Hypertext Transfer Protocol Secure
| Anwendung | HTTPS | |||
| Transport | SSL | |||
| TCP | ||||
| Netzwerk | IP | |||
| Netzzugang | Ethernet | Token Ring |
FDDI | ... |
HTTPS steht für Hypertext transfer protocol secure und ist ein Netzwerkprotokoll, das eine gesicherte HTTP-Verbindung zwischen Rechnern ermöglicht.
Hierbei werden die Daten über SSL/TLS verschlüsselt, damit sie abhörsicher sind. HTTPS-Verbindungen laufen über TCP. Der Standard-Port für HTTPS-Verbindungen ist 443.
Hierbei findet unter Verwendung des Diffie-Hellman-Schlüsselaustausches (benannt nach Whitfield Diffie und Martin Hellman) zunächst ein Austausch geheimer Schlüssel statt, um danach in einer weiteren Stufe die jeweiligen öffentlichen Schlüssel in Form digitaler Zertifikate sicher austauschen zu können, die danach zur Verschlüsselung der Nutzdaten genutzt werden, um abhörsichere Kommunikation zu gewährleisten.
Die größte Schwachstelle des HTTPS-Protokolls ist die Abhängigkeit von signierten Zertifikaten. Ohne ein signiertes Zertifikat ist das Protokoll verwundbar gegenüber dem sogenannten Man-In-The-Middle-Angriff. In der Praxis werden oft nicht signierte Zertifikate benutzt, wodurch die Sicherheit, die HTTPS bietet, weitestgehend verloren geht.
Neben den Server-Zertifikaten können auch signierte Client-Zertifikate nach X.509.3 erstellt werden. Dieses ermöglicht eine Authentifizierung der Clients gegenüber dem Server.
Siehe auch: Elektronische Unterschrift
Weblinks
- RFC 2818 – HTTP Over TLS (englisch)
- http://serversniff.de/do_sslcheck.php Serversniff.de prüft HTTPS-Server auf Zertifikatsinfos, Protokolle und angebotene Verschlüsselungsmethoden