifikat enthaltenen identifizierenden Informationen von einem vertrauenswürdigen Dritten validiert wurden.

HTTPS-Websites können auch für konfiguriert werden gegenseitige Authentifizierung, in dem ein Webbrowser ein Client-Zertifikat vorlegt, das den Benutzer identifiziert. Die gegenseitige Authentifizierung ist nützlich für Situationen wie Remote-Arbeit, in denen eine Multi-Faktor-Authentifizierung wünschenswert ist, um das Risiko zu verringern Phishing oder andere Angriffe mit Diebstahl von Anmeldeinformationen. Weitere Informationen zum Konfigurieren von Client-Zertifikaten in Webbrowsern finden Sie unter diese Anleitung.

Integrität: Jedes Dokument (z. B. eine Webseite, ein Bild oder eine JavaScript-Datei), das von einem HTTPS-Webserver an einen Browser gesendet wird, enthält eine digitale Signatur, mit der ein Webbrowser feststellen kann, dass das Dokument nicht vorhanden ist von Dritten geändert oder auf andere Weise während des Transports beschädigt. Der Server berechnet a kryptografischer Hash des Inhalts des Dokuments, einschließlich des digitalen Zertifikats, das der Browser unabhängig berechnen kann, um zu beweisen, dass die Integrität des Dokuments intakt ist.

Zusammengenommen machen diese Garantien für Verschlüsselung, Authentifizierung und Integrität HTTPS zu einem viel Sichereres Protokoll für das Surfen und Abwickeln von Geschäften im Web als HTTP.

Zertifizierungsstellen verwenden drei grundlegende Validierungsmethoden bei der Ausstellung digitaler Zertifikate. Die verwendete Validierungsmethode bestimmt die Informationen, die im SSL / einer Website enthalten sein werden.TLS Zertifikat:

• Domain-Validierung (DV) Bestätigt lediglich, dass der vom Zertifikat abgedeckte Domänenname unter der Kontrolle der Entität steht, die das Zertifikat angefordert hat.
• Organisation / individuelle Validierung (OV / IV) Zertifikate enthalten den validierten Namen eines Unternehmens oder einer anderen Organisation (OV) oder einer einzelnen Person (IV).
• Extended Validation (EV) Zertifikate stellen den höchsten Standard für Internet-Vertrauen dar und erfordern die größte Anstrengung der Zertifizierungsstelle zur Validierung. EV-Zertifikate werden nur an Unternehmen und andere registrierte Organisationen ausgestellt, nicht an Einzelpersonen. Sie enthalten den validierten Namen dieser Organisation.

Weitere Informationen zum Anzeigen des Inhalts des digitalen Zertifikats einer Website finden Sie in unserem Artikel. Wie kann ich überprüfen, ob eine Website von einem legitimen Unternehmen betrieben wird?

Es gibt mehrere gute Gründe, HTTPS auf Ihrer Website zu verwenden und beim Surfen, Einkaufen und Arbeiten im Internet als Benutzer auf HTTPS zu bestehen:

Integrität und Authentifizierung: Durch Verschlüsselung und Authentifizierung schützt HTTPS die Integrität der Kommunikation zwischen einer Website und den Browsern eines Benutzers. Ihre Benutzer wissen, dass die von Ihrem Webserver gesendeten Daten nicht von Dritten während der Übertragung abgefangen und / oder geändert wurden. Und wenn Sie die zusätzliche Investition in EV- oder OV-Zertifikate getätigt haben, können diese auch die Informationen mitteilen kam wirklich von Ihrem Unternehmen oder Ihrer Organisation.

Datenschutz: Natürlich möchte niemand, dass Eindringlinge ihre Kreditkartennummern und Passwörter abrufen, während sie online einkaufen oder Bankgeschäfte tätigen, und HTTPS ist großartig, um dies zu verhindern. Aber würdest du wirklich Ich möchte, dass alles andere, was Sie im Internet sehen und tun, ein offenes Buch für alle ist, die Lust auf Schnüffeln haben (einschließlich Regierungen, Arbeitgeber oder jemand, der ein Profil erstellt) de-anonymisieren Ihre Online-Aktivitäten)? Auch hier spielt HTTPS eine wichtige Rolle.

Benutzererfahrung: Jüngste Änderungen an der Benutzeroberfläche des Browsers haben dazu geführt, dass HTTP-Sites als gekennzeichnet werden unsicher. Möchten Sie, dass die Browser Ihrer Kunden ihnen mitteilen, dass Ihre Website "nicht sicher" ist, oder ihnen beim Besuch eine durchgestrichene Sperre anzeigen? Natürlich nicht!

