HTTPS und TLS im Alltag

Das Schloss-Symbol in der Browser-Adressleiste zeigt eines an: die Verbindung zur Website ist verschlüsselt. Dahinter steckt HTTPS – HTTP over TLS. Während klassisches HTTP alle Daten im Klartext überträgt, sorgt HTTPS dafür, dass niemand im Netzwerk (WLAN-Betreiber, ISP, Angreifer) mitlesen oder Inhalte manipulieren kann. Heute ist HTTPS der Standard – Googles Ranking-Algorithmus bevorzugt HTTPS-Seiten, Browser warnen aktiv vor unverschlüsselten Seiten, und Let's Encrypt macht kostenlose Zertifikate für jeden zugänglich.

Das Protokoll dahinter heißt TLS – Transport Layer Security. TLS ist der Nachfolger von SSL (Secure Sockets Layer) – der Name SSL wird umgangssprachlich noch verwendet, aber technisch korrekt ist seit Jahren TLS. Aktuelle Versionen sind TLS 1.2 und TLS 1.3, ältere Versionen (SSL 3.0, TLS 1.0, 1.1) gelten als unsicher und sind in modernen Browsern und Servern deaktiviert.

1) HTTP vs. HTTPS – direkter Vergleich

Der grundlegende Unterschied zwischen HTTP und HTTPS ist schnell erklärt: Bei HTTP werden alle Daten unverschlüsselt übertragen – ein Angreifer im selben Netzwerk kann mit einem einfachen Sniffer-Tool alles mitlesen, einschließlich Passwörter und Formulardaten. Bei HTTPS sind die Daten Ende-zu-Ende verschlüsselt zwischen Browser und Server.

🔓 HTTP (Port 80)

Klartext – alles lesbar
Kein Zertifikat nötig
Passwörter/Daten sichtbar
MITM-Angriffe möglich
Browser warnt: „Nicht sicher"
Noch für interne Netze

🔒 HTTPS (Port 443)

Verschlüsselt (TLS 1.2/1.3)
Zertifikat von CA erforderlich
Daten unleserlich für Dritte
Server-Authentizität verifiziert
Schloss-Symbol im Browser
Standard für alle Websites

Wichtig: HTTPS schützt die Verbindung, nicht die Website selbst. Eine Phishing-Seite kann HTTPS nutzen – das Schloss bedeutet nur, dass die Verbindung verschlüsselt ist, nicht dass der Inhalt vertrauenswürdig ist. Immer auch die URL prüfen!

2) TLS-Handshake

Bevor eine HTTPS-Verbindung verschlüsselte Daten übertragen kann, findet ein Aushandlungsprozess statt: der TLS-Handshake. Dabei einigen sich Client und Server auf die Verschlüsselungsmethoden, der Server beweist seine Identität per Zertifikat, und es wird ein gemeinsamer Sitzungsschlüssel für die symmetrische Verschlüsselung erzeugt. TLS 1.3 vereinfacht diesen Prozess und benötigt nur noch einen Round-Trip statt zwei.

TLS-Handshake – Schritt für Schritt (TLS 1.3)

→ClientClientHello – unterstützte TLS-Versionen, Cipher Suites, zufällige Nonce

←ServerServerHello – gewählte TLS-Version und Cipher Suite

←ServerCertificate – Server sendet sein TLS-Zertifikat (mit Public Key)

←ServerCertificateVerify – Signatur beweist Besitz des privaten Schlüssels

←ServerFinished – Hash über bisherige Handshake-Nachrichten

→ClientFinished – Client bestätigt, Sitzungsschlüssel abgeleitet

⇄beideVerschlüsselte Datenübertragung beginnt – symmetrisch mit AES-GCM o.ä.

TLS 1.3 benötigt nur 1 Round-Trip (1-RTT) für den Handshake. Bei 0-RTT (Session Resumption) können sogar schon beim ersten Paket Daten mitgeschickt werden.

3) TLS-Zertifikate

Ein TLS-Zertifikat ist das digitale Ausweisdokument eines Servers. Es enthält den öffentlichen Schlüssel des Servers sowie Informationen über den Inhaber, ausgestellt und signiert von einer Zertifizierungsstelle (CA – Certificate Authority). Der Browser vertraut dem Zertifikat, weil er der CA vertraut – im Betriebssystem und im Browser ist eine Liste vertrauenswürdiger CAs vorinstalliert.

Aufbau eines TLS-Zertifikats

X.509-Zertifikat – vereinfachte Darstellung

Subject:CN=www.beispiel.de, O=Beispiel GmbH, C=DE

Issuer:Let's Encrypt Authority R3

Valid from:2025-01-01 00:00:00 UTC

Valid until:2025-04-01 23:59:59 UTC

Public Key:RSA 2048-bit / EC P-256

Subject Alt:DNS:www.beispiel.de, DNS:beispiel.de

Signature:SHA256withRSA (signiert von Let's Encrypt)

Let's Encrypt stellt kostenlose Zertifikate aus (90 Tage Laufzeit, automatische Erneuerung per ACME-Protokoll). Für Organisationszertifikate mit erweiterter Prüfung (EV) werden kostenpflichtige CAs wie DigiCert oder Sectigo verwendet.

