Alle SSL-Artikel SSL & Zertifikate

Was ist HTTPS? Ein vollstaendiger Leitfaden

HTTPS (Hypertext Transfer Protocol Secure) ist die verschlüsselte Version von HTTP — dem Protokoll, das Browser zur Kommunikation mit Websites verwenden. Wenn eine Website HTTPS verwendet, werden alle Daten zwischen Ihrem Browser und dem Server verschlüsselt, sodass niemand dazwischen sie lesen oder verändern kann.

Sie erkennen, dass eine Website HTTPS verwendet, am https://-Präfix in der URL und am Schloss-Symbol in der Adressleiste Ihres Browsers. Stand 2026 verwenden 86,9 % der Websites HTTPS und Browser kennzeichnen alle HTTP-Seiten als „Nicht sicher”.

Wie HTTPS funktioniert

HTTPS fügt eine TLS (Transport Layer Security)-Verschlüsselung über reguläres HTTP hinzu. Wenn Sie eine HTTPS-Website besuchen, findet in Millisekunden ein TLS-Handshake statt:

  1. Browser verbindet sich — sendet unterstützte TLS-Versionen, Cipher Suites und eine Zufallszahl an den Server
  2. Server antwortet — sendet seine gewählte Cipher Suite, sein SSL/TLS-Zertifikat (mit seinem öffentlichen Schlüssel) und eine Zufallszahl
  3. Browser überprüft — prüft, ob das Zertifikat abgelaufen ist, zur Domain passt und von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
  4. Sitzungsschlüssel wird ausgehandelt — beide Seiten verwenden asymmetrische Verschlüsselung (Diffie-Hellman-Schlüsselaustausch), um sich auf einen gemeinsamen geheimen Sitzungsschlüssel zu einigen
  5. Verschlüsselte Kommunikation beginnt — alle nachfolgenden Daten werden mit dem symmetrischen Sitzungsschlüssel verschlüsselt

Nach dem Handshake ist alles verschlüsselt: HTML, Bilder, CSS, JavaScript, Formularübermittlungen, Cookies, API-Antworten und URL-Pfade.

Vertiefung: Wie SSL/TLS funktioniert →

HTTP vs HTTPS

HTTPHTTPS
VerschlüsselungKeine — Daten werden im Klartext gesendetAlle Daten mit TLS verschlüsselt
Standard-Port80443
URL-Präfixhttp://https://
Zertifikat erforderlichNeinJa (SSL/TLS-Zertifikat)
Browser-Anzeige„Nicht sicher”-WarnungSchloss-Symbol
DatenintegritätNein — Daten können während der Übertragung verändert werdenJa — Manipulation wird erkannt
AuthentifizierungKeine — kein Beweis, dass der Server echt istZertifikat beweist die Serveridentität
SEO-SignalNegativ (seit 2014)Positiv (Google-Ranking-Faktor)
HTTP/2-UnterstützungNein (in der Praxis)Ja — schnelleres Laden
Erforderlich fürNichts ModernesService Workers, Geolokalisierung, Kamera-/Mikrofon-APIs, Zahlungsformulare

Der Unterschied betrifft nicht nur die Sicherheit — HTTPS ermöglicht moderne Webfunktionen, die HTTP nicht nutzen kann. Browser beschränken Service Workers, die Geolocation API, die Clipboard API und andere leistungsstarke APIs auf HTTPS-Ursprünge.

Warum jede Website HTTPS braucht

Datenschutz

Ohne HTTPS kann jeder im gleichen Netzwerk genau sehen, was Sie tun. Ein WLAN-Betreiber im Café, ein Unternehmens-Proxy, ein ISP — sie können jede Seite lesen, die Sie besuchen, jedes Formular, das Sie absenden, jeden Cookie, der übertragen wird. HTTPS verschlüsselt all dies.

Das ist nicht theoretisch. ISPs wurden dabei dokumentiert, wie sie Werbung und Tracking-Code in unverschlüsselten HTTP-Traffic eingeschleust haben.

Datenintegrität

HTTPS garantiert, dass die empfangenen Daten während der Übertragung nicht verändert wurden. Ohne HTTPS könnte ein bösartiger Netzwerkbetreiber:

  • Werbung oder Kryptowährungs-Miner in Ihre Seiten einschleusen
  • Download-Links durch Malware ersetzen
  • Preise oder Bedingungen auf Ihrer Website ändern
  • Tracking-Skripte einschleusen

HTTPS erkennt jede Änderung — der Browser weist manipulierte Daten zurück.

Authentifizierung

Das Zertifikat beweist, dass Sie mit dem echten Server verbunden sind, nicht mit einem Betrüger. Ohne HTTPS kann ein bösartiger WLAN-Hotspot (namens „Kostenloses Flughafen-WLAN”) Sie stillschweigend auf eine gefälschte Version einer beliebigen Website umleiten. Mit HTTPS kann die gefälschte Website kein gültiges Zertifikat für die Domain vorweisen — der Browser blockiert die Verbindung.

