HTTP vs HTTPS

Technisch betrachtet unterscheiden sich die Standards HTTP und HTTPS nicht von einander, denn das Protokoll (die Syntax) ist bei beiden Varianten der Datenübermittlung dieselbe. Der Unterschied findet sich im sogenannten Übertragungsprotokoll. Das bedeutet: Nicht das Protokoll selbst, sondern die Übertragungsart des Protokolls weist eine zusätzliche Sicherung auf. Dieses Transportprotokoll, das dem ungesicherten Protokoll „Hypertext Transfer Protocol“ somit hinzugefügt wird und es im Detail verändert, nennt sich SSL.
HTTPS steht im Zuge dessen für „Hypertext Transfer Protocol Secure“. Übersetzt bedeutet das „Sicheres Hypertext-Übertragungsprotokoll“. Das Protokoll dient als sichere Sprache zwischen Webclient (in der Regel: Webbrowser) und Webserver. Der Webserver wird zu Beginn des Dialogs zertifiziert. Dies passiert durch initiatives Senden des Zertifikats an den Webclient, der somit die Vertrauenswürdigkeit der Webdomäne bestätigt bekommt. Wird im Browser eine HTTPS-Webseite aufgerufen, so ist das heutzutage in den meisten Fällen an einem Symbol wie etwa einem grünen Schloss in der Adresszeile für den Nutzer ersichtlich.

Was ist ein SSL Zertifikat?

SSL bedeutet ausgeschrieben „Security Sockets Layer“. Diese Standardtechnologie ist ein Netzwerkprotokoll und dient zur Absicherung von Internetverbindungen und dem Austausch sensibler Daten zwischen zwei Systemen. Es verhindert vorrangig das Abfangen (Lesen) und Verändern von Informationen durch Kriminelle, die sich in eine digitale Verbindung einschleusen wollen, sprich das Szenario einer klassischen „Hacker-Attacke“. Bei der Verbindung kann es sich um den Datenfluss von Server zu Client oder aber um die Übertragung von Informationen zwischen zwei Servern handeln.

SSL Zertifikat – Funktion und Bedeutung

Schutz vor Datenmissbrauch bedarf einer Verschlüsselung. Das bedeutet, dass Datenströme, die ursprünglich in der Form von Klartext bestehen, vor Versand codiert und nach Empfang wieder entcodiert werden. Nach obig erwähnter Zertifizierung wird im Webbrowser (Client) ein temporärer Sitzungsschlüssel erzeugt und an den Webserver gesendet. Die aktuelle Sitzung gilt somit als sicher vor Angriffen von außen. Der Standard SSL verfolgt vor allen Dingen drei Aspekte: Vertraulichkeit, Datenintegrität und Authentizität. Umfragen ergaben, dass Internetnutzer heute vermehrt anhand eines erkennbaren Siegels oder Adresszeilen-Symbols auf der Webseite überprüfen ob eine HTTPS-Verbindung besteht, bevor sie beispielsweise Kontaktformulare verwenden oder in einem Onlineshop Einkäufe tätigen. Ein besonders kritischer Punkt, den Kunden vermieden wissen wollen ist die potentielle Gefahr des Lesens von Bezahlungsdaten durch illegal eingewählte Dritte. Des Weiteren spielt die Integrität eine Rolle. Wird etwa in einem öffentlich einsehbaren Bereich einer Webseite ein Kommentar mit dem Ziel der persönlichen Meinungsäußerung verfasst, so sollte der Betreiber der Seite garantieren, dass nachträglich hier keine Änderungen vorgenommen werden können. Eine Editierung sollte nicht einmal durch ihn selbst möglich sein, einmal abgesehen von der etwaigen vollständigen Löschung aus berechtigten Gründen. Auch Datensätze wie eine Lieferadresse, die beim Onlineshopping angegeben wird, muss heute standardmäßig durch das Zertifikat vor Manipulation geschützt sein, wenn man als professionell wahrgenommen werden möchte. Impressum und Domain-Registrierungsdaten vermitteln bei einer Webseite neben einem seriös wirkenden Webdesign Vertrauen gegenüber dem Besucher. Ein Impressum ist für den Laien kaum überprüfbar, Domainregistrierungsdaten schon eher. Ein SSL Zertifkat bestätigt zusätzlich dazu noch einmal die Identität des Webseitenbtreibers. Es ist eine automatisch sichtbare Identitätsbestätigung. Der einzige Einwand wäre an dieser Stelle, dass theoretisch die Zertifizierungsstelle selbst betrogen worden sein könnte. Dieses Restrisiko erweist sich im Falle von in der EU ansässigen Zertifizierungsstellen allerdings als äußerst gering.

Wie kann eine Webagentur helfen?

Spezialisierte Dienstleister wie https://mo-management.com/ können Webseitenbetreiber wie Inhaber eines Shops oder eines anderen professionellen Online-Auftritts gewerblicher Natur gezielt zum Thema Websecurity beraten. Webdesign setzt sich nicht lediglich aus optimiertem Webcode und ästhetischer Gestaltung der sichtbaren Benutzeroberfläche zusammen, auch das Thema Rechtssicherheit gehört zum großen Ganzen. Eine gute Webagentur bietet in der Regel Komplettpakete über die Leistungen Webseiten-Aufbau, Softwarewartung und Sicherheitsimplementierung an. Die Netzwerkprotokolle SSL und der Nachfolger TLS sollten hier zum Standardrepertoire der Programmierer gehören.