Verbirgt HTTPS vor Ihrem Provider oder Netzwerk, welche Website Sie besuchen?
Kurzantwort
Größtenteils nein. Der Ziel-Hostname wird im Klartext in der SNI-Erweiterung des TLS-ClientHello gesendet, und Ihre DNS-Abfrage verrät ihn meist ebenfalls, sodass ein Provider oder Netzwerk sehen kann, WELCHE Seite Sie besuchen — selbst über HTTPS. Sie können nur den Pfad und Inhalt nicht lesen. Encrypted ClientHello (ECH) und DNS-over-HTTPS können diese Lücke schließen, sind aber nicht universell. „HTTPS verbirgt alles“ ist der Irrtum.
„HTTPS bedeutet, dass niemand sehen kann, wohin ich gehe“ ist einer der häufigsten Sicherheitsirrtümer, und Interviewer nutzen ihn, um zu prüfen, ob Sie verstehen, was TLS tatsächlich schützt.
Was HTTPS verschlüsselt und was nicht
HTTPS verschlüsselt die Nutzlast der Anwendungsschicht: den Anfragepfad, die Header, Cookies, den Body und die Antwort. Ein Lauscher kann weder die URL nach der Domain noch Ihre Daten lesen. Aber die Verbindung muss erst aufgebaut werden, und mehrere Details dieses Aufbaus sind sichtbar. Das TLS-ClientHello trägt eine Server-Name-Indication-(SNI)-Erweiterung — den Ziel-Hostname im Klartext — damit ein Server, der viele Seiten auf einer IP hostet, das richtige Zertifikat vorlegen kann. Jeder auf der Leitung liest ihn.
DNS verschlimmert es
Noch bevor der TLS-Handshake überhaupt beginnt, führt Ihr Client meist eine DNS-Abfrage für den Hostname durch, und klassisches DNS ist unverschlüsseltes UDP/53. Das Netzwerk erfährt den Hostname also oft zweimal: einmal über DNS, einmal über das SNI. Selbst die Ziel-IP-Adresse im IP-Header ist stets sichtbar.
Was die Lücke wirklich schließt
Zwei Technologien helfen. Encrypted ClientHello (ECH) verschlüsselt das SNI innerhalb des Handshakes, und DNS-over-HTTPS (DoH) oder DNS-over-TLS verbirgt die Abfrage. Mit beidem im Einsatz bleibt dem Beobachter größtenteils nur die IP — und selbst dann kann Traffic-Analyse (Timing, Paketgrößen und IP-zu-Seite-Zuordnungen für Seiten, die nicht hinter großen CDNs liegen) das Ziel noch verraten. Weder ECH noch DoH sind 2026 universell ausgerollt.
Warum die Distraktoren verlocken
Die Optionen „ja, TLS verschlüsselt den Hostname“ klingen für jeden richtig, der glaubt, Verschlüsselung sei alles oder nichts. Die Antwort „das SNI wird nach dem Handshake verschlüsselt“ verwechselt das ungeschützte ClientHello mit den späteren verschlüsselten Records — aber das SNI wird vor der Existenz von Schlüsseln gesendet.
Worauf Interviewer achten
Ein klares „nein, größtenteils nicht“ plus die zwei Leck-Kanäle (SNI und DNS) und die Namen ECH/DoH als Gegenmaßnahmen. Das zeigt, dass Sie über das Protokoll nachdenken, nicht über das Marketing.
Wahrscheinliche Anschlussfragen
- Was ist Encrypted ClientHello (ECH) und welche Lücke schließt es?
- Warum leckt einfaches DNS den Hostname weiterhin, selbst wenn das SNI verborgen wäre?
- Kann ein Beobachter die Seite aus IP und Traffic-Größe selbst ohne SNI ableiten?