Official Blog
HTTPS vs. HTTP. Unterschiede & Nutzen
Peter Lauer
3. July 2021

HTTPS vs. HTTP. Unterschiede & Nutzen

Möchten Sie eine Webseite oder die DSM-Oberfläche in Ihrem Browser aufrufen? Dafür wird ein Protokoll benötigt, das die jeweilige Webseite aus dem Netz in Ihren Browser lädt. Das meist verwendete Protokoll hierfür ist HTTP. Alternativ gibt es auch noch HTTPS.

Wo liegen die Unterschiede zwischen den beiden Protokollen? Wofür werden sie gebraucht?

HTTP (Hypertext Transfer Protocol) wird genutzt, um Webseiten vom Server in einen Webbrowser zu laden. HTTPS (Hypertext Transfer Protocol Secure) tut dies grundlegend auch – allerdings verschlüsselt. Auf diesem Wege wird die Kommunikation zwischen den Betreibern einer Webseite und einem Browser abhörsicher gemacht.

Wird HTTPS genutzt, muss sich der Webserver gegenüber dem Client (dem User) authentifizieren. Die Authentifizierung geschieht über ein Zertifikat, welches man sich als ‘Personalausweis’ der Webseite vorstellen kann. HTTPS bestätigt Sie als User: Hinter der Adresse, die Sie aufgerufen haben, verbirgt sich tatsächlich der Webserver, den Sie vermuten! Außerdem wird die Verbindung Point-to-Point verschlüsselt und in neueren Versionen Ende-zu-Ende-verschlüsselt. Die gesamte Kommunikation (z. B. die Eingabe von persönlichen Daten) zwischen User und Server ist von außen nicht einsehbar. Diese Sicherheitstechnologie muss nicht etwa installiert werden, sondern wird von jedem Browser unterstützt.

SSL- und TLS-Protokoll

Für die Authentifizierung und Verschlüsselung ist wiederum das Protokoll SSL bzw. TLS zuständig. Beide Protokolle stellen die Verschlüsslung einer Verbindung sicher.

Aus welchem Grund braucht man HTTPS?

Daten, die über ein unverschlüsseltes Protokoll übertragen werden, sind theoretisch als Klartext einsehbar und – mit dem nötigen Know-How – manipulierbar.

Wie erkennt man HTTPS?

Wenn Sie eine Webseite öffnen, können Sie die Verwendung von HTTPS an zwei Merkmalen erkennen:

  1. Schlosssymbol links neben der Adresszeile

  2. „https://“ in Adresszeile

Warum verwendet nicht jede Webseite HTTPS?

HTTPS zu verwenden, ist nicht immer notwendig. Wichtig ist der Einsatz eines verschlüsselten Protokolls immer dann, wenn persönliche Daten im Spiel sind. Hierzu gehören Webseiten, wie Online-Banking oder Online-Shops!

Ein Rat an Sie

Sobald sensible oder persönliche Daten im Spiel sind, sollten Sie achtsam sein. Schauen Sie nach, ob die jeweilige Webseite das richtige Protokoll verwendet. Wird HTTPS nicht verwendet, kann beim Besuch der Webseite mitgelesen werden. Versuchen Sie die sichere Version der Webseite aufzurufen oder überdenken Sie, ob Sie freiwillig persönliche Daten preisgeben wollen. Besondere Vorsicht ist vor allem bei Kreditkarten-, Bankdaten oder Passwörtern geboten. Zudem gibt es die Möglichkeit „HTTPS everywhere“ als Plugin zu benutzen. Ist das Plugin aktiv, wird immer die verschlüsselte Seite aufgerufen.

Synology & Let‘s encrypt!

Wenn Sie über HTTPS mit einem eurer Synology-Produkten verbinden, kann es passieren, dass einige Browser eine Warnung anzeigen: „Die Webseite ist nicht sicher“. Diese Warnung kann auf Ihrem Smartphone, genau so wie am Computer auftauchen. Aber Entwarnung: Die Webseite ist sicher. Aus welchem Grund erscheint dann die Fehlermeldung? HTTPS braucht stets ein Zertifikat, daher ist bei der Installation von DSM immer eins vorinstalliert. Dieses Zertifikat ist allerdings auf ‘Synology.com’ ausgestellt und passt nicht auf Ihre persönlichen Adressen (z.B. meineNAS.synology.me).

Der Webbrowser fordert ein Zertifikat von DSM an, um die Identität Ihres Synology Produkts zu überprüfen. Allerdings vertraut dieser dem Synology Standardzertifikat nicht und die Adresse im Zertifikat ‘Synology.com’ passt nicht zu Ihrer aufgerufenen Adresse ‘meinNAS.synology.me.

Um die Identität Ihres Synology-Produkts zu überprüfen und sicherzustellen, dass die Verbindung wirklich sicher ist, benötigen Sie ein Drittanbieter-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle und der passenden Adresse ‘meineNAS.synology.me’. Ihnen fehlt quasi ein gültiger Personalausweis (denn auch der Personalausweis kann ablaufen, eine falsche Adresse haben u.s.w.).

Eine Möglichkeit ein solches Zertifikat zu erstellen, ist Let’s Encrypt – eine freie, automatisierte und offene Zertifizierungsstelle. Dieses Feature wird auch von DSM unterstützt.

Haben Sie Anregungen oder Fragen? Schreiben Sie uns bei Linkedin, Facebook oder senden Sie uns Ihre Anfrage über unser Kontaktformular.