SEO

Google verwendet HTTPS seit 2014 als Ranking-Signal. Obwohl es ein leichtgewichtiges Signal ist (Google beschreibt es als „Tiebreaker”), ist es eines der am einfachsten zu implementierenden Signale. Wichtiger noch: HTTP-Seiten lösen Chromes „Nicht sicher”-Warnung aus, was die Absprungrate erhöht — und die Absprungrate beeinflusst indirekt die Rankings.

Leistung

Ein verbreitetes Missverständnis ist, dass HTTPS langsamer ist. In Wirklichkeit:

  • Der TLS-Handshake fügt einen Roundtrip (TLS 1.3) oder zwei (TLS 1.2) hinzu — typischerweise 10-50 ms
  • HTTP/2 (das HTTPS erfordert) ist durch Multiplexing, Header-Komprimierung und Server-Push deutlich schneller als HTTP/1.1
  • Sitzungswiederaufnahme eliminiert den Handshake-Overhead für wiederkehrende Besucher (0-RTT in TLS 1.3)
  • Moderne CPUs verarbeiten AES-Verschlüsselung in Hardware (AES-NI) — der CPU-Aufwand ist vernachlässigbar

In der Praxis laden HTTPS-Seiten mit HTTP/2 schneller als HTTP/1.1-Seiten.

Browser-Anforderungen

Moderne Browser beschränken leistungsstarke APIs auf sichere Kontexte (nur HTTPS):

  • Service Workers — erforderlich für PWAs, Offline-Unterstützung, Push-Benachrichtigungen
  • Geolocation API — GPS- und Standortzugriff
  • Kamera/MikrofongetUserMedia() für Videoanrufe
  • Clipboard API — Lesen aus der Zwischenablage
  • Payment Request API — native Zahlungs-UI
  • Web Bluetooth, Web USB — Hardwarezugriff

Wenn Ihre Website eine dieser Funktionen benötigt, ist HTTPS obligatorisch — nicht optional.

Häufige Missverständnisse

„HTTPS wird nur für Login-Seiten und Zahlungen benötigt.” Jede Seite sollte HTTPS verwenden. Selbst statische Blogbeiträge übertragen Cookies, die über HTTP gestohlen werden könnten. HTTP-Seiten können während der Übertragung verändert werden, um schädliche Inhalte einzuschleusen. Und Browser warnen jetzt auf allen HTTP-Seiten — nicht nur auf solchen mit Formularen.

„HTTPS macht meine Website langsamer.” TLS 1.3 fügt bei der ersten Verbindung ~10-40 ms hinzu. HTTP/2 (das HTTPS erfordert) kompensiert dies mehr als durch Multiplexing und Komprimierung. Die Sitzungswiederaufnahme macht nachfolgende Besuche noch schneller. Auf moderner Hardware wird die Verschlüsselung selbst durch CPU-Befehle (AES-NI) verarbeitet und verursacht keinen messbaren Overhead.

„HTTPS-Zertifikate sind teuer.” Let’s Encrypt stellt kostenlose Zertifikate aus. Über 300 Millionen Websites nutzen sie — einschliesslich grosser Unternehmen und Regierungsseiten. Mit GetHTTPS erhalten Sie eines in 5 Minuten, ohne Software zu installieren.

„Mein Hosting-Anbieter kümmert sich um HTTPS, ich muss es nicht verstehen.” Wahrscheinlich richtig für einfache Websites. Aber wenn Sie jemals eine „Mixed Content”-Warnung, einen Zertifikatsfehler sehen oder eine Weiterleitung einrichten müssen — hilft Ihnen das Verständnis von HTTPS bei der Diagnose und Behebung des Problems. Und wenn Sie den Host wechseln, müssen Sie wissen, wie Zertifikate funktionieren.

„Das Schloss-Symbol bedeutet, dass die Website sicher ist.” Das Schloss bedeutet, dass die Verbindung verschlüsselt ist — nicht, dass die Website selbst vertrauenswürdig ist. Über 90 % der Phishing-Seiten verwenden mittlerweile HTTPS. Das Schloss bestätigt, mit wem Sie verbunden sind (über das Zertifikat), nicht ob diese Person ehrlich ist.

So aktivieren Sie HTTPS auf Ihrer Website

  1. Zertifikat besorgen — Verwenden Sie GetHTTPS, um ein kostenloses Let’s Encrypt-Zertifikat in Ihrem Browser zu erhalten. Keine Installation, kein Konto.

  2. Auf Ihrem Server installieren — Siehe unsere Anleitungen für Nginx, Apache, cPanel, WordPress, IIS oder Docker.

  3. HTTP auf HTTPS umleiten — Erzwingen Sie, dass der gesamte Traffic auf die sichere Version geleitet wird. Weiterleitungsanleitung →

  4. Mixed Content beheben — Stellen Sie sicher, dass alle Ressourcen (Bilder, Skripte, CSS) über HTTPS geladen werden. Mixed-Content-Anleitung →

  5. Erneuerung einrichten — Let’s Encrypt-Zertifikate gelten 90 Tage. Erneuerungsanleitung →

Die Zukunft von HTTPS

Die Zertifikatsgültigkeit wird kürzer. Das CA/Browser Forum hat abgestimmt, die maximale Zertifikatsgültigkeit bis 2029 auf 47 Tage zu reduzieren. Dies macht automatisierte Erneuerungstools (Certbot, acme.sh) oder einfache manuelle Tools (GetHTTPS) zunehmend wichtig.

