SSL.de SSL.de

Was ist HTTPS und wie unterscheidet es sich von HTTP?

RapidSSL SSL Zertifikate
Sectigo SSL Zertifikate
Thawte SSL Zertifikate
GeoTrust SSL Zertifikate
DigiCert SSL Zertifikate

Was ist HTTPS und wie unterscheidet es sich von HTTP?

HTTPS (Hypertext Transfer Protocol Secure) ist die verschlüsselte Variante von HTTP. Beide Protokolle übertragen Webseiten zwischen Browser und Server — HTTPS legt dafür eine TLS-Verschlüsselung darunter, HTTP überträgt im Klartext. Sichtbar ist der Unterschied an der URL: https:// statt http://, plus Schloss-Symbol im Browser.

HTTP wurde 1991 von Tim Berners-Lee entwickelt und ist im RFC 9110 (aktualisiert 2022) standardisiert. HTTPS ist kein eigenes Protokoll, sondern HTTP, das über eine TLS-verschlüsselte Verbindung läuft. Das „S" steht für „Secure" und kam mit Netscape Navigator 1994 erstmals zum Einsatz.

Die wichtigsten Unterschiede im Überblick:

Merkmal HTTP HTTPS
Standard-Port 80 443
Verschlüsselung keine — Übertragung im Klartext TLS 1.2 oder 1.3
SSL-Zertifikat nötig nein ja
Schutz gegen Mitlesen nein ja
Schutz gegen Manipulation nein ja
Identitätsnachweis des Servers nein ja, über das Zertifikat
Browser-Anzeige „Nicht sicher"-Warnung Schloss-Symbol
HTTP/2 und HTTP/3 nicht unterstützt (außer im Klartext-h2c, kaum verbreitet) Standard
Ranking-Signal bei Google Nachteil seit 2014 leichter Vorteil
Cookies mit Secure-Flag funktionieren nicht Voraussetzung

Was genau bei HTTPS verschlüsselt wird:

  • Der Pfad und die Parameter der URL — also alles nach dem Domainnamen, etwa /login?user=12345.
  • HTTP-Header wie Cookies, User-Agent, Referer und Authorization-Tokens.
  • Body der Anfrage und Antwort — Formulardaten, JSON-API-Aufrufe, hochgeladene Dateien.

Was bei HTTPS nicht verschlüsselt wird:

  • Der Domainname selbst (Server Name Indication, SNI) — er wird beim Verbindungsaufbau im Klartext übertragen, damit der Server das richtige Zertifikat ausliefern kann. Mit Encrypted Client Hello (ECH) ändert sich das gerade, die Verbreitung ist aber noch begrenzt.
  • IP-Adresse und Port des Servers — sind für das Routing zwingend sichtbar.
  • Größe und Zeitpunkt der übertragenen Datenpakete — Traffic-Analysen bleiben möglich.

Wie der Wechsel von HTTP zu HTTPS technisch funktioniert:

  1. SSL-Zertifikat für die Domain bestellen und installieren.
  2. Webserver für Port 443 mit TLS 1.2/1.3 konfigurieren.
  3. 301-Weiterleitung von http:// auf https:// einrichten — alle Besucher und Suchmaschinen werden dauerhaft umgelenkt.
  4. HSTS-Header setzen (Strict-Transport-Security) — Browser merken sich dann, dass Ihre Domain ausschließlich über HTTPS erreichbar ist.
  5. Interne Links in der Website auf https:// oder relative Pfade umstellen, um Mixed-Content-Warnungen zu vermeiden.

HTTP ist heute nur noch in zwei Szenarien gebräuchlich: bei rein internen Diensten ohne externen Zugriff und bei der initialen Weiterleitung auf HTTPS. Für alles andere ist HTTPS Standard — nicht nur aus Sicherheits-, sondern auch aus rechtlichen, SEO- und Performance-Gründen. Browser markieren HTTP-Seiten seit 2018 sichtbar als „Nicht sicher", moderne Webfeatures (HTTP/2, HTTP/3, Service Worker, Geolocation, Push-Benachrichtigungen) funktionieren ausschließlich über HTTPS.

Nach der Umstellung sollten Sie das Ergebnis prüfen. Unser SSL-Check zeigt Ihnen, ob Zertifikat, Zertifikatskette und TLS-Konfiguration sauber ausgeliefert werden — inklusive Hinweisen auf veraltete Protokolle oder fehlende Intermediates.

SSL/TLS-Verschlüsselung

Weitere Fragen und Antworten »

SSL Zertifikate

SSL Check

SSL Verschlüsselung

Hilfe und Support

Rechtliches

© 2016-2026 by Gerwan GmbH. Alle Angaben ohne Gewähr.

Alle Preise inkl. MwSt.