Kontakt
Webdesign & Webprogrammierung

Tutorials

Was ist der Unterschied zwischen HTTP und HTTPS

In diesem Artikel wird erklärt, was der Unterschied zwischen dem HTTP– und dem HTTPS-Protokoll ist.

Was ist ein Protokoll überhaupt?

Ein Netzwerkprotokoll stellt eine Art „Vereinbarung“ zwischen zwei oder mehreren Computern bzw. Servern dar. Es beinhaltet die Art und Weiße auf welche die Kommunikation zwischen diesen Parteien stattfindet.

Wofür steht HTTP und wofür wird das Protkoll genutzt?

HTTP steht für Hypertext Transfer Protocoll (dt. Hypertext-Übertragungsprotokoll). Es wird als zustandsloses Protokoll (zustandslos bedeutet dass jede Anfrage isoliert für sich, ohne Bezug zu vorangegangenen Anfragen ausgeführt wird) hauptsächlich für die Übertragung von Webseiten im World Wide Web (WWW, das Internet) genutzt, um Daten von einem Webserver in den Webbrowser des Clients (des Besuchers) herunterzuladen. Es existieren aber auch andere Anwendungsgebiete für das HTTP-Protokoll.

Wie wird es genutzt?

Die Nutzung des Protokolls erfolgt durch eine Anfrage des Clients an den Webserver und endet mit der Antwort des Webservers an den Client.
Es existieren hierfür mehrere Anfragemethoden, in der Praxis werden aber hauptsächlich GET und POST Methoden verwendet.

Bei der GET-Anfrage, wird dem Server ein Pfad mit der Anfrage gesendet, welcher abgerufen werden soll, ansonsten erfolgt keine weitere Übertragung von Daten (abgesehen von Headerdaten).
Bei einer POST-Anfrage, können zusätzlich noch Daten mitgesendet werden. In der Praxis wird dies häufig für das Übermitteln von jeglicher Art von Formularen verwendet.

HTTP oder HTTPS?

Was ist das HTTPS-Protokoll?

Neben dem HTTP-Protokoll, existiert noch das HTTPS-Protokoll. Es steht für Hypertext Transfer Protocol Secure (dt. sicheres Hypertext-Übertragungsprotokoll). Genutzt wird es für sichere Übertragungen zwischen Client und Server. Neben der bekannten Implementation des HTTP-Protkolls, existiert eine zusätzliche Verschlüsselung der Daten durch SSL (Secure Socket Layer) bzw. TLS (Transport Layer Security).

Um Daten mittels HTTPS übertragen zu können, wird auf Serverseite ein Zertifikat benötigt. Der Client und Server berechnen mittels unterschiedlicher Algorithmen einen Schlüssel, der dann ebenfalls abgeglichen wird. Durch diesen Schlüssel werden die Daten vor der Übertragung zwischen Server und Client entweder vom Client oder vom Server verschlüsselt (je nachdem, ob eine Anfrage oder Antwort aussteht) und von der jeweils anderen Partei lokal wieder entschlüsselt. Das Zertifikat muss meist von einem Serveradministrator installiert werden, weshalb nur bestimmte Webhosting-Provider geeignet sind.

Wie bereits geschrieben, wird zur Nutzung ein Zertifikat (SSL-Zertifikat) benötigt. Dieses kann selbst erstellt werden, muss jedoch zur Ordnungsgemäßen Funktion in jedem Browser durch eine Zertifizierungsstelle signiert werden (was fast immer kostenpflichtig ist!). Wird das Zertifikat selbst signiert, erhalten die Nutzer folgende Fehlermeldung bei Zugriff über das HTTPS-Protokoll:

Fehlermeldung eines selbstsignierten Zertifikats einer FritzBox

Fehlermeldung eines selbstsignierten Zertifikats einer FritzBox

Signierung von Zertifikaten

Die Signierung dieser Zertifikate kostet jährlich zwischen 5€ und mehreren tausend Euro. Es existieren im Prinzip drei verschiedene Zertifizierungstypen. Am häufig genutzt und am günstigsten, ist die Domainvalidierung. Hierbei wird lediglich sicher gestellt, dass der Inhaber der Domain das Zertifikat selbst erstellt hat. Bei der Organisations Validierung prüft die Zertifizierungsstelle zudem die Identität der Firma oder Person. Die erweiterte Validierung ist der sicherste, aber auch teuerste Zertifizierungstyp, die Adressleiste des Nutzers färbt sich bei Verbindung mit einer Webseite, die mittels EV gesichert ist grün.

Domain Validierung (DV)
Für private Webseiten, kleinere Shops und Unternehmen mit wenig vertraulichen Informationen reicht eine Domain Validierung vollkommen aus. Hierbei wird eine E-Mail an die E-Mail Adresse des Registrars (oder die Standardadressen postamaster@example.com oder hostmaster@example.com) gesendet. Durch einen Klick auf einen Link bestätigt der Domaininhaber die Signierung. Die Kosten des Zertifikats beginnen ab ca. 5€ für ein Jahr pro Domain. Bei Wildcard Domains (also für den Zugriff über HTTPS für alle Subdomains gültig) ab ca. 60€.

Organisations Validierung (OV) und erweiterte Validierung (EV)
Hierbei wird neben der Domainvalidierung auch die Firma oder Person hinter Domain verifiziert, meist durch den Versand von Unterlagen per Post, Ausweiskopie oder Post-Ident oder ähnlichen Verfahren. Die Kosten hierfür sind erheblich höher und beginnen ab ca. 25€ (OG Validierung) oder ab 130€.
Die Art wird vor allem für Banken, Shops oder Webseiten mit vielen vertraulichen Daten wie Kreditkartendaten empfohlen.

Die Kosten für diese Art von Zertifizierung liegt vor allen an der Garantie. Sind domainvalidierte Zertifikate meist nur im geringen dreistelligen Bereich geschützt (gegen Missbrauch), die andere Validierungarten haben teilweise Garantien im 7 stelligen Bereich (mehrere Millionen Euro).

Kostenfreie Zertifizierung
Da die Selbstsignierung für Zertifikate nicht empfohlen wird (siehe oben), gibt es eine brauchbare, kostenfreie alternative, welche die Zertifizierung von Zertifikaten unternimmt. Die Zertifikate funktionieren in allen gängigen Browser, die Zertifikate sind Domainvalidiert. Der Anbieter lautet StartSSL.com. Die Zertifizierung ist nur für private Personen kostenfrei, die kommerzielle Nutzung ist ausgeschlossen.

Ein weiterer kostenfreier Anbieter ist CloudFlare, der Dienstleister sorgt eigentlich für die Reduzierung der Serverlast durch die Nutzung eines dezentralen Content Delivery Networks, bietet aber bei Verwendung dieses die Nutzung von kostenfreien SSL-Zertifikaten über HTTPS.

Zeritifizierungsstellen

Nachfolgend finden Sie eine Auflistung mit Zertifizierungsstellen:

Die genannten Preise sind mit Datum 9. März 2015 gültig und belaufen sich teilweise auf Preise, bei der Auswahl von mehreren Jahren Laufzeit.

Hinterlasse ein Kommentar