Unterschied zwischen HTTP und HTTPS
Wenn Sie eine Website öffnen, tauschen Browser und Server Daten aus.
Der grundlegende Mechanismus für diesen Austausch im Web ist HTTP. Der Mechanismus, um HTTP-Kommunikation sicher auszuführen, ist HTTPS.
HTTPS ist nicht nur ein Mechanismus, der "Kommunikationsinhalte verschlüsselt". Wichtig ist, dass es das Mitlesen, Verändern und Nachahmen durch Dritte auf dem Kommunikationsweg erschwert.
Dafür sind bei HTTPS vor allem drei Punkte wichtig.
- Kommunikationsinhalte werden unterwegs schwerer lesbar
- Kommunikationsinhalte werden unterwegs schwerer veränderbar
- Es lässt sich leichter prüfen, ob das Gegenüber das beabsichtigte Gegenüber ist
HTTPS ist damit ein sehr wichtiger Mechanismus gegen Man-in-the-Middle-Angriffe.
HTTPS ist jedoch keine Anonymisierungstechnik. Auch bei HTTPS erreicht der Zugriff die Zielwebsite. Quell-IP-Adresse, s, Login-Zustand, Zugriffslogs und ähnliche Punkte bleiben eigene Probleme.
Dieser Artikel erklärt den Unterschied zwischen HTTP und HTTPS, was HTTPS schützt und was auch bei HTTPS sichtbar sein kann.
Was ist HTTP?
HTTP ist eine Kommunikationsregel für den Datenaustausch im Web.
Wenn Sie im Browser eine Website öffnen, sendet der Browser eine Anfrage an den Server. Zum Beispiel: "Bitte senden Sie das HTML dieser Seite" oder "Ich möchte dieses Bild abrufen."
Der Server gibt auf diese Anfrage Daten wie HTML, Bilder, CSS und JavaScript zurück.
Der Mechanismus für diesen Anfrage-Antwort-Austausch zwischen Browser und Server ist HTTP.
HTTP selbst ist die Grundlage der Webkommunikation. HTTP allein schützt Kommunikationsinhalte jedoch nicht.
Bei HTTP werden Kommunikationsinhalte nicht verschlüsselt. Deshalb besteht die Gefahr, dass Dritte auf dem Kommunikationsweg Inhalte lesen, verändern oder sich als falsches Gegenüber ausgeben.
| Schwäche von HTTP | Erklärung |
|---|---|
| Schwach gegen Mitlesen | Weil Inhalte nicht verschlüsselt sind, können sie unterwegs gelesen werden |
| Schwach gegen Veränderung | Seiten- oder Sendeinhalte können unterwegs verändert werden |
| Schwach gegen Nachahmung | Es ist schwer zu prüfen, ob das Gegenüber wirklich der beabsichtigte Server ist |
Wenn ein Passwort über ein HTTP-Loginformular gesendet wird, kann dieses Passwort unterwegs sichtbar werden. Auch der Inhalt einer per HTTP geladenen Seite kann unterwegs verändert werden, etwa durch falsche Eingabeformulare oder schädliche Skripte.
HTTP ist die Grundlage des Web, hat unverändert aber erhebliche Sicherheitsprobleme.
Was ist HTTPS?
HTTPS ist ein Mechanismus, der HTTP-Kommunikation in einem sicheren Kommunikationskanal ausführt.
Genauer gesagt verwendet HTTPS HTTP über einer sicheren Schicht namens TLS. Die feinen TLS-Mechanismen behandeln wir hier nicht, aber zum Verständnis von HTTPS ist hilfreich: HTTP-Inhalte werden durch TLS geschützt.
Bei HTTPS sind diese drei Punkte wichtig.
| Element | Rolle | Erklärung |
|---|---|---|
| Verschlüsselung | Inhalte werden schwerer lesbar | Dritte unterwegs können Passwörter oder Formularinhalte nicht einfach lesen |
| Veränderungserkennung | Veränderungen sollen erkannt werden | Unterwegs geänderte Daten werden schwerer als korrekte Kommunikation akzeptiert |
| Prüfung des Gegenübers | Es wird geprüft, ob das Gegenüber beabsichtigt ist | Zertifikate helfen zu prüfen, ob der Zielserver legitim ist |
Die Stärke von HTTPS liegt in der Kombination dieser drei Punkte.
Verschlüsselung allein reicht nicht. Wenn Angreifende sich trotz Verschlüsselung als falscher Server ausgeben und Nutzende zu diesem falschen Server verbinden könnten, wäre die Kommunikation nicht sicher.