Kompatibilität: Aktuelle Browseränderungen bringen HTTP der Inkompatibilität immer näher. Mozilla Firefox hat kürzlich eine Option angekündigt Nur HTTPS-Modus, während Google Chrome sich stetig bewegt gemischten Inhalt blockieren (HTTP-Ressourcen, die mit HTTPS-Seiten verknüpft sind). In Verbindung mit Browser-Warnungen vor „Unsicherheit“ für HTTP-Websites ist leicht zu erkennen, dass die Schrift für HTTP an der Wand hängt. Im Jahr 2020 unterstützen alle gängigen Browser und Mobilgeräte HTTPS, sodass Sie keine Benutzer verlieren, wenn Sie von HTTP wechseln.

SEO: Suchmaschinen (einschließlich Google) verwenden HTTPS als Ranking-Signal beim Generieren von Suchergebnissen. Daher können Websitebesitzer einen einfachen SEO-Schub erhalten, indem sie ihre Webserver so konfigurieren, dass sie HTTPS anstelle von HTTP verwenden.

Kurz gesagt, es gibt keine guten Gründe mehr für öffentliche Websites, HTTP weiterhin zu unterstützen. Sogar die Regierung der Vereinigten Staaten ist an Bord!

HTTPS fügt hinzu Verschlüsselung zum HTTP-Protokoll durch Umschließen von HTTP in das SSL /TLS Protokoll (weshalb SSL als Tunnelprotokoll bezeichnet wird), sodass alle Nachrichten zwischen zwei vernetzten Computern (z. B. einem Client und einem Webserver) in beide Richtungen verschlüsselt werden. Obwohl ein Lauscher möglicherweise weiterhin auf IP-Adressen, Portnummern, Domänennamen, die Menge der ausgetauschten Informationen und die Dauer einer Sitzung zugreifen kann, werden alle tatsächlich ausgetauschten Daten durch SSL / sicher verschlüsselt.TLS, Einschließlich:

• URL anfragen (Welche Webseite wurde vom Kunden angefordert?)
• Inhalt der Webseite
• Abfrageparameter
• Headers
• Cookies

HTTPS verwendet auch SSL /TLS Protokoll für Beglaubigung. SSL /TLS verwendet digitale Dokumente, bekannt als X.509-Zertifikate kryptografisch binden Schlüsselpaare auf die Identität von Unternehmen wie Websites, Einzelpersonen und Unternehmen. Jedes Schlüsselpaar enthält a privater Schlüssel, die sicher gehalten wird, und a Öffentlicher Schlüssel, die weit verbreitet sein kann. Jeder mit dem öffentlichen Schlüssel kann ihn verwenden, um:

• Senden Sie eine Nachricht, die nur der Besitzer des privaten Schlüssels entschlüsseln kann.
• Vergewissern Sie sich, dass eine Nachricht mit dem entsprechenden privaten Schlüssel digital signiert wurde.

Wenn das von einer HTTPS-Website vorgelegte Zertifikat von einem öffentlich vertrauenswürdigen Benutzer signiert wurde Zertifizierungsstelle (CA), sowie SSL.comBenutzer können sicher sein, dass die Identität der Website von einem vertrauenswürdigen und streng geprüften Dritten überprüft wurde.

Im Jahr 2020 Websites, die kein HTTPS verwenden oder dienen gemischter Inhalt (Ressourcen wie Bilder über HTTP von HTTPS-Seiten bereitstellen) unterliegen Browsersicherheitswarnungen und -fehlern. Darüber hinaus gefährden diese Websites unnötig die Privatsphäre und Sicherheit ihrer Benutzer und werden von Suchmaschinenalgorithmen nicht bevorzugt. Daher können HTTP- und Mixed-Content-Websites erwarten Weitere Browser-Warnungen und -Fehler, geringeres Benutzervertrauen und schlechtere SEO als wenn sie HTTPS aktiviert hätten.

Eine HTTPS-URL beginnt mit https:// statt http://. Moderne Webbrowser zeigen auch an, dass ein Benutzer eine sichere HTTPS-Website besucht, indem links neben der URL ein geschlossenes Vorhängeschlosssymbol angezeigt wird:

In modernen Browsern wie Chrome, Firefox und Safari können Benutzer dies Klicken Sie auf das Schloss um zu sehen, ob das digitale Zertifikat einer HTTPS-Website enthält Informationen zur Identifizierung über seinen Besitzer.

Um eine öffentlich zugängliche Website mit HTTPS zu schützen, muss eine installiert werden SSL /TLS Bescheinigung von einem öffentlich vertrauenswürdigen unterzeichnet Zertifizierungsstelle (CA) auf Ihrem Webserver. SSL.com Wissensbasis Enthält viele hilfreiche Anleitungen und Anleitungen zum Konfigurieren einer Vielzahl von Webserverplattformen zur Unterstützung von HTTPS.

Weitere allgemeine Anleitungen zur Konfiguration und Fehlerbehebung von HTTP-Servern finden Sie unter SSL /TLS Best Practices für 2020 und Fehlerbehebung bei SSL /TLS Browserfehler und Warnungen.