Begriff
HTTPS (Hypertext Transfer Protocol Secure)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
HTTP ist transparent. Wenn du im Café surfst, kann der Typ am Nebentisch deine Passwörter mitlesen (Postkarte). HTTPS ist HTTP in einem Tresor. Der Tresor heißt TLS (früher SSL). Bevor Daten fließen, tauschen Browser und Server Schlüssel aus ("Handshake"). Ab dann ist alles Datensalat (verschlüsselt). Niemand kann mitlesen (Confidentiality). Niemand kann Daten verändern (Integrity). Und du weißt, mit wem du redest (Authentication durch Zertifikate). Ohne HTTPS kein Online-Banking.
Merksatz: Die abgesicherte Variante von HTTP, bei der die Kommunikation über Transport Layer Security (TLS) verschlüsselt wird, um Abhören und Manipulation zu verhindern.
Früher war HTTPS teuer und langsam. Heute ist es Standard (Google bestraft HTTP-Seiten im Ranking). Tools:
- Let's Encrypt: Kostenlose Zertifikate, vollautomatisch.
- Certbot: CLI-Tool, das Nginx/Apache automatisch umkonfiguriert. Browser zeigen das Schloss-Symbol. Achtung: HTTPS schützt den Weg. Es schützt nicht vor Phishing (eine Fake-Seite kann auch HTTPS haben!).
Praxisroutine
In der Praxis lernst du HTTPS (Hypertext Transfer Protocol Secure), indem du mit einem kleinen, kontrollierten Beispiel beginnst. Baue zuerst einen Minimalfall, prüfe das Ergebnis, veraendere genau eine Sache und beobachte, was sich ändert. Notiere dir Eingabe, Aktion, Ausgabe und typischen Fehler.
Übung: Erstelle ein Beispiel aus deinem Alltag, fuehre den Ablauf gedanklich Schritt für Schritt durch und markiere die Stelle, an der du Feedback oder ein Log brauchst. Wenn du diese Stelle benennen kannst, verstehst du den Begriff praktisch.
1. TLS Handshake (1.2 vs 1.3)
Der Grund für die Latenz (Startup Delay).
- Client Hello: "Ich kann TLS 1.3, Cipher X, Y."
- Server Hello: "Wir nehmen TLS 1.3, Cipher X. Hier ist mein Zertifikat."
- Key Exchange: (Diffie-Hellman). Gemeinsames Geheimnis berechnen.
- Finished. TLS 1.2 brauchte 2 Round-Trips (2-RTT). TLS 1.3 braucht nur noch 1-RTT (schneller!). Mit "0-RTT" (Session Resumption) kann man sogar sofort Daten senden (aber Vorsicht vor Replay Attacks).
2. SNI (Server Name Indication)
Früher brauchte jede HTTPS-Domain eine eigene IP.
Denn der Server wusste beim Handshake noch nicht, welche Domain du willst (Host-Header ist verschlüsselt!).
SNI ist eine Erweiterung im "Client Hello" (unverschlüsselt): "Ich will google.com".
Jetzt kann der Server das richtige Zertifikat auswählen.
Das ermöglicht Shared Hosting und Cloud Load Balancer.
3. HSTS (Strict Transport Security)
Ein Hacker kann dich beim ersten Aufruf auf HTTP umlenken ("SSL Stripping").
HSTS ist ein Header: Strict-Transport-Security: max-age=31536000.
Er sagt dem Browser: "Merk dir für 1 Jahr: Sprich mit mir NUR noch per HTTPS. Verweigere jeden HTTP-Versuch, auch wenn der User es tippt."
Zusammen mit der HSTS Preload List (fest im Chrome-Code) ist HTTP faktisch tot für diese Domain.
1. Perfect Forward Secrecy (PFS) und Diffie-Hellman
Früher (bei statischem RSA-Schlüsseltausch) wurde das "Master-Secret" für die Session vom Client generiert und mit dem öffentlichen Schlüssel der Website verschlüsselt an den Server gesandt. Das Horror-Szenario: NSA zeichnet 5 Jahre lang global deinen Datensalat auf. Sie hacken einmal den Server, stehlen seinen Private Key, dechiffrieren damit nachträglich alle aufgezeichneten Master-Secrets der letzten 5 Jahre, und dein Datensalat wird lesbarer Klartext. PFS verhindert das. Mittels ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) wird kein statisches Secret mehr über das Netz geschickt. Client und Server berechnen extrem komplexe Logarithmen, mischen sie mit mathematischen Zufalls-Parametern (Session Keys) und verwerfen sie sofort nach dem Surfen (Ephemeral). Selbst der entwendete Root-Key des Servers kann veraltete Aufzeichnungen von gestern niemals decodieren. TLS 1.3 macht PFS zur eiskalten Pflicht.
2. Certificate Transparency (CT) Logs
Ein Zertifikat von "Let's Encrypt" vertraut deinem Browser blind, weil die Root-CA (Certificate Authority) fest im OS installiert ist.
Aber was, wenn die türkische Regierungs-Root-CA (die auch im OS vertraut wird) heimlich ein völlig valides Fake-Zertifikat für google.com schreibt und als Man-in-the-Middle fungiert?
Chrome schützt das Web mit Certificate Transparency. CAs müssen zwingend jedes ausgestellte SSL-Zertifikat global, öffentlich und krypto-sicher (Merkle-Tree, ähnlich einer Blockchain) in Log-Sever eintragen. Chrome lehnt Zertifikate brutal ab, deren SCT-Timestamp (Signed Certificate Timestamp) nicht in diesen Logs auftaucht. Firmen (wie Google) können die CT-Logs mit Skripten scannen und Alarm schlagen, falls jemand in Kasachstan "ihr" Zertifikat generiert.
3. ALPN (Application-Layer Protocol Negotiation)
Ein kaum bekannter, aber absolut kritischer Aspekt bei HTTPS. Beim TLS 1.3 Handshake findet im "Client Hello" gleichzeitig die ALPN Extension statt. Der Browser funkt: "Lass uns verschlüsseln, und wenn wir fertig sind, will ich gern HTTP/2 sprechen (h2)". Der Server antwortet unverschlüsselt im Negotiation-Ticket sofort mit: "Alles klar, wir nutzen h2". Dadurch muss der Browser nach Abschluss des TLS-Handshakes keinen neuen RTT (Round Trip Time) verschwenden, um HTTP-Versionen mühsam auszuhandeln. ALPN spart Hunderte Millisekunden im kritischen First-Contentful-Paint Pfad des Renderings ein.
Quick-Check
Ist SSL und TLS das Gleiche?
Umgangssprachlich ja. Technisch: SSL (v1, v2, v3) ist steinalt und unsicher ("POODLE" Attacke). Es wurde in TLS (v1.0 - 1.3) umbenannt. Sage "TLS", wenn du Kompetenz zeigen willst.Verschlüsselt HTTPS die URL?
Ja! Der Pfad (/search?q=porno) ist unsichtbar. Aber: Der Hostname (google.com) ist sichtbar (im DNS und SNI). Der Admin sieht also, wo du bist, aber nicht was du machst.Mixed Content?
Eine HTTPS-Seite lädt ein HTTP-Bild/Skript. Browser blockieren das Skript sofort ("Passive/Active Mixed Content"), weil das Skript manipuliert sein könnte und die Sicherheit der ganzen Seite kompromittiert.