Das secure Hypertext Transfer Protocol verschlüsselt den Datenverkehr zwischen Surfer und Web-Server mit einem Session-Key, den nur die beiden beteiligten Parteien kennen. Cyberkriminelle und Geheimdienste mit Zugriff auf das WLAN oder das Netz des Telekommunikationsanbieters können nicht mitlesen.

Symmetrische und asymmetrische Verschlüsselung

Zuvor allerdings muss der so genannte symmetrische Session-Key ausgetauscht werden. Das geschieht mit Hilfe der asymmetrischen Verschlüsselung. Dabei kommen geheime und öffentliche Keys sowie Zertifikate zum Einsatz.

Zertifikate bestätigen Echtheit

Was mit einem öffentlichen Key, der offen auf einem so genannten Key-Server im Netz steht, verschlüsselt wird, kann nur mit dem zugehörigen geheimen wieder entschlüsselt werden. Zertifikate bestätigen, dass es sich bei den Kommunikationspartnern tatsächlich um diejenige handelt, die sie angeben zu sein.

Marktorientierte Schlamper

Das ist allerdings auch eine von etlichen Schwachstelle von https. Die Zertifikate werden oft von privatwirtschaftlichen Unternehmen erteilt. Die lassen sich häufig von dubiosen Web-Site-Betreibern bezahlen oder überprüfen sie aus Kostengründen nicht ordentlich. Es ist, als würde man eine TÜV-Plakette von einer gewinnorientierten Autowerksatt kaufen.

VPNs für mehr Sicherheit

Wegen der Schwächen von https setzen viele Surfer auf zusätzliche Sicherheitsvorkehrungen wie VPN, virtuelle Privatnetze. Trotzdem ist https natürlich sicherer als das unverschlüsselte http.