Zuständig für die Sicherheit ist nicht das HTTP selbst, sondern das zugrundeliegende Transportprotokoll. Wo liegt der Unterschied?
Das HTTP-Protokoll regelt lediglich, wie die Inhalte strukturiert sein müssen, die Webclient und Webserver miteinander austauschen. Das Transportprotokoll dagegen weist an, wie die Datenströme zwischen den Computern übertragen werden. Es sorgt beispielsweise dafür, dass keine Datenpakete verloren gehen. Das Standard-Transportprotokoll, das auch von HTTP benutzt wird, ist TCP, das „Transmission Control Protocol“.
Zu diesem Transportprotokoll gibt es eine Erweiterung, die die Datenströme verschlüsselt: Diese Erweiterung heißt TLS (früherer Name: SSL). Jegliche Kommunikation, die mithilfe dieses Transportprotokolls übertragen wird, ist so verschlüsselt, dass nur der eigentliche Empfänger (Webbrowser bzw. Webserver) den übertragenen Inhalt lesen kann.
Wenn eine URL mit vorangestelltem https:// angegeben wird, dann ergänzt der Webbrowser sie automatisch mit der Port-Nummer 443. Diese Nummer teilt dem empfangenden Computer mit, dass er über TLS/SSL kommunizieren soll.