Deshalb verwendet HTTPS nicht nur Schutz des Inhalts, sondern auch Mechanismen zur Prüfung, ob die Kommunikation mit der beabsichtigten Website stattfindet.
Unterschied zwischen HTTP und HTTPS
Der Unterschied zwischen HTTP und HTTPS ist nicht nur, ob die URL mit http[:]// oder https[:]// beginnt.
Bei HTTP ist die Kommunikation zwischen Browser und Server nicht geschützt. Bei HTTPS wird zwischen Browser und Server ein sicherer Kommunikationskanal erstellt, in dem HTTP ausgetauscht wird.
| Punkt | HTTP | HTTPS |
|---|---|---|
| Beginn der URL | http[:]// | https[:]// |
| Verschlüsselung der Inhalte | Nein | Ja |
| Schutz vor Mitlesen | Schwach | Stark |
| Schutz vor Veränderung | Schwach | Veränderungen sind leichter erkennbar |
| Prüfung des Gegenübers | Grundsätzlich schwach | Prüfung mit Zertifikaten und Ähnlichem |
| Widerstand gegen Man-in-the-Middle | Niedrig | Hoch |
| Anonymisierung | Nein | Nein |
HTTPS nur als "HTTP plus Verschlüsselung" zu verstehen ist etwas zu wenig. Genauer ist HTTPS ein Mechanismus, der HTTP in einen sicheren Kommunikationskanal einbettet und Mitlesen, Veränderung und Nachahmung erschwert.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff ist ein Angriff, bei dem sich ein Dritter zwischen Browser und Server schaltet, Kommunikation mitliest, verändert oder als falsches Gegenüber auftritt.
Nutzende glauben, auf die echte Website zuzugreifen, aber ein Angreifer auf dem Weg kann Inhalte sehen. Er kann Inhalte auch verändern und falsche Loginformulare oder schädlichen Code einfügen.
HTTP ist gegen solche Angriffe schwach.
Bei HTTPS sind Inhalte verschlüsselt, Veränderungen leichter erkennbar und das Gegenüber wird geprüft. Dadurch wird ein erfolgreicher Man-in-the-Middle-Angriff deutlich schwieriger.
| Was Angreifende tun wollen | Bei HTTP | Bei HTTPS |
|---|---|---|
| Kommunikationsinhalt lesen | Gefahr, dass er gelesen wird | Als Klartext schwer lesbar |
| Passwort mitlesen | Hohes Risiko | Unterwegs schwerer mitzulesen |
| Seiteninhalt verändern | Gefahr der Veränderung | Veränderung leichter erkennbar |
| Mit falschem Server verbinden | Nutzende merken es schwer | Durch Zertifikatsprüfung leichter zu verhindern |
| Als Kommunikationspartner auftreten | Vergleichsweise leicht | Ohne gültiges Zertifikat schwierig |
Hier liegt der Kern von HTTPS.
Wichtig ist nicht nur, dass Kommunikationsinhalte verschlüsselt werden, sondern auch, dass geprüft werden kann, ob Inhalte unterwegs verändert wurden und ob das Gegenüber das beabsichtigte Gegenüber ist.
Was HTTPS schützt
HTTPS schützt vor allem den HTTP-Kommunikationsinhalt zwischen Browser und Server.
Folgende Informationen werden durch HTTPS unterwegs schwerer lesbar.
| Geschützte Sache | Erklärung |
|---|---|
| Passwort | In Loginformulare eingegebene Passwörter werden unterwegs schwerer lesbar |
| Formulareingaben | Name, E-Mail-Adresse, Anfrageinhalte und Ähnliches werden unterwegs schwerer lesbar |
| Seiteninhalt | Angezeigte Inhalte werden unterwegs schwerer lesbar und veränderbar |
| Anfrageinhalt | Inhalte, die der Browser an den Server sendet, werden leichter geschützt |
| Antwortinhalt | Inhalte, die der Server an den Browser zurückgibt, werden leichter geschützt |
| Cookie | Während der Kommunikation gesendete Cookies werden unterwegs schwerer mitzulesen |
Besonders wichtig sind Passwörter und Cookies.
Cookies können verwendet werden, um Login-Zustand zu erhalten oder Nutzende zu unterscheiden. Wenn Cookies unterwegs gestohlen werden, kann je nach Fall Zugriff als die betreffende Person möglich werden.
Bei HTTPS werden auch Cookies innerhalb des verschlüsselten Kommunikationskanals gesendet und unterwegs schwerer mitlesbar.
