Hyper Text Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP. HTTPS wird für die vertrauliche Kommunikation im Internet verwendet, z. B. für Online-Transaktionen und den Austausch von Nachrichten in sozialen Netzwerken.
HTTPS ist ein Internetprotokoll, das durch eine SSL/TLS-Handshake-Sitzung eingerichtet wird. Webbrowser wie Internet Explorer, Firefox und Chrome zeigen das Schlosssymbol in der Adressleiste an, um anzuzeigen, dass eine HTTPS-Verbindung aktiv ist.
SSL (Secure Sockets Layer) / TLS (Transport Layer Security) ist eine Standardtechnologie, um dafür zu sorgen, dass die HTTP-Verbindung sicher bleibt. Es verwendet Verschlüsselungsalgorithmen, um zu verhindern, dass Informationen von unbefugten Personen oder Systemen gelesen und verändert werden können. Die Authentifizierungsalgorithmen von SSL/TLS bieten eine sichere Identität des Endpunkts. TLS ist eine aktualisierte, sicherere Version von SSL. Heutzutage ist TLS die primäre Lösung, um den Datenverkehr über das Internet zu sichern. Dennoch wird der Begriff 'SSL' immer noch verwendet, um die Sicherheitstechnologie von HTTPS-Sitzungen zu beschreiben.
In diesem Handbuch wird SSL/TLS verwendet, um auf die SSL-Technologie zu verweisen.
Für die Einrichtung einer HTTPS-Verbindung zwischen einem Client und einem Server ist mindestens das Identitätszertifikat des Servers für die Authentifizierung erforderlich.
Die SSL/TLS-Handshake-Sitzung ist der erste Schritt, um eine HTTPS-Verbindung herzustellen. Während des SSL/TLS-Handshake führen Server und Client Authentifizierungs- und Aushandlungsverfahren durch. Sie verhandeln über die TLS-Version, den Algorithmus für den Schlüsselaustausch und den Algorithmus zur Verschlüsselung des Informationsaustausches. Der Satz von Verschlüsselungsalgorithmen wird auch als Verschlüsselungsfolge bezeichnet.
Beispiel:
Nachfolgend finden Sie ein Schema, das die wichtigsten Schritte des SSL/TLS-Handshake zwischen Webserver und Browser erklärt.
SSL/TLS-HandshakeDer Browser fordert eine HTTPS-Verbindung an.
Der Webserver sendet eine Kopie seines Identitätszertifikats, die in seinem öffentlichen Schlüssel eingebettet ist.
Der Browser überprüft das Identitätszertifikat und den öffentlichen Schlüssel.
Browser und Webserver vereinbaren einen gemeinsamen Verschlüsselungsschlüssel.
Browser und Webserver verwenden denselben gemeinsamen Schlüssel, um Nur-Text in Verschlüsselungstext zu verschlüsseln und Verschlüsselungstext in Nur-Text zu entschlüsseln.
HINWEIS
Um die Sicherheit der Verbindung zu gewährleisten, wird für jede neue Sitzung ein neuer gemeinsamer Schlüssel ausgehandelt und erstellt.