Home Menü

Webseiten verschlüsselt übertragen

Datenübertragungen im Internet finden bis heute in vielen Fällen immer noch unverschlüsselt statt. Obwohl viele Webseiten das HTTPS-Protokoll anbieten, nutzen nur wenige Anwender diese Möglichkeit der sicheren Datenübertragung. In diesem Artikel werden die Grundlagen des HTTP(S)-Protokolls geklärt und Browser Add-Ons gezeigt, die Ihnen zukünftig ohne Aufwand die Daten der aufgerufenen Webseite verschlüsselt übertragen.

Das HTTP-Protokoll

Das HTTP-Protokoll (Hypertext Transfer Protocol) wird hauptsächlich zum Laden von Webseiten und somit zur Übertragung von Daten über ein Netzwerk eingesetzt. Immer wenn Sie in Ihrem Browser eine Webseite aufrufen – beispielsweise www.google.de – kommt das HTTP-Protokoll zum Einsatz. Ohne jetzt näher auf die Details dieses Protokolls einzugehen, ist eine Tatsache entscheidend: Die Daten werden stets unverschlüsselt übertragen.

Das bedeutet, immer wenn Sie eine Webseite über das HTTP-Protokoll aufrufen, werden die Daten vom Webserver zu Ihnen (und umgekehrt) im Klartext (unverschlüsselt) übertragen. Somit kann auf allen Rechnern und Routern, die im jeweiligen Netzwerk durchlaufen werden, ihr Datenverkehr (inklusive Passwörter) mitgelesen werden.

Die sichere Variante: HTTPS-Protokoll

Das HTTPS-Protokoll (Hypertext Transfer Protocol Secure) ist syntaktisch identisch zum vorher beschriebenen HTTP-Protokoll. Zusätzlich werden die Daten jedoch mittels SSL/TLS verschlüsselt. Der große Vorteil hierbei: Netscape als Entwickler des HTTPS-Protokolls hat dieses bereits früh in den eigenen Browser integriert, weshalb aktuell alle gängigen Browser problemlos die Übertragung der Daten mittels HTTPS realisieren. (Das dies in anderen Bereichen der verschlüsselten Datenübertragung nicht immer so ist, zeigt Ihnen der Artikel E-Mail Verschlüsselung – Die Grundlagen)

Die Gefahren von HTTP – Praxisbeispiel

Viel zitiert im Bereich der IT-Security ist das Beispiel „Internetcafé“. Stellen Sie sich vor, Sie sind auf Geschäftsreise in einer fremden Stadt und haben Ihr Laptop im Zug vergessen. Aufgrund einer Frist müssen Sie aber innerhalb der nächsten Stunde Ihrem Geschäftspartner eine wichtige E-Mail weiterleiten, welche Sie noch im Büro vorbereitet und im Entwurfsordner abgelegt haben. Ihr erster Weg führt ins Internetcafé am Bahnhof. Dort loggen Sie sich über den Browser in Ihren E-Mail-Webclient ein und leiten dem Geschäftspartner die E-Mail weiter.

Ohne es zu merken, haben Sie vielleicht einen fatalen Fehler begangen: Ihr E-Mail-Webclient wurde per HTTP aufgerufen und Ihr Login-Passwort unverschlüsselt übertragen. Ein weiterer Nutzer des Internetcafés war gleichzeitig mit Ihnen vor Ort und hat den Netzwerkverkehr am Router mit einem Tool überwacht und aufgezeichnet. Dieser Nutzer hat nun sowohl Ihre Benutzerkennung als auch Ihr Passwort …

Die Entscheidung – HTTP oder HTTPS

Wie in der Einleitung bereits erwähnt, bieten viele Webseitenbetreiber sowohl eine verschlüsselte Verbindung über HTTPS als auch eine unverschlüsselte Verbindung über HTTP an. Wann welches Protokoll im konkreten Fall zum Einsatz kommt, entscheidet in der Regel der Betreiber der Internetseite.

Allerdings können Sie die Übertragungsart auch selbst beeinflussen: Wenn Sie beispielsweise nicht – wie vielleicht üblich – die Google Webseite über www.google.de aufrufen, sondern über https://www.google.de. Den entscheidenden Unterschied zwischen diesen beiden Aufrufen sehen Sie sofort in Ihrem Browser (am Beispiel in Mozilla Firefox).

Aufruf von www.google.de:

 

Aufruf von https://www.google.de

Webseiten verschlüsselt übertragen - Verschlüsselt per HTTPS

Im ersten Fall wird die Webseite von Google per HTTP unverschlüsselt angefordert und übertragen. Im zweiten Fall werden die Daten hingegen mittels HTTPS verschlüsselt. Dies ist im Browser anhand des Schloss-Symbols vor der URL ersichtlich.

Das Add-On HTTPS Everywhere – Anwenderfreundliches HTTPS

Da Sie in vielen Fällen nicht wissen, ob eine Webseite überhaupt das HTTPS-Protokoll anbietet, wäre es sehr mühselig, wenn Sie bei jedem Aufruf einer Webseite zuerst testen müssten, ob die Webseite per HTTPS erreichbar ist. Genau für diese Fälle hat die EFF (Electronic Frontier Foundation) in Zusammenarbeit mit dem TOR-Projekt ein Tool namens HTTPS Everywhere entwickelt, welches aktuell für Mozilla Firefox und Google Chrome als Add-On verfügbar ist.

Dieses kleine Tool versucht automatisch die aufgerufene Webseite per HTTPS-Protokoll anzufordern. Der große Vorteil hierbei: Unterstützt eine Webseite nur teilweise HTTPS, dann wird nicht komplett auf eine verschlüsselte Übertragung verzichtet, sondern wenn es technisch möglich ist, werden die Daten zum Teil verschlüsselt übertragen. Ruft man beispielsweise eine seiner News-Webseiten auf, so könnten die Textdaten verschlüsselt per HTTPS übertragen werden, die Bilder allerdings nur unverschlüsselt über HTTP.

Als Voraussetzung für die erfolgreiche Nutzung des Add-Ons geben die Entwickler allerdings folgende zwei Punkte an: Zum einen muss die Webseite HTTPS unterstützen und zum anderen muss für die Webseite ein sogenanntes Ruleset implementiert sein. Nähere Informationen zum Ruleset erfahren Sie unter HTTPS Everywhere Ruleset.

Fazit

Der kleine aber feine Unterschied macht's. Wer anstatt dem HTTP-Protokoll das sichere HTTPS-Protokoll verwendet, surft im Internet in Zukunft wesentlich sicherer. Um Webseiten im Standard verschlüsselt zu übertragen, empfiehlt sich die Verwendung des HTTPS Everywhere Add-Ons für Mozilla Firefox und Google Chrome.

Getestet unter Mozilla Firefox 19.0(.2) und HTTPS Everywhere 3.1(.4)

Veröffentlicht von Josef Seidl

Josef Seidl hat an der TU München und der Stanford University Wirtschaftsinformatik studiert, bevor er mit INNOSPOT sein eigenes Unternehmen gründete. Er ist begeistert von Technik, schätzt performante Webseiten und ist gerne in den Bergen unterwegs. Zu finden ist er auch bei LinkedIn und privat bei Twitter.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.