HTTPS löst jedoch nicht alle Cookie-Probleme. Speicherung von Cookies, Website-Einstellungen, Browserumgebung und Gerätesicherheit bleiben eigene Themen.
Auch bei HTTPS erhält der Zielserver Inhalte
HTTPS schützt Inhalte vor Dritten auf dem Kommunikationsweg. Es versteckt Inhalte nicht vor der Zielwebsite.
Wenn Sie etwa in ein HTTPS-Loginformular ein Passwort eingeben, wird es unterwegs schwerer lesbar. Der Server der Website, der den Login verarbeitet, erhält diese Information jedoch.
Das ist selbstverständlich. Der Server muss die gesendete Information empfangen, um den Login zu verarbeiten.
Der Schutzbereich von HTTPS liegt vor allem auf dem Kommunikationsweg.
| Ziel | Rolle von HTTPS | Erklärung |
|---|---|---|
| Dritte auf dem Kommunikationsweg | Hauptsächliches Schutzziel | Erschwert Mitlesen, Veränderung und Nachahmung |
| Zielserver | Kommunikationspartner | Anfrageinhalte erreichen den Server |
| IP-Adresse der nutzenden Person | Wird nicht direkt verborgen | HTTPS allein verbirgt die Quell-IP-Adresse nicht |
| Eingeloggtes Konto | Wird nicht direkt verborgen | Eingeloggte Handlungen verbinden sich mit dem Konto |
HTTPS ist also ein Mechanismus gegen Mitlesen und Veränderung unterwegs. Es ist kein Mechanismus, um die eigenen Informationen vor dem Ziel zu verbergen.
Was auch bei HTTPS sichtbar sein kann
Auch bei HTTPS ist nicht alles verborgen.
Der Kommunikationsinhalt wird geschützt. Informationen zur Quelle, Informationen zum Ziel und Informationen, die die Website selbst erhält, sind jedoch eigene Themen.
| Information | Wer sie sehen kann | Erklärung |
|---|---|---|
| Quell-IP-Adresse | Zielserver und Ähnliches | Die Website kann erkennen, von welcher IP-Adresse zugegriffen wurde |
| Zugriffszeit | Zielserver und Ähnliches | Wann zugegriffen wurde, kann als Log gespeichert werden |
| Anfrageinhalt | Zielserver | Auch bei HTTPS erreichen Inhalte den Zielserver |
| Cookie | Zielwebsite | Kann zur Unterscheidung desselben Nutzers oder Browsers verwendet werden |
| Login-Zustand | Zielwebsite | Eingeloggte Handlungen verbinden sich mit dem Konto |
| Zugriffslogs | Zielwebsite | Welche Seite oder Handlung erfolgte, kann aufgezeichnet werden |
| Browserinformationen | Zielwebsite | Informationen wie User-Agent können gesendet werden |
| Informationen zum Ziel | Je nach Kommunikationsumgebung unterschiedlich | Auch bei verschlüsseltem Inhalt kann das Ziel vermutet werden |
Wichtig ist die Trennung zwischen "Kommunikationsinhalt" und "Tatsache der Kommunikation".
HTTPS schützt Kommunikationsinhalte. Es versteckt aber nicht automatisch, von welcher IP-Adresse ein Zugriff kam, wann er stattfand oder mit welchem Konto man eingeloggt war.
Außerdem ist bei HTTPS nicht immer die gesamte URL für Dritte vollständig sichtbar. Pfad und Formularinhalte werden als Kommunikationsinhalt geschützt. Informationen, die mit dem Domainnamen des Ziels zusammenhängen, können je nach Umgebung dennoch sichtbar sein.
HTTPS lässt also Zugriffsspuren und Identifikationsinformationen nicht verschwinden.
HTTPS ist keine Anonymisierungstechnik
HTTPS ist keine Anonymisierungstechnik.
Zweck von HTTPS sind hauptsächlich drei Punkte.
- Kommunikationsinhalte werden unterwegs schwerer lesbar
- Kommunikationsinhalte werden unterwegs schwerer veränderbar
- Das beabsichtigte Gegenüber lässt sich leichter prüfen
Das ist etwas anderes als Anonymisierung.
Beim Nachdenken über Anonymität muss man trennen, ob Kommunikationsinhalte geschützt sind und ob verborgen ist, wer zugegriffen hat.
