HTTPS (Abkürzung für HyperText Transfer Protocol Secure) ist eine Protokoll zur sicheren Übertragung von Webseiten im Internet.
Die folgende Abbildung zeigt (in vereinfachter Form), wie Daten bei diesem Protokoll übertragen werden.
Beim Verbindungsaufbau sendet der Server ein Server-Zertifikat (mit seinem öffentlichen Schlüssel) an den Client (Browser).
Der Browser überprüft das übermittelte Server-Zertifikat - in der Regel mit einem vorinstallierten Wurzelzertifikat. Der Browser hat also vorinstalliertes Vertrauen in bestimmte Zertifizierungsstellen.
Wenn die Überprüfung zu einem positiven Ergebnis gekommen ist, dann erzeugt der Browser einen Session-Key und übermittelt ihn - natürlich verschlüsselt - an den Server. Nachdem der Server den Erhalt bestätigt hat, kann der sichere Nachrichtenaustausch beginnen.
Für die Verschlüsselung des Datenverkehrs zwischen Webbrowser und Webserver werden normalerweise teure Zertifikate benötigt. Seit Ende 2015 gibt es mit Let's Encrypt ein Projekt, das kostenlose Zertifikate vergibt. Während des Zertifizierungsprozesses muss lediglich nachgewiesen werden, dass man Zugriff auf den Webserver hat und dort zum Beispiel Dateien speichern darf. Ein kleiner Nachteil dieses vereinfachten Zertifizierungsprozesses ist, dass unklar bleibt, welche Person oder welches Unternehmen das Zertifikat beantragt hat und wer hinter einer Webseite steckt. Trotzdem ist es aus meiner Sicht sinnvoll den Datenverkehr überhaupt erst einmal zu verschlüsseln, so dass der Datenverkehr nicht so leicht abgehört oder manipuliert werden kann. Außerdem bewertet die Suchmaschine Google eine Webseite mit HTTPS in seinen Trefferlisten etwas besser - als Anreiz zum Umstieg. Eine verschlüsselte Verbindung wird im Webbrowser Firefox links neben der Adressleiste mit einem grünen Schloss symbolisiert.
Während des Zertifizierungsprozesses müssen auf dem Webserver Dateien als „Challenge“ hochgeladen werden, um nachzuweisen, dass das Zertifikat zum Webserver passt.
Let's Encrypt ist eine Zertifizierungsstelle welche durch Spenden finanziert wird. Ziel des Projekts ist es, das World Wide Web sicher zu machen. Um die Privatsphäre der User zu wahren, sollen verschlüsselte Verbindungen zum Normalfall werden - und das so einfach wie nur möglich.
