Das HTTPS (HTTP Secure) ist keine eigenständige Erweiterung von HTTP, sondern die Übertragung von HTTP über eine TLS-gesicherte Verbindung. Es schützt den Datenverkehr zwischen Client und Server gegen Mitlesen, Manipulation und gefälschte Gegenstellen.
Heute ist HTTPS faktisch Standard im Web: Browser markieren reine HTTP-Seiten als unsicher, und viele moderne Funktionen (Service Worker, HTTP/2, HTTP/3) sind nur über HTTPS verfügbar.
Was HTTPS leistet
HTTPS bietet drei Sicherheitseigenschaften:
- Vertraulichkeit — der Inhalt der Kommunikation wird verschlüsselt und kann von Dritten nicht mitgelesen werden.
- Integrität — Manipulationen an den Daten während der Übertragung werden erkannt.
- Authentizität — der Client prüft anhand eines Zertifikats, dass er tatsächlich mit dem beabsichtigten Server spricht.
Die eigentliche HTTP-Semantik — Methoden, Statuscodes, Header — bleibt unverändert.
Zertifikate und Vertrauenskette
Beim Verbindungsaufbau präsentiert der Server ein TLS-Zertifikat, das von einer Zertifizierungsstelle (CA) ausgestellt wurde. Der Client prüft:
- ob die Signatur des Zertifikats über eine vertrauenswürdige CA verifizierbar ist,
- ob es zum aufgerufenen Hostnamen passt,
- ob es zeitlich gültig und nicht widerrufen ist.
Erst danach wird der eigentliche HTTP-Verkehr ausgetauscht.
Standard-Port und URL
HTTPS nutzt standardmäßig TCP-Port 443 (bzw. UDP/443 bei HTTP/3 über QUIC). In URLs ist es am Schema https:// erkennbar — gegenüber http:// für unverschlüsselte Übertragung.
Abgrenzung zu HTTP
HTTPS löst kein Anwendungsproblem, sondern ein Transportproblem. Inhalte, Logik und API-Verträge bleiben identisch zu HTTP — geändert wird ausschließlich, wie die Daten zwischen Client und Server übertragen werden.