HTTPS betrifft stark den ersten Punkt. Den zweiten löst es nicht direkt.
| Perspektive | Kann HTTPS das lösen? | Erklärung |
|---|---|---|
| Schutz vor Mitlesen des Inhalts | Auf dem Kommunikationsweg stark | Inhalte werden unterwegs schwerer lesbar |
| Schutz vor Veränderung des Inhalts | Auf dem Kommunikationsweg stark | Inhalte werden unterwegs schwerer veränderbar |
| Prüfung des Gegenübers | Ja | Zertifikate und Ähnliches prüfen das Ziel |
| Verbergen der IP-Adresse | Nein | HTTPS allein verbirgt die Quell-IP-Adresse nicht |
| Identifikation durch Cookies | Nein | Website-seitige Identifikation bleibt eigenes Problem |
| Verbergen des Login-Zustands | Nein | Eingeloggte Handlungen verbinden sich mit dem Konto |
| Löschen von Zugriffslogs | Nein | Logspeicherung auf Website-Seite ist ein anderes Problem |
"HTTPS bedeutet anonym" ist falsch.
HTTPS ist eine Technik, um Kommunikation sicherer zu machen. Es ist keine Technik, um Anonymität zu schaffen.
Perspektive zum richtigen Verständnis von HTTPS
Um HTTPS richtig zu verstehen, muss man trennen, vor wem was geschützt wird.
HTTPS schützt hauptsächlich vor Dritten auf dem Kommunikationsweg.
Es erschwert zum Beispiel, dass Dritte im selben Wi-Fi, Geräte auf dem Kommunikationsweg oder bösartige Zwischenstellen Kommunikationsinhalte mitlesen, verändern oder sich als falsches Gegenüber ausgeben.
Die Zielwebsite ist dagegen der eigentliche Kommunikationspartner. Gesendete Inhalte erreichen daher die Website-Seite.
| Gegenüber | Was HTTPS leichter verhindert | Was HTTPS nicht verhindert |
|---|---|---|
| Dritte auf dem Kommunikationsweg | Mitlesen, Veränderung, Nachahmung | Kompromittierung des Geräts selbst |
| Zielwebsite | Leck unterwegs | Logspeicherung und Kontoidentifikation auf Website-Seite |
| Andere Nutzer im selben Wi-Fi | Mitlesen von Inhalten | Vermutung des Zugriffsziels verschwindet nicht vollständig |
| Falscher Server | Ohne gültiges Zertifikat leichter erkennbar | Gefahr, wenn Nutzende Warnungen ignorieren |
HTTPS ist sehr stark, aber nicht allmächtig.
Wenn der Browser vor einem Zertifikatsproblem warnt und man diese Warnung ignoriert, sinkt die Sicherheit von HTTPS stark. Wenn das Gerät selbst mit Malware infiziert ist, können Eingaben auf dem Gerät gestohlen werden, auch wenn HTTPS verwendet wird.
HTTPS ist ein starker Schutz gegen Mitlesen, Veränderung und Nachahmung im Netzwerk. Gerätesicherheit, Website-Verwaltung, Konten, Cookies und Logs müssen jedoch getrennt betrachtet werden.
Zusammenfassung
HTTP ist der grundlegende Mechanismus für Datenaustausch im Web. HTTP allein verschlüsselt Kommunikationsinhalte nicht und ist unterwegs anfällig für Mitlesen und Veränderung.
HTTPS führt HTTP-Kommunikation in einem sicheren Kommunikationskanal aus.
Die wichtigen Rollen von HTTPS sind:
- Kommunikationsinhalte werden unterwegs schwerer lesbar
- Kommunikationsinhalte werden unterwegs schwerer veränderbar
- Es lässt sich leichter prüfen, ob das Gegenüber das beabsichtigte Gegenüber ist
Deshalb ist HTTPS sehr wichtig gegen Man-in-the-Middle-Angriffe.
HTTPS ist jedoch keine Anonymisierungstechnik. Auch bei HTTPS erreicht die Anfrage die Zielwebsite. Quell-IP-Adresse, Cookies, Login-Zustand, Zugriffslogs und ähnliche Punkte bleiben eigene Probleme.
HTTPS ist eine Technik zur Absicherung von Kommunikation. Sie ist besonders wichtig gegen Mitlesen, Veränderung und Nachahmung auf dem Kommunikationsweg.
Sie ist jedoch keine Technik, um zu verbergen, wer zugegriffen hat.
Beim Nachdenken über Anonymität muss man den Bereich, den HTTPS schützt, und den Bereich, den HTTPS nicht schützt, getrennt betrachten. HTTPS ist eine wichtige Voraussetzung, aber HTTPS allein stellt keine Anonymität her.