HTTP (Hypertext Transfer Protocol) ist ein Protokoll oder eine vorgeschriebene Reihenfolge und Syntax für die Darstellung von Informationen. Es wird zum Übertragen von Daten über ein Netzwerk verwendet. Die meisten Informationen, die über das Internet gesendet werden, einschließlich Website-Inhalten und API-Aufrufen, nutzen das HTTP-Protokoll. Es gibt zwei Hauptarten von HTTP-Nachrichten: Anfragen und Antworten.
Das S in HTTPS steht für "sicher". HTTPS verwendet TLS oder SSL (Authentifizierung), um HTTP-Anfragen und -Antworten zu verschlüsseln.
Mit einer Authentifizierung wird überprüft, ob eine Person oder Maschine die sind, für die sie sich ausgeben. In HTTP wird Identität nicht überprüft, es basiert auf einem Vertrauensprinzip. Die Architekten von HTTP haben sich nicht unbedingt dafür entschieden, allen Webservern implizit zu vertrauen. Sie hatten zur Zeit der Entwicklung einfach andere Prioritäten als Sicherheit. Im modernen Internet ist die Authentifizierung jedoch unerlässlich.
So wie ein Personalausweis die Identität einer Person bestätigt, bestätigt ein privater Schlüssel die Serveridentität. Wenn ein Client einen Kanal mit einem Ursprungsserver öffnet (z. B. wenn ein Benutzer zu einer Website navigiert), beweist der Besitz des privaten Schlüssels, der mit dem öffentlichen Schlüssel im SSL-Zertifikat einer Website übereinstimmt, dass der Server tatsächlich der legitime Host der Website ist. Dies verhindert oder hilft, eine Reihe von Angriffen zu blockieren, die ohne eine Authentifizierung möglich wären.
Das TLS- oder SSL-Zertifikat von der Zertifizierungsstelle, die es ausgestellt hat, hat es digital signiert. Damit wird bestätigt, dass der Server derjenige ist, der er vorgibt zu sein.