Hypertext Transfer Protocol Secure (HTTPS)

 

HTTPS steht für Hypertext transfer protocol secure und ist ein Netzwerkprotokoll, das eine gesicherte HTTP-Verbindung zwischen Rechnern ermöglicht.

Hierbei werden die Daten über SSL/TLS verschlüsselt, damit sie abhörsicher sind. HTTPS-Verbindungen laufen über TCP. Der Standard für HTTPS-Verbindungen ist Port 443.

 

 
HTTPS im TCP/IP-Protokollstapel
Anwendung HTTPS
Transport SSL
TCP
Netzwerk IP
Netzzugang Ethernet Token
Ring
FDDI ...

Hierbei findet unter Verwendung des Diffie-Hellman-Schlüsselaustausch (benannt nach Whitfield Diffie und Martin Hellman) zunächst ein Austausch geheimer Schlüssel statt, um danach in einer weiteren Stufe die jeweiligen öffentlichen Schlüssel in Form digitaler Zertifikate sicher austauschen zu können, die danach zur Verschlüsselung der Nutzdaten genutzt werden, um abhörsichere Kommunikation zu gewährleisten.

Die größte Schwachstelle des HTTPS-Protokolls ist die Abhängigkeit von signierten Zertifikaten. Ohne ein signiertes Zertifikat ist das Protokoll verwundbar gegenüber dem sogenannten Man-In-The-Middle-Angriff. In der Praxis werden oft nicht signierte Zertifikate benutzt, wodurch die Sicherheit, die HTTPS bietet, weitestgehend verloren geht.

Neben den Server-Zertifikaten können auch signierte Client-Zertifikate nach X.509.3 erstellt werden. Dieses ermöglicht eine Authentifizierung der Clients gegenüber dem Server.