S-HTTP (Secure HTTP, also gesichertes HTTP Protokoll) ist ein Sicherungsverfahren für HTTP Transaktionen, dass auf einer Verbesserung des HTTP Protokolls beruht, die 1994 von der EIT (Enterprise Integration Technologies) herausgegeben wurde. Es ermöglicht eine Sicherung der Austausche bei e-commerce Transaktionen, indem die Nachrichten so gesichert werden, dass den Kunden die Vertraulichkeit ihrer Bankkarten-Nummer und anderer persönlicher Informationen versichert wird. Eine Implementierung von S-HTTP wurde von der Gesellschaft Terisa Systems entwickelt, um eine Sicherung bei Webservern und Browsern einzuführen.
Im Gegensatz zu SSL , welches auf der Transportebene arbeitet, verschafft S-HTTP Sicherheit bei den Nachrichten über das HTTP Protokoll, indem es einzeln die HTML-Dokumente markiert, mit Hilfe von Zertifikaten. Während SSL unabhängig von der verwendeten Anwendung ist und den gesamten Kommunikationsvorgang sichert, ist S-HTTP stark mit dem HTTP Protokoll verbunden und chiffriert jede Nachricht einzeln.
S-HTTP-Nachrichten bestehen aus drei Teilen :
Um also eine S-HTTP-Nachricht zu entschlüsseln, analysiert der Empfänger der Nachricht deren Header, um festzustellen, welche Methode eingesetzt wurde, um sie zu verschlüsseln. Dann kann er die Nachricht durch durch die aktuellen und früheren kryptographischen Präferenzen des Senders entschlüsseln.
Obwohl SSL und S-HTTP ursprünglich konkurrierten, begriffen viele Personen, dass beide Sicherungsprotokolle eigentlich komplementär sind, da sie nicht auf der selben Ebene arbeiten. So lässt sich mit SSL die Internetverbindung sichern, währen S-HTTP gesicherte HTTP-Austausche ermöglicht.
Daher entwarf die Firma Terisa Systems, die auf die Sicherung von Netzwerken spezialisiert ist, gegründet von RSA Data Security und dieEIT, ein Entwicklungs-Kit, mit dem Entwickler Webserver erstellen konnten, die sowohl SSL und S-HTTP beinhalten (SecureWeb Server Toolkit), und Web-Clients, die diese Protokolle unterstützen (SecureWeb Client Toolkit).
