SSL Verbindung & Verschlüsselung https für die Website

Für die sichere Kommunikation im Internet wird die SSL Verschlüsselung eingesetzt, die den vollständigen Datenstrom mit einem sicheren Algorithmen wie DES oder AES chiffriert. Sie baut eine effiziente und für Außenstehende nicht einsehbare End-zu-End-Kryptografie auf und übermittelt über HTTPS eine Website inklusive eingebetteter Inhalte an den entfernten Browser.

Wie funktioniert eine SSL Verschlüsselung über HTTPS?

Webseiten werden in dem Hypertext Transfer Protocol (HTTP) an einen Browser geschickt, der anschließend aus dem im Klartext geschriebenen Code die Darstellung aufbaut. Dieses sah ursprünglich keine Verschlüsselung vor - jeder Teilnehmer eines Netzwerkes kann die Daten und die Antworten ohne technischen Aufwand mitlesen, indem er den Datenverkehr protokolliert und anschließend auswertet. Selbst sensible Informationen wie Nutzernamen und Passwörter werden als lesbarer Klartext übermittelt. Aus diesem Grund schufen Programmierer das Hypertext Transfer Protocol Secure (HTTPS) mit einer eingebauten SSL Verbindung. Dabei handelt es sich im Grunde um das klassische Protokoll, das über eine zusätzliche Schicht - dem Secure Sockets Layer (SSL) oder nach einer Umbenennung bei Version 3.1 der Transport Layer Security (TLS) - verschlüsselt wird. Der genaue Unterschied zwischen SSL und TLS wird im Artikel SSL vs TLS behandelt.

Technisch verschlüsselt HTTPS eine Website, indem es eine Kombination aus asymmetrischer und symmetrischer Verschlüsselung einsetzt. Zu diesem Zweck verwendet die SSL Verschlüsselung einen öffentlichen Schlüssel, der das Kodieren, aber nicht das Wiederherstellen von Daten ermöglicht. In einem ersten Schritt sendet der Betreiber dazu sein SSL Server Zertifikat an den Client, das unter anderem den öffentlichen Schlüssel und die Identität der Webseite beinhaltet. Der Browser überprüft das SSL Zertifikat auf seine Herkunft mittels Zertifizierungsanforderung (CSR) und nutzt den erhaltenen Schlüssel, um mit dem Server einen einmaligen, sogenannten Session Key auszutauschen. Dieser ist nun beiden Seiten bekannt, ohne jemals im Klartext übertragen worden zu sein. Er dient für diese einzelne SSL Verbindung als temporäres und zufällig generiertes Passwort, mit dem beide Seiten durch HTTPS ihre Informationen nach einem symmetrischen, sicheren Algorithmus wie DES oder AES verschlüsseln.

Browser unterstützen HTTPS für eine Website automatisch

Der Vorteil des HTTPS Verfahrens ist es, dass eine sichere und zuverlässige SSL Verbindung aufgebaut wird, ohne dass dafür Eingriffe in den Code einer HTTPS Website erforderlich wären. Dieses Vorgehen ist vollständig mit bestehenden, unverschlüsselten Seiten kompatibel und erfordert lediglich eine leichte Modifikation bei der Art der Übertragung. Es ist deshalb möglich, mit Hilfe eines lizenzierten Zertifikates jede Internetpräsenz innerhalb weniger Minuten auf eine SSL Verschlüsselung über HTTPS umzustellen. Browser erkennen diese, wenn eine Domain das Protokoll HTTPS vor eine Website stellt. Sie fordern automatisch das benötigte Zertifikat an und übernehmen anschließend den Aufbau der SSL Verbindung.

Ist ein Zertifikat nicht gültig - zum Beispiel weil das aktuelle Datum außerhalb der Gültigkeit liegt oder es nicht von einer offiziellen Zertifizierungsstelle ( (Certification Authority, CA) signiert wurde, zeigt der Browser für die SSL Verbindung einen entsprechenden Fehler oder einen Warnhinweis an. In einigen Fällen kann der Nutzer anschließend entscheiden, ob er auf eigenes Risiko die Seite aufrufen möchte.

Einschränkungen und Nachteile einer HTTPS Website

Für den Besucher hat das Verwenden einer SSL Verschlüsselung keine gravierenden Nachteile. Auf Seiten eines Betreibers verursachen die rechenaufwendigen Algorithmen der Kryptografie bei einer hohen Nutzerzahl eine höhere Systemlast. Diese macht sich jedoch in der Regel bei moderner Hardware nicht bemerkbar, da diese Koprozessoren für die meisten populären Algorithmen verwenden. Die SSL Verschlüsselung kann allerdings bei einigen Embedded Devices wie einem Raspberry Pi als öffentlichen Webserver die Performance beeinflussen. Über viele Jahre war hingegen das Einrichten einer SSL Verbindung technisch aufwendig und mit Kosten für die Zertifizierung verbunden. Diese Situation hat sich jedoch mit der Weiterentwicklung der HTTPS und SSL/TLS Protokolle und der Einrichtung kostenfreier Zertifizierungsstellen wie Lets Encrypt geändert.

Eine Alternative zu HTTPS über eine SSL Verbindung ist technisch möglich, aber relativ aufwendig und aus unterschiedlichen Gründen nicht zu empfehlen. Einer der wichtigsten ist die hohe Kompatibilität der SSL Verschlüsselung mit unabhängigen Programmen wie dem Browser - bei einem Verzicht von HTTPS für die Website ist diese und eine langfristige Unterstützung nach Updates nur sehr eingeschränkt gewährleistet.

Foto: typographyimages - pixabay.com