Geschäfts-, Technologie-, Internet- und Netzwerkkonzept. Junge Geschäftsfrau arbeitet an ihrem Laptop im Büro
Urupong / stock.adobe.com
16.05.2024

Hypertext Transfer Protocol Secure (HTTPS) – Was das heißt und wie es funktioniert

Wohl eher als „Verschlüsselung“ oder „https://“ bekannt, begleitet uns diese Funktion schon seit über 30 Jahren. Mittels dieser Buchstaben werden Daten abhörsicher im Internet transportiert. Doch wie das genau geschieht und welche Vorteile die Verbraucher*innen davon haben, erklären wir Ihnen hier.
Kontakt
Hendrik Schäfer
Fragen? Schreiben Sie uns!

Wie funktioniert die HTTPS-Verbindung?*

Bei einer HTTPS-Verschlüsselung arbeiten sowohl der Webbrowser (Client) als auch der Server mit einem nur für sie bekannten Schlüssel. Damit dieser Schlüssel nur für den Client und den Server einsehbar ist, wird dieser in drei Schritten generiert und übertragen:

  1. Der Server (z. B. ein Webshop oder eine Bank) schickt Dateninformationen für eine asymmetrische Verschlüsselung (den Public Key) an den Client (Webbrowser). Asymmetrisch bedeutet, dass mit diesen Informationen andere Dateien verschlüsselt, aber nicht wieder entschlüsselt werden können. Angreifer könnten diese Dateninformationen zwar mitschneiden, aber erstmal nichts weiter damit anstellen.
  2. Der Client (Webbrowser) kann einen geheimen symmetrischen Schlüssel generieren und verschlüsselt nun diesen mit den Dateninformationen vom Webshop (Public Key) und verschickt diesen zurück an den Server. Der Server besitzt die relevanten Informationen, um die asymmetrische Verschlüsselung öffnen (mit seinem Private Key) zu können und gelangt so an den symmetrischen Schlüssel des Clients. Ein symmetrischer Schlüssel bedeutet, dass mit diesem Schlüssel Daten ver- und auch entschlüsselt werden können.
  3. Die gesamte nachfolgende Kommunikation zwischen Server und Client findet ab dann nur noch verschlüsselt durch den gemeinsam bekannten symmetrischen Schlüssel statt.

Selbst wenn der „Man-in-the-middle“ dazwischensteht und versucht, mit den ausspionierten Dateninformationen die Verschlüsselung zu öffnen, funktioniert das nicht.

*) am Beispiel der RSA-Methode

Um das Ganze bildlicher zu beschreiben:

Im ersten Schritt wird ein Schloss vom Webshop an den Client geschickt. Der „Man-in-the-middle“ kopiert sich das Schloss. Wenn der Client nun seine persönlichen Daten überträgt, verschließt er diese mit dem Schloss und verschickt ihn zurück an den Webshop. Wenn der Angreifer nun versucht das Schloss zu öffnen, hat er dafür „nur“ das kopierte gleiche Schloss. Und damit kann er das Schloss nicht öffnen. Der Webshop hat aber einen persönlichen Schlüssel, mit dem er das Schloss öffnen kann.

Wie wird die Echtheit des Kommunikationspartners gewährleistet?

Verbindungsnetz im dunklen Server-Rechenzentrum
sdecoret / stock.adobe.com

Wenn der Webbrowser (Client) mit dem Server (z. B. Webshop oder Bank) kommuniziert, sollten beide Partner wissen, dass sie auch mit den richtigen kommunizieren. Denn es könnte auch sein, dass sich ein Angreifer (Man-in-the-middle) dazwischenschaltet und dem Client vorgaukelt der eigentliche Kommunikationspartner zu sein.

Damit dies nicht geschieht, ist ebenfalls die HTTPS-Verbindung zuständig. Denn neben der sicheren Datenübertragung kümmert sich die HTTPS-Verbindung auch um die Verifizierung des Kommunikationspartners. Dafür wird von einer unabhängigen Zertifikationsstelle (CA – Certification Authority) die Zuordnung einer Server-Identifikation (öffentlicher Schlüssel) zu einer rechtmäßigen Instanz geprüft und ein digitales Zertifikat ausgestellt.
Dieses Zertifikat ist durch einen Schlüssel, den nur die CA besitzt, geschützt. Welcher CA vertraut wird, ist in jedem Webbrowser hinterlegt und wird regelmäßig aktualisiert.

Haftungsausschluss / Disclaimer

VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V. und seine verbundenen Unternehmen (nachfolgend jeweils "VDE") stellen Informationen zu Verbraucherschutz-Themen unverbindlich zu Verfügung. Diese Informationen dienen lediglich zur allgemeinen Sensibilisierung für den Verbraucherschutz bei elektrotechnischen Produkten und Belangen. Sie stellen ausdrücklich keine fachliche oder technische Beratung dar. Sie sind nach bestem Wissen und Gewissen abgefasst, ohne die tatsächlichen Gegebenheiten an einem bestimmten Ort oder an einem bestimmten Produkt bewertet zu haben.

VDE bemüht sich hierbei im Rahmen des Zumutbaren, richtige und vollständige Informationen zur Verfügung zu stellen. VDE übernimmt jedoch keine Haftung oder Garantie (weder explizit noch implizit) für die Korrektheit, Vollständigkeit oder Aktualität des Inhalts der bereitgestellten Informationen. Die Anwendung der Informationen geschieht in dem Bewusstsein, dass VDE für direkte oder indirekte Schäden oder Verluste jeglicher Art nicht haftbar gemacht werden kann.

Die Anwendung der bereitgestellten Informationen entbindet den Nutzer nicht von der Verantwortung für eigenes Handeln und geschieht damit auf eigene Gefahr.

Produkt-/Modellspezifische Herstellerangaben sollen unbedingt eingehalten werden.

Folgen Sie uns
© 2024 VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.