HTTPS zusammengefasst

Als ich die Antwort auf die Frage "was genau wird denn unter HTTPS alles geschützt" gesucht habe, war ich doch über die "sehr übersichtliche" HTTPS Spezifikation-RFC 2818 überrascht. Da HTTPS an vielen Stellen benutzt wird, hier eine kurze Zusammenfassung, wie das alles funktioniert.

Historisch

HTTPS wurde 1995 zum ersten mal im Netscape umgesetzt - bis 1998 sind weitere Browser gefolgt. Irgendwann ist dann aufgefallen, dass keine HTTPS Spezifikation existiert (siehe Buch: SSL and TLS v. E. Rescorla; Kap 9.13). Daraufhin wurde HTTPS von E. Rescorla nachspezifiziert.

Verbindungsaufbau

Die Schritte beim Aufbau einer HTTPS Kommunikation sind dabei:

1. Der Client initiiert die Verbindung mit einem TLS ClientHello. Dabei wird die Information, welcher Server angesprochen wird öffentlich.
2. Nachdem der TLS Handshake abgeschlossen wurde, besteht eine abgesicherte Verbindung.
3. Jetzt kann beliebige HTTP Kommunikation stattfinden – die gesamte HTTP Kommunikation ist dabei kryptografisch abgesichert.
4. Nach Beendigung der http Kommunikation kann dann entweder der Client oder der Server den Abbruch der gesicherten Verbindung initiieren.
5. Nach Bestätigung des Verbindungsabbruchs ist die Kommunikation beendet.

Fazit

Die Antwort auf die oben angerissene Frage lautet also:
Bei einem HTTPS-Request sind alle Bestandteile der HTTP Kommunikation kryptographisch geschützt. Insbesondere die URL, Query Parameter, Header Informationen sowie der Request Body. Einzig der Servername ist unverschlüsselt sichtbar.