Zertifikate werden nach dem Validierungsgrad unterschieden: DV (Domain Validated) – nur der Domainbesitz wird geprüft, kostenlos bei Let's Encrypt. OV (Organization Validated) – die Organisation wird zusätzlich verifiziert. EV (Extended Validation) – strengste Prüfung, früher grüne Adresszeile im Browser. Für die IHK ist DV vs. OV vs. EV eine häufige Wissensfrage.

4) Cipher Suites und TLS-Versionen

Eine Cipher Suite ist eine benannte Kombination aus Algorithmen für den Schlüsselaustausch, die Authentifizierung, die Verschlüsselung und den Nachrichtenauthentifizierungscode (MAC). Der Name sieht kryptisch aus, folgt aber einem festen Schema.

Cipher Suite – Aufbau am Beispiel

TLS_AES_256_GCM_SHA384 – was bedeutet das?

TLS 1.3

TLS_AES_256_GCM_SHA384 │ │ │ │ │ │ │ └─ SHA384: Hash-Algorithmus für HKDF │ │ └──────── GCM: Betriebsmodus (Galois/Counter Mode) │ └──────────────────── AES-256: Verschlüsselung (256-bit Schlüssel) └──────────────────────── TLS: Protokoll

In TLS 1.3 ist der Schlüsselaustausch (immer ECDHE) nicht mehr Teil der Cipher Suite – er ist fest eingebaut. Damit sind unsichere Algorithmen wie RSA-Schlüsselaustausch oder RC4 strukturell ausgeschlossen.

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 – TLS 1.2 Format

TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 │ │ │ │ │ │ │ │ │ └─ SHA256: MAC/PRF-Hash │ │ │ └──────── GCM: Betriebsmodus │ │ └──────────────── AES-128: Verschlüsselung │ └───────────────────────── RSA: Server-Authentifizierung └─────────────────────────────── ECDHE: Schlüsselaustausch (Perfect Forward Secrecy)

ECDHE steht für Elliptic Curve Diffie-Hellman Ephemeral – „Ephemeral" bedeutet, dass für jede Sitzung ein neuer Schlüssel generiert wird. Das gewährleistet Perfect Forward Secrecy: selbst wenn der private Schlüssel des Servers später kompromittiert wird, können vergangene Sitzungen nicht entschlüsselt werden.

Version	Status	Besonderheit
SSL 2.0 / 3.0	⛔ Unsicher	Schwere Schwachstellen (POODLE, DROWN). Überall deaktiviert.
TLS 1.0 / 1.1	⛔ Veraltet	Seit 2020/2021 von allen großen Browsern abgeschaltet.
TLS 1.2	✓ Akzeptiert	Noch weit verbreitet, mit guten Cipher Suites sicher.
TLS 1.3	✓ Empfohlen	Schneller (1-RTT), nur sichere Cipher Suites, PFS immer aktiv.

5) HTTPS einrichten – Kurzübersicht

In der Praxis – etwa beim Einrichten eines Webservers im Betrieb – musst du wissen, wie du ein TLS-Zertifikat beschaffst und konfigurierst. Die häufigste Lösung heute ist Let's Encrypt mit dem Certbot-Tool, das Zertifikate automatisch ausstellt und erneuert.

Let's Encrypt Zertifikat mit Certbot (nginx)

# Certbot installieren root@srv:~# apt install certbot python3-certbot-nginx -y # Zertifikat ausstellen und nginx automatisch konfigurieren root@srv:~# certbot --nginx -d beispiel.de -d www.beispiel.de Saving debug log to /var/log/letsencrypt/letsencrypt.log Requesting a certificate for beispiel.de and www.beispiel.de Successfully received certificate. Certificate is saved at: /etc/letsencrypt/live/beispiel.de/fullchain.pem Key is saved at: /etc/letsencrypt/live/beispiel.de/privkey.pem Expiry date: 2025-08-01 # Automatische Erneuerung (läuft als systemd-Timer) root@srv:~# certbot renew --dry-run Congratulations, all simulated renewals succeeded. # TLS-Konfiguration in nginx prüfen root@srv:~# nginx -t nginx: configuration file /etc/nginx/nginx.conf test is successful

Certbot setzt automatisch eine HTTP→HTTPS-Weiterleitung ein (301 Redirect) und konfiguriert die SSL-Parameter. Die Erneuerung erfolgt vor Ablauf der 90-Tage-Laufzeit automatisch.

HTTPS ist die Grundvoraussetzung für weitere Sicherheitsmechanismen: Verschlüsselung und Kryptografie erklärt die mathematischen Grundlagen von RSA und AES. PKI und Zertifikatsverwaltung werden in Kurs K26 vertieft. SSH – das sichere Remote-Protokoll – verwendet denselben Kryptografie-Stack und wird in SSH: Sicherer Fernzugriff erklärt.

HTTPS und TLS im Alltag

1) HTTP vs. HTTPS – direkter Vergleich

🔓 HTTP (Port 80)

🔒 HTTPS (Port 443)

2) TLS-Handshake

3) TLS-Zertifikate

4) Cipher Suites und TLS-Versionen

5) HTTPS einrichten – Kurzübersicht

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title