HTTPS
Verschlüsselte Variante des HTTP-Protokolls über TLS — Standard für jede Webseite, die Daten überträgt oder Vertrauen aufbauen will.
Aktualisiert: 23. Februar 2026
Was ist HTTPS?
HTTPS (HyperText Transfer Protocol Secure) ist HTTP mit einer TLS-Verschlüsselungsschicht (früher SSL). Statt Daten im Klartext zu übertragen, werden alle Inhalte zwischen Browser und Server verschlüsselt, signiert und auf Integrität geprüft. HTTPS ist heute kein optionaler Zusatz mehr — Browser markieren reine HTTP-Seiten als "Nicht sicher", Google bewertet HTTPS als Ranking-Faktor, und viele moderne Browser-APIs (Service Workers, Geolocation, Camera) sind ausschließlich auf HTTPS-Ursprüngen verfügbar.
Der technische Kern von HTTPS ist TLS (Transport Layer Security), die Nachfolger-Spezifikation von SSL. Der Begriff "SSL-Zertifikat" ist historisch geblieben, obwohl SSL seit 2015 als unsicher gilt und deaktiviert sein sollte. Was gemeint ist: ein TLS-Zertifikat, das die Identität des Servers bestätigt und den Schlüsselaustausch für die Verschlüsselung ermöglicht.
Kurzprofil
- Typ: Protokoll (HTTP + TLS-Verschlüsselung)
- Port: 443 (HTTP: 80)
- Aktuelle TLS-Version: TLS 1.3 (RFC 8446, 2018)
- Zertifikate: X.509 — ausgestellt von Certificate Authorities (Let's Encrypt, DigiCert etc.)
- Spezifikation: RFC 2818
- Relevanz für WordPress/Web: Grundlegend — Pflicht
Wie funktioniert HTTPS?
Beim Aufbau einer HTTPS-Verbindung findet der sogenannte TLS-Handshake statt, bevor ein einziges Byte HTTP-Inhalt übertragen wird:
- Client Hello: Der Browser sendet unterstützte TLS-Versionen, Cipher Suites und eine zufällige Nonce.
- Server Hello: Der Server wählt TLS-Version und Cipher Suite, sendet sein Zertifikat.
- Zertifikatsprüfung: Der Browser prüft: Ist das Zertifikat von einer vertrauenswürdigen CA signiert? Ist es noch gültig? Stimmt der Domain-Name überein?
- Schlüsselaustausch: Browser und Server einigen sich auf einen Session-Key (bei TLS 1.3 über Elliptic Curve Diffie-Hellman). Der private Schlüssel des Servers verlässt dabei den Server nie.
- Verschlüsselte Kommunikation: Ab jetzt wird alles mit dem Session-Key verschlüsselt — HTTP-Headers, Body, Cookies, alles.
TLS 1.3 (2018) vereinfacht diesen Prozess erheblich: Der Handshake ist schneller (1-RTT statt 2-RTT), unsichere Verfahren sind entfernt, und Forward Secrecy ist verpflichtend (vergangene Sessions bleiben sicher, auch wenn der Server-Key später kompromittiert wird).
HTTPS in der Praxis
Zertifikate mit Let's Encrypt sind seit 2014 kostenlos und automatisch erneuerbar — über ACME-Protokoll (Certbot, Traefik, Caddy). Das hat die HTTPS-Adoption massiv beschleunigt.
Mixed Content ist ein häufiger Stolperstein bei WordPress-Migrationen: Wenn eine HTTPS-Seite Ressourcen über HTTP lädt (Bilder, Skripte, Stylesheets), blockt der Browser diese Ressourcen. In WordPress-Datenbanken stecken oft hartcodierte http://-URLs, die mit Tools wie wp search-replace 'http://domain.de' 'https://domain.de' --all-tables korrigiert werden müssen.
HSTS (HTTP Strict Transport Security) ist die Ergänzung zu HTTPS: Ein Response-Header, der den Browser anweist, diese Domain für einen definierten Zeitraum ausschließlich über HTTPS anzusprechen — auch wenn jemand explizit http:// eingibt.
Das Wichtigste
- HTTPS = HTTP + TLS-Verschlüsselung auf Port 443
- Schützt Vertraulichkeit (Verschlüsselung), Integrität (Signatur) und Authentizität (Zertifikat)
- TLS 1.3 ist der aktuelle Standard — TLS 1.0/1.1 und SSL gelten als unsicher
- Kostenlose Zertifikate über Let's Encrypt (automatische Erneuerung via ACME)
- Mixed Content: Alle Ressourcen auf einer HTTPS-Seite müssen auch über HTTPS geladen werden
Was passiert ohne HTTPS?
Ohne HTTPS sind alle übertragenen Daten im Klartext: Passwörter, Session-Cookies, Formulardaten — alles lesbar für jeden, der den Netzwerktraffic mitlesen kann (im selben WLAN, beim ISP, bei Man-in-the-Middle-Angriffen). Browser zeigen "Nicht sicher" in der Adressleiste. Google stuft HTTP-Seiten im Ranking herab. Service Workers und viele moderne APIs verweigern die Funktion.
Zusätzlich: HTTP-Traffic kann von Dritten (ISP, WLAN-Betreiber) modifiziert werden — Werbung eingeschleust, Inhalte verändert, Tracking-Pixel hinzugefügt. HTTPS verhindert das durch kryptografische Integritätssicherung.
Häufige Fragen
Was ist der Unterschied zwischen SSL und TLS? SSL (Secure Sockets Layer) war der Vorgänger von TLS. SSL 2.0, SSL 3.0 und TLS 1.0/1.1 gelten als unsicher und sind in aktuellen Browsern deaktiviert. TLS 1.2 und 1.3 sind der aktuelle Standard. Der Begriff "SSL-Zertifikat" ist historisch geblieben — gemeint ist immer ein TLS-Zertifikat.
Wie lange sind Let's Encrypt Zertifikate gültig? Let's Encrypt-Zertifikate sind 90 Tage gültig. Die kurze Laufzeit ist gewollt: Sie zwingt zur Automatisierung der Erneuerung (Certbot, Traefik-ACME) und minimiert das Risiko kompromittierter Zertifikate.
Macht HTTPS eine Seite langsamer? Nein, messbar nicht mehr. Der TLS-Handshake bei TLS 1.3 ist minimal (ein Round-Trip extra). Session Resumption und HTTP/2 (das nur über HTTPS funktioniert) machen HTTPS-Seiten oft schneller als reine HTTP-Seiten.
Verwandte Begriffe
CDN · TCP · XML-RPC