Was ist HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) ist die verschlüsselte Version des HTTP-Protokolls, das zur Datenübertragung im Web verwendet wird. HTTPS schützt die Kommunikation zwischen Webbrowser und Webserver durch TLS/SSL-Verschlüsselung vor Abhören, Manipulation und Man-in-the-Middle-Angriffen. Erkennbar ist HTTPS am Schloss-Symbol in der Browseradressleiste und der URL-Präfix https://. Seit 2014 ist HTTPS ein offizieller Google-Rankingfaktor. Laut Google Transparenzbericht werden heute über 95 % aller Seitenaufrufe in Chrome über HTTPS übertragen. Für jede Website, die sensible Daten verarbeitet – Online-Banking, E-Commerce, Login-Bereiche – ist HTTPS keine Option, sondern Pflicht.
HTTPS ist das digitale Äquivalent eines versiegelten Briefumschlags: Es stellt sicher, dass nur Absender und Empfänger den Inhalt lesen können – kein Angreifer dazwischen. Ohne HTTPS ist jede Dateneingabe im Internet ein offener Brief.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| Chrome-Seitenaufrufe über HTTPS | >95 % | Google Transparenzbericht 2024 |
| HTTPS als Google-Rankingfaktor seit | 2014 | Google Search Central |
| Standardport HTTPS | 443 (HTTP: 80) | IANA / RFC 2818 |
| TLS 1.3 eingeführt | 2018 (RFC 8446) | IETF |
| Let's Encrypt: Ausgestellte Zertifikate | >3 Milliarden (kumulativ) | Let's Encrypt Stats 2024 |
HTTP vs. HTTPS – Der Vergleich
| Merkmal | HTTP | HTTPS |
|---|---|---|
| Verschlüsselung | Keine (Klartext) | TLS/SSL-Verschlüsselung |
| Port | 80 | 443 |
| Datenintegrität | Keine Garantie | Manipulationsschutz |
| Authentifizierung | Nein | Zertifikatsvalidierung |
| Google-Ranking | Kein Vorteil | Positiver Rankingfaktor |
| Browseranzeige | „Nicht sicher"-Warnung | Schloss-Symbol |
| Performance | Marginal schneller (historisch) | Gleich schnell (HTTP/2, TLS 1.3) |
Wie funktioniert HTTPS? – TLS-Handshake
1. CLIENT HELLO → Browser sendet unterstützte TLS-Versionen & Cipher-Suites
2. SERVER HELLO ← Server wählt TLS-Version, sendet Zertifikat
3. ZERTIFIKAT ← Browser prüft Zertifikat bei der Zertifizierungsstelle (CA)
4. KEY EXCHANGE ↔ Austausch des Session-Schlüssels (asymmetrisch → symmetrisch)
5. FERTIG ↔ Alle weiteren Daten sind verschlüsselt übertragen
Der gesamte TLS-Handshake dauert bei TLS 1.3 nur noch einen Round-Trip (RTT) – TLS 1.2 benötigte zwei RTTs.
SSL-Zertifikatstypen
| Typ | Validierungsebene | Ausstellungszeit | Empfohlen für |
|---|---|---|---|
| DV (Domain Validation) | Nur Domain-Eigentumsnachweis | Minuten | Blogs, kleine Websites |
| OV (Organization Validation) | + Unternehmensverifizierung | 1–3 Tage | Unternehmenswebsites |
| EV (Extended Validation) | Vollständige Unternehmensüberprüfung | 1–5 Tage | Banken, E-Commerce |
| Wildcard | Deckt alle Subdomains ab | Minuten–Tage | SaaS-Plattformen |
| Multi-Domain (SAN) | Mehrere Domains in einem Zertifikat | Minuten–Tage | Konzerne |
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen SSL und TLS?
SSL (Secure Sockets Layer) ist das ältere Protokoll, das durch TLS (Transport Layer Security) ersetzt wurde. SSL 2.0/3.0 sind veraltet und unsicher (beide offiziell 2015 von der IETF als deprecated erklärt). TLS 1.2 und TLS 1.3 sind die aktuellen Standards. Umgangssprachlich werden beide Begriffe oft synonym verwendet, technisch korrekt ist heute TLS.
Ist HTTPS = sicher? Kann ich jeder HTTPS-Seite vertrauen?
Nein – HTTPS bedeutet nur, dass die Verbindung verschlüsselt ist. Es sagt nichts darüber aus, ob die Website selbst vertrauenswürdig ist. Phishing-Seiten nutzen ebenfalls HTTPS und gültige Zertifikate. Das Schloss-Symbol bestätigt: „Die Verbindung ist verschlüsselt" – nicht: „Diese Website ist seriös.
Wie erhalte ich ein kostenloses SSL-Zertifikat?
Let's Encrypt (letsencrypt.org) bietet kostenlose, automatisch erneuerte DV-Zertifikate. Alle gängigen Hosting-Anbieter und Webserver (Apache, Nginx) unterstützen Let's Encrypt über Certbot. Zertifikate sind 90 Tage gültig und können automatisch verlängert werden. Für OV/EV-Zertifikate sind kostenpflichtige CAs (DigiCert, Sectigo) erforderlich.
Verbessert HTTPS die Website-Performance?
Nicht mehr. Mit HTTP/2 (das HTTPS voraussetzt) und TLS 1.3 ist HTTPS sogar schneller als HTTP in der Praxis: HTTP/2 ermöglicht Multiplexing (parallele Anfragen über eine Verbindung), Header-Komprimierung und Server Push. TLS 1.3 reduziert den Verbindungsaufbau auf einen Round-Trip.
Was passiert, wenn das SSL-Zertifikat abläuft?
Browser zeigen eine Sicherheitswarnung: „Ihre Verbindung ist nicht sicher". Nutzer können die Seite zwar (mit Ausnahme-Klick) trotzdem aufrufen, aber das Vertrauen wird massiv beschädigt. Suchmaschinen können das Ranking beeinflussen. Abgelaufene Zertifikate sind ein häufiges Problem – automatische Erneuerung (z. B. per Let's Encrypt Certbot) verhindert Ausfälle.
Fazit
HTTPS ist heute Standard und kein optionales Feature mehr. Mit über 95 % HTTPS-Traffic in modernen Browsern, dem Google-Rankingbonus und der Verfügbarkeit kostenloser Zertifikate durch Let's Encrypt gibt es keine valide Begründung mehr für HTTP-only-Websites. TLS 1.3 macht HTTPS nicht nur sicherer, sondern auch schneller als sein Vorgänger. Jede Website, die Daten von Nutzern verarbeitet, ist gesetzlich und ethisch verpflichtet, HTTPS zu implementieren.
Marius Bopp
Prokurist & Technischer Leiter · You Logic AG
IT-Experte mit 18 Jahren Berufserfahrung. Seit 12 Jahren bei You Logic AG verantwortlich für Cloud Computing, IT-Security und Managed Services im Rhein-Main-Gebiet.
LinkedIn
