Funktionsweise

HTTPS steht für HyperText Transfer Protocol Secure (dt. sicheres Hypertext-Übertragungsprotokoll) und ist ein Verfahren, um Daten im World Wide Web abhörsicher zu übertragen. ...

Ohne Verschlüsselung sind Web-Daten für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Mit der zunehmenden Verbreitung von Funkverbindungen, die etwa an WLAN-Hotspots häufig unverschlüsselt ablaufen, nimmt die Bedeutung von HTTPS zu, da hiermit die Inhalte unabhängig vom Netz verschlüsselt werden. Es stellt dabei das einzige Verschlüsselungsverfahren dar, das ohne gesonderte Softwareinstallation auf allen Internet-fähigen Computern unterstützt wird.

Die Authentifizierung dient dazu, dass sich jede Seite der Identität des Verbindungspartners vergewissern kann – ein Problem, das durch Phishing-Angriffe zunehmend Bedeutung bekommt.

IP Adresse

Zum Betrieb eines HTTPS-Webservers ist bisher eine eigene IP-Adresse pro Hostname notwendig.

Dies ist bei unverschlüsselten HTTP nicht notwendig: Seitdem Browser den Hostnamen im HTTP-Header mitsenden, können mehrere virtuelle Webserver mit je eigenem Hostnamen auf einer IP-Adresse bedient werden, zum Beispiel bei Apache über den NameVirtualHost-Mechanismus. Dieses Verfahren wird inzwischen bei der weit überwiegenden Zahl der Domains benutzt, da hier der Domain-Eigner selbst keinen Server betreibt.

Da bei HTTPS jedoch der Webserver für jeden Hostnamen ein eigenes Zertifikat ausliefern muss, der Hostname aber erst nach erfolgtem SSL-Handshake in der höheren HTTP-Schicht übertragen wird, ist das Deklarieren des Hostnamen im HTTP-header hier nicht anwendbar. Eine Unterscheidung kann nur anhand der IP/Port-Kombination erfolgen; ein anderer Port als 443 wird wiederum von vielen Proxys nicht akzeptiert.