HTTP/3 und QUIC. Die nächste Generation von HTTP läuft über QUIC, das Verschlüsselung direkt in die Transportschicht integriert — es gibt keine unverschlüsselte Version. HTTPS ist nicht mehr nur eine Schicht; es wird untrennbar vom Protokoll selbst.

Encrypted Client Hello (ECH). TLS 1.3 verschlüsselt den Grossteil des Handshakes, aber die SNI (Server Name Indication) — die offenlegt, mit welcher Domain Sie sich verbinden — ist noch sichtbar. ECH verschlüsselt auch die SNI, sodass es für Netzwerkbeobachter unmöglich wird zu sehen, welche bestimmte Website Sie auf einem gemeinsam genutzten Server besuchen.

Häufig gestellte Fragen

Ist HTTPS wirklich sicher?

HTTPS mit modernem TLS (1.2 oder 1.3) ist äusserst sicher gegen Abhören und Manipulation. Es existiert kein praktischer Angriff gegen korrekt konfiguriertes TLS 1.3. Die verbleibenden Risiken liegen an den Endpunkten (Malware auf Ihrem Gerät, kompromittierter Server), nicht bei der verschlüsselten Verbindung selbst.

Brauche ich HTTPS für eine statische Website?

Ja. Auch ohne Formulare oder Logins verhindert HTTPS das Einschleusen von Inhalten (Werbung, Malware), schützt die Privatsphäre der Besucher (welche Seiten sie ansehen), ermöglicht HTTP/2 (schnelleres Laden) und vermeidet die „Nicht sicher”-Browserwarnung.

Beeinflusst HTTPS die SEO?

Ja. Google hat HTTPS 2014 als Ranking-Signal bestätigt. Es ist ein leichtgewichtiges Signal, aber in Kombination mit der „Nicht sicher”-Warnung (die die Absprungrate erhöht) haben HTTP-Seiten einen messbaren SEO-Nachteil.

Was ist der Unterschied zwischen SSL und TLS?

SSL (Secure Sockets Layer) war das ursprüngliche Verschlüsselungsprotokoll, das von Netscape in den 1990er Jahren entwickelt wurde. TLS (Transport Layer Security) hat es ersetzt. Alle SSL-Versionen sind veraltet und unsicher. Wenn heute jemand „SSL-Zertifikat” sagt, meint er ein Zertifikat, das mit TLS verwendet wird. Die Begriffe werden in der Praxis austauschbar verwendet.

Was kostet HTTPS?

Nichts — wenn Sie Let’s Encrypt verwenden. GetHTTPS stellt Let’s Encrypt-Zertifikate kostenlos aus, direkt in Ihrem Browser. Kostenpflichtige Zertifikate (50-500 $/Jahr) existieren, bieten aber die gleiche Verschlüsselungsstärke — der Unterschied liegt im Identitätsvalidierungsniveau, nicht in der Sicherheit.

Schützt HTTPS vor allen Angriffen?

Nein. HTTPS schützt Daten während der Übertragung — es verhindert Abhören, Manipulation und Server-Identitätsbetrug. Es schützt NICHT vor: Malware auf dem Gerät des Benutzers, Schwachstellen in Ihrem Anwendungscode (XSS, SQL Injection), Phishing (das Schloss bedeutet nicht, dass die Website ehrlich ist) oder serverseitigen Sicherheitsverletzungen.

Verwandte Artikel

SSL & Zertifikate 2026-05-08
SSL vs TLS: Was ist der Unterschied?
SSL ist veraltet. TLS ist das, was das Web tatsächlich absichert. Erfahren Sie die vollständige Geschichte von SSL 2.0 bis TLS 1.3, die technischen Unterschiede, warum wir immer noch 'SSL' sagen und was Sie tun müssen (wahrscheinlich nichts).
SSL & Zertifikate 2026-05-07
Wie SSL/TLS funktioniert: Der TLS-Handshake erklärt
Ein visueller Durchgang durch den TLS-Handshake — wie Ihr Browser und ein Server in Millisekunden eine verschlüsselte Verbindung aufbauen. Behandelt TLS 1.2, TLS 1.3, Sitzungswiederaufnahme und Forward Secrecy.
Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Vergleiche 2026-05-08
Die besten kostenlosen SSL-Zertifikatsanbieter 2026 (im Vergleich)
Vergleichen Sie 9 kostenlose SSL-Zertifikatsanbieter hinsichtlich Datenschutz, Limits, Wildcard-Unterstutzung und Automatisierung. Enthalt eigenstandige CAs, Hosting-Anbieter und CDNs -- mit einer Datenschutzanalyse, die kein anderer Vergleich bietet.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten