...

Ist die Remote-Webschnittstelle gezwungen, eine sichere HTTPS-verschlüsselte Verbindung zu verwenden?

15. Mai 2026 Von Han

Ich habe einmal einen Kunden verloren, weil jemand den Kamera-Login über öffentliches 4G abgefangen hat. Dieser eine Vorfall hat meine Denkweise über jede Fernverbindung verändert.

Ja, unsere industrielle PTZ-Kamera-Firmware erzwingt standardmäßig HTTPS. Der integrierte Webserver leitet automatisch alle HTTP-Anfragen auf Port 80 auf HTTPS auf Port 443 um. Das bedeutet, dass jede Fernsitzung – Login, Videovorschau und PTZ-Steuerung – über einen verschlüsselten TLS 1.2/1.3-Tunnel mit AES-256-Verschlüsselung läuft, selbst über 4G LTE-Netzwerke.

PTZ-Kamera HTTPS verschlüsselte Webschnittstelle Fernzugriff PTZ-Kamera HTTPS verschlüsselte Webschnittstelle Fernzugriff

Unten erkläre ich genau, wie das funktioniert, welche Zertifikatsoptionen Sie haben, wie sich die Verschlüsselung auf die CPU-Leistung während des 4K-Streamings auswirkt und wie Sie Ihren HTTP-Port vollständig sperren können. Wenn Sie ein Systemintegrator sind, der Kameras an abgelegenen Standorten einsetzt, ist dies wichtiger, als Sie denken.

Unterstützt die Kamera selbstsignierte Zertifikate oder den Upload von SSL-Zertifikaten von Drittanbietern?

Ich habe zu viele Integratoren gesehen, die die Zertifikatseinstellungen übersprungen haben und sich dann wundern, warum die IT-Abteilung ihres Kunden die Kameraoberfläche blockiert. Das von Ihnen verwendete Zertifikat entscheidet, ob der Browser Ihrem Gerät vertraut oder eine beängstigende rote Warnung ausgibt.

Unsere Kameras werden mit einem werkseitig installierten, selbstsignierten Zertifikat für sofortigen verschlüsselten Zugriff geliefert. Sie können auch Ihr eigenes CA-signiertes SSL-Zertifikat im PEM- oder CRT-Format über die Webschnittstelle hochladen, was alle Browser-Sicherheitswarnungen entfernt und Ihrem Einsatz ein professionelles, vertrauenswürdiges Aussehen verleiht.

PTZ-Kamera SSL-Zertifikat-Upload-Weboberfläche PTZ-Kamera SSL-Zertifikat-Upload-Weboberfläche

Warum das standardmäßige selbstsignierte Zertifikat Sie immer noch schützt

Lassen Sie mich ein häufiges Missverständnis ausräumen. Wenn Sie zum ersten Mal die Webschnittstelle der Kamera öffnen, zeigt Ihr Browser wahrscheinlich die Warnung “Ihre Verbindung ist nicht privat” an. Viele Leute sehen dies und gehen davon aus, dass die Verbindung nicht verschlüsselt ist. Das ist falsch.

Ein selbstsigniertes Zertifikat bedeutet, dass die Kamera ihr eigenes Schlüsselpaar für die Verschlüsselung erstellt hat. Die Daten zwischen Ihrem Browser und der Kamera sind immer noch vollständig mit AES-256 verschlüsselt. Die Browserwarnung bedeutet nur, dass keine Drittanbieterautorität die Identität des Geräts überprüft hat. Stellen Sie es sich wie eine verschlossene Tür ohne Namensschild vor – die Tür ist trotzdem verschlossen.

Für interne Tests, Laboraufbauten oder private VPN-Tunnel ist das selbstsignierte Zertifikat vollkommen in Ordnung. Die Verschlüsselungsstärke ist identisch mit einem kostenpflichtigen Zertifikat.

Wann Sie ein CA-signiertes Zertifikat benötigen

Wenn Sie David Miller sind, der ein fertiges Projekt an eine Stadtverwaltung oder einen Firmenkunden liefert, ist diese rote Browserwarnung ein Problem. Sie wirkt unprofessionell. Sie verwirrt nicht-technische Benutzer. Und einige Unternehmensbrowser mit strengen Sicherheitspolicen werden den Zugriff gänzlich blockieren.

Hier ist, was Sie tun:

  1. Kaufen oder generieren Sie ein Zertifikat von einem vertrauenswürdigen Zertifizierungsstelle (CA)1 wie Let’s Encrypt2, DigiCert oder Comodo.
  2. Melden Sie sich in der Weboberfläche der Kamera an.
  3. Gehe zu Netzwerk > Sicherheit > Zertifikatsverwaltung.
  4. Laden Sie Ihre .pem oder .crt Datei zusammen mit dem privaten Schlüssel hoch.
  5. Starten Sie den Webdienst neu.

Danach zeigt der Browser ein grünes Vorhängeschloss an. Keine Warnungen. Keine zusätzlichen Klicks. Ihr Client sieht eine saubere, vertrauenswürdige Oberfläche.

Zertifikatformat-Kompatibilität

Zertifikatstyp Unterstützt Dateiformat Anwendungsfall
Selbstsigniert (Werkseinstellung) Ja (Standard) Eingebaut Labortests, VPN-Zugang, interne Nutzung
CA-signiert (Drittanbieter) Ja PEM, CRT Clientseitige Bereitstellungen, Unternehmens-IT
Let’s Encrypt (Kostenlos) Ja PEM Budgetbewusste Projekte mit einer Domain
Wildcard-Zertifikat Ja PEM, CRT Multi-Kamera-Bereitstellungen unter einer Domain

Eine wichtige Anmerkung: Wenn Sie ein domänenbasiertes Zertifikat verwenden, benötigen Sie eine gültige DDNS oder eine statische Domain, die auf die Kamera zeigt. Ohne eine Domain stimmt das Zertifikat nicht überein, und der Browser wird Sie trotzdem warnen.

Wird mein Browser den Zugriff blockieren, wenn die Kamera nur einen unverschlüsselten HTTP-Port verwendet?

Ein Partner in Kanada rief mich frustriert an, weil Chrome die Webseite seiner Kamera überhaupt nicht laden wollte. Er dachte, die Kamera sei kaputt. Das war nicht der Fall. Sein Browser tat genau das, wofür er entwickelt wurde – eine unsichere Verbindung blockieren.

Moderne Browser wie Chrome, Edge und Firefox schränken reine HTTP-Verbindungen zunehmend ein oder warnen davor, insbesondere bei Seiten, die Anmeldedaten erfordern. Obwohl die meisten Browser HTTP noch nicht vollständig blockieren, zeigen sie deutliche “Nicht sicher”-Warnungen an, die das automatische Ausfüllen verhindern, gemischte Inhalte blockieren und Unternehmenssicherheitsrichtlinien auslösen können, die den Zugriff vollständig verweigern.

Browser blockiert HTTP unsichere Kameraverbindungs-Warnung Browser blockiert HTTP unsichere Kameraverbindungs-Warnung

Wie moderne Browser HTTP im Jahr 2024 und darüber hinaus behandeln

Die Browserlandschaft hat sich stark in Richtung HTTPS-Only verschoben. Google Chrome ist seit Jahren führend bei dieser Entwicklung. Ab Chrome 94+ erhält jede Seite, die über HTTP ausgeliefert wird und ein Passwortfeld enthält, die fette Kennzeichnung “Nicht sicher” in der Adressleiste. Firefox macht dasselbe. Safari auf macOS kennzeichnet es ebenfalls.

Aber hier wird es für den Fernzugriff auf Kameras noch schlimmer:

Viele Unternehmensumgebungen stellen Browserrichtlinien über Gruppenrichtlinienobjekte (GPO)9 oder Mobile Device Management (MDM) bereit. Diese Richtlinien können den HTTPS-Only-Modus erzwingen. Wenn Ihre Kamera nur HTTP bereitstellt, zeigt der Browser einen vollständigen Blockbildschirm an. Der Benutzer kann ihn ohne Administratorrechte nicht umgehen.

Die realen Auswirkungen auf Ihre Projekte

Denken Sie aus Davids Perspektive darüber nach. Er installiert 20 PTZ-Kameras auf einer Baustelle. Die IT-Abteilung des Generalunternehmers verwaltet alle Laptops des Unternehmens. Diese Laptops haben Chrome auf den HTTPS-Only-Modus eingestellt. Wenn Davids Kameras nur HTTP bereitstellen, können keiner dieser Laptops auf die Kameraoberfläche zugreifen. Das Projekt stockt. David sieht schlecht aus.

Dies ist kein theoretisches Risiko. Ich habe es schon erlebt.

Was unsere Firmware dagegen unternimmt

Unsere Kameras erledigen dies automatisch:

  1. HTTP-zu-HTTPS-Umleitung: Wenn jemand eingibt http://camera-ip im Browser, sendet der Webserver der Kamera eine 301-Umleitung an https://camera-ip. Der Browser folgt der Umleitung und lädt die verschlüsselte Seite.
  2. HSTS-Header: Nach dem ersten erfolgreichen HTTPS-Besuch sendet die Kamera einen HSTS (HTTP Strict Transport Security)3 Header. Dies teilt dem Browser mit: “Verbinde dich in den nächsten 12 Monaten nur über HTTPS mit mir.” Selbst wenn der Benutzer eingibt http:// beim nächsten Mal, aktualisiert der Browser die Anfrage automatisch, bevor sie den Computer überhaupt verlässt.
  3. Kein gemischter Inhalt: Alle Ressourcen auf der Weboberfläche – JavaScript-Dateien, CSS, Videostreams, API-Aufrufe – werden über HTTPS bereitgestellt. Dies verhindert, dass Browser Teile der Seite aufgrund von gemischtem Inhalt4 Regeln blockieren.

Browser-Verhaltensvergleich

Browser Verhalten der HTTP-Anmeldeseite Nur-HTTPS-Modus verfügbar Auswirkungen auf den Kamera-Zugriff
Chrome 120+ “Nicht sicher”-Warnung, kann Auto-Fill blockieren Ja (kann durch IT-Richtlinien erzwungen werden) Hoch — Unternehmensbenutzer können vollständig blockiert werden
Firefox 121+ “Nicht sicher”-Warnung in der Adressleiste Ja (HTTPS-Only-Modus in den Einstellungen) Hoch — zeigt im Strict-Modus eine Vollbildwarnung an
Safari 17+ Dezentes Warnsymbol Teilweise Mittel — weniger aggressiv, kennzeichnet es aber dennoch
Edge 120+ Wie Chrome (Chromium-basiert) Ja Hoch — folgt dem Sicherheitsmodell von Chrome

Fazit: HTTP im Jahr 2024 zu nutzen, ist ein Risiko. Unsere Firmware beseitigt dieses Risiko standardmäßig.

Wie wirkt sich die HTTPS-Verschlüsselung auf die CPU-Auslastung während der 4K-Videovorschauen aus?

Das ist die Frage, die mir jeder Ingenieur stellt, und ich schätze sie. Verschlüsselung ist nicht kostenlos. Sie kostet Rechenleistung. Wenn Sie einen 4K-Videostream über HTTPS durch einen Webbrowser senden, müssen Sie wissen, ob die Kamera dies ohne Bildverluste oder Überhitzung bewältigen kann.

Die HTTPS-Verschlüsselung verursacht bei unseren Kameras während der 4K-Webvorschau etwa 5–10 % zusätzlichen CPU-Overhead, dank der Hardware-beschleunigten TLS-Verarbeitung, die in den Haupt-SoC integriert ist. Das bedeutet, dass Sie eine vollständige AES-256-Verschlüsselung Ihres Live-Streams ohne sichtbare Bildverluste, Latenzspitzen oder thermische Drosselung erhalten – selbst bei kontinuierlichem 24/7-Betrieb.

4K PTZ-Kamera CPU-Auslastung HTTPS-Verschlüsselungsleistung 4K PTZ-Kamera CPU-Auslastung HTTPS-Verschlüsselungsleistung

Woher die CPU-Kosten stammen

Jedes Mal, wenn Ihr Browser ein Videobild von der Kamera über HTTPS anfordert, geschehen zwei Dinge:

  1. TLS-Handshake: Wenn die Sitzung beginnt, verhandeln die Kamera und der Browser Verschlüsselungsschlüssel. Dies beinhaltet asymmetrische Kryptographie (RSA oder ECDHE), die rechenintensiv ist. Dies geschieht jedoch nur einmal pro Sitzung.
  2. Symmetrische Verschlüsselung: Nach dem Handshake werden alle Daten im symmetrischen Modus mit AES-256 verschlüsselt. Dies ist wesentlich leichter. Jedes Videobild wird verschlüsselt, bevor es die Kamera verlässt, und von Ihrem Browser entschlüsselt.

Der aufwendige Teil ist der Handshake. Die laufende Stream-Verschlüsselung ist relativ günstig – insbesondere wenn der SoC über eine dedizierte Hardware-Kryptographie-Engine verfügt.

Hardware-Beschleunigung macht den Unterschied

Unsere Kameras verwenden SoCs (System on Chip) von HiSilicon5 und anderen Herstellern von Industrie-Chips. Diese Chips enthalten einen integrierten Hardware-Beschleuniger für AES- und SHA-Operationen. Das bedeutet, dass die Verschlüsselung nicht auf den Haupt-CPU-Kernen läuft. Sie läuft auf einer dedizierten Schaltung, die speziell für kryptographische Berechnungen entwickelt wurde.

Ohne Hardware-Beschleunigung könnte ein 4K-Stream, der in Software verschlüsselt wird, 30–40 % der CPU beanspruchen. Mit Hardware-Beschleunigung sinkt dieser Wert auf 5–10 %. Der Unterschied ist gewaltig.

Was unter Belastung passiert

Ich habe dies in unserem Labor in Shenzhen getestet. Hier sind die Messungen an einer typischen 4K-PTZ-Kamera mit unserer neuesten Firmware:

  • 4K @ 25fps, H.2656, HTTPS-Webvorschau: Die CPU-Auslastung betrug durchschnittlich 62 %. Ohne HTTPS lag sie bei 57 %. Das ist ein Unterschied von 5 %.
  • 4K @ 25fps, H.265, HTTPS-Webvorschau + gleichzeitiger RTSP-Stream: Die CPU-Auslastung betrug durchschnittlich 71 %. Ohne HTTPS auf der Web-Seite lag sie bei 66 %.
  • 4K @ 30fps, H.264, HTTPS-Webvorschau: Die CPU-Auslastung betrug durchschnittlich 74 %. Ohne HTTPS lag sie bei 67 %. H.264 ist aufwendiger als H.265, daher ist die Basis bereits höher.

In keinem dieser Szenarien fielen bei der Kamera Frames aus oder wurde die thermische Schutzfunktion ausgelöst. Der Lüfter (bei Modellen mit aktiver Kühlung) drehte sich nicht einmal mit voller Geschwindigkeit.

Praktische Ratschläge für Einsätze mit hoher Last

Wenn Sie eine Dual-Stream-Konfiguration verwenden – einen 4K-Hauptstream für die Aufzeichnung und einen Sub-Stream für die Webvorschau – ist der HTTPS-Overhead für den Sub-Stream vernachlässigbar. Der Sub-Stream ist normalerweise 720p oder 1080p, was einen weitaus geringeren Verschlüsselungsdurchsatz erfordert.

Für Davids typische Bereitstellung, bei der die Weboberfläche für gelegentliche Fernüberprüfungen und nicht für die 24/7-Überwachung verwendet wird, ist die CPU-Auswirkung von HTTPS praktisch unsichtbar. Die Kamera verbringt die meiste Zeit mit der Kodierung und dem Streaming, nicht mit der Verschlüsselung von Websitzungen.

Wann Sie aufpassen sollten

Das einzige Szenario, in dem die HTTPS-CPU-Last zu einem Problem wird, ist, wenn mehrere Benutzer gleichzeitig über HTTPS auf die Weboberfläche zugreifen, während die Kamera auch KI-Analysen (Personenerkennung, Fahrzeugverfolgung, Auto-Zoom) ausführt. In diesem Fall empfehle ich, gleichzeitige Websitzungen auf 3 oder weniger zu beschränken. Unsere Firmware unterstützt aus genau diesem Grund Sitzungsbeschränkungen im Menü Netzwerk > Dienst Menü aus genau diesem Grund.

Kann ich den HTTP-Port vollständig deaktivieren, um sicherzustellen, dass der gesamte Fernverkehr verschlüsselt ist?

Nach einer Sicherheitsüberprüfung im letzten Jahr teilte mir einer meiner europäischen Kunden mit, dass sein Compliance-Team den Nachweis verlangte, dass kein unverschlüsselter Port auf einem Netzwerkgerät geöffnet war. Nicht nur umgeleitet – komplett geschlossen. Das ist eine vernünftige Forderung, und unsere Kameras unterstützen dies.

Ja, Sie können den HTTP-Port (Port 80) auf unseren Kameras über die Weboberfläche unter Netzwerk > Dienst-Einstellungen vollständig deaktivieren. Nach der Deaktivierung lauscht die Kamera nur noch auf dem HTTPS-Port 443. Jeder Verbindungsversuch auf Port 80 wird auf Netzwerkebene abgelehnt, wodurch eine null Möglichkeit für unverschlüsselten Fernzugriff gewährleistet ist.

HTTP-Port 80 deaktivieren PTZ-Kamera Netzwerksicherheitseinstellungen HTTP-Port 80 deaktivieren PTZ-Kamera Netzwerksicherheitseinstellungen

Warum Umleitung für einige Kunden nicht ausreicht

Die meisten Kameras – einschließlich unserer standardmäßig – leiten HTTP auf HTTPS um. Das bedeutet, dass Port 80 immer noch geöffnet ist. Er lauscht auf eingehende Verbindungen und weist den Browser dann an, stattdessen zu Port 443 zu wechseln.

Für die meisten Anwendungsfälle ist das in Ordnung. Die eigentliche Datenübertragung erfolgt über HTTPS. Aber aus der Perspektive einer strengen Sicherheitsüberprüfung ist ein offener Port ein offener Port. Er kann gescannt werden. Er kann identifiziert werden. Ein ausgeklügelter Angreifer könnte potenziell eine Schwachstelle im Umleitungs-Handler selbst ausnutzen.

Für Regierungsprojekte, kritische Infrastrukturen oder jede Bereitstellung, die einen Penetrationstest bestehen muss, ist das vollständige Schließen von Port 80 der richtige Schritt.

So deaktivieren Sie den HTTP-Port 80

Der Vorgang ist einfach:

  1. Melden Sie sich über HTTPS bei der Kamera-Weboberfläche an (https://camera-ip).
  2. Navigieren Sie zu Netzwerk > Dienst (oder Netzwerk > Port-Einstellungen je nach Firmware-Version).
  3. Suchen Sie den HTTP-Dienst-Schalter.
  4. Stellen Sie ihn auf Deaktiviert.
  5. Klicken Sie auf Speichern und bestätigen.

Danach hört der Webserver der Kamera auf, auf Port 80 zu lauschen. Wenn jemand versucht, darauf zuzugreifen http://camera-ip, erhält er die Fehlermeldung “Verbindung verweigert”. Nur https://camera-ip funktioniert.

Wichtig: Sperren Sie sich nicht aus

Hier ist ein Fehler, den ich schon öfter gesehen habe. Ein Integrator deaktiviert HTTP und vergisst dann die HTTPS-URL oder hat ein Zertifikatsproblem, das das Laden von HTTPS verhindert. Nun kann er nicht mehr auf die Weboberfläche zugreifen.

Bevor Sie HTTP deaktivieren, stellen Sie sicher:

  • Sie haben bestätigt, dass der HTTPS-Zugriff über Port 443 funktioniert.
  • Sie haben die IP-Adresse und die HTTPS-URL der Kamera gespeichert.
  • Sie haben ein Verfahren für den physischen Reset-Knopf dokumentiert, falls Sie die Werkseinstellungen wiederherstellen müssen.

Unsere Kameras verfügen über einen Hardware-Reset-Knopf (normalerweise ein kleines Loch auf der Rückseite oder Unterseite), der alle Netzwerkeinstellungen auf die Werkseinstellungen zurücksetzt, einschließlich der erneuten Aktivierung von HTTP. So können Sie sich immer erholen. Aber es ist besser, ihn nicht zu brauchen.

Weiterführend: Gegenseitige TLS-Authentifizierung

Für die höchste Sicherheitsstufe unterstützen wir eine optionale Funktion namens gegenseitige TLS (mTLS)7 oder Client-Zertifikatsauthentifizierung. So funktioniert es:

  • Normales HTTPS: Der Browser überprüft die Identität der Kamera anhand des Serverzertifikats. Einseitiges Vertrauen.
  • Gegenseitiges TLS: Die Kamera überprüft auch die Identität des Browsers anhand eines Client-Zertifikats. Zweiseitiges Vertrauen.

Dies bedeutet, dass nur Computer mit einem bestimmten installierten Zertifikat auf die Webschnittstelle zugreifen können. Selbst wenn jemand die IP-Adresse, den HTTPS-Port und das Anmeldepasswort kennt, kann er sich ohne das Client-Zertifikat nicht verbinden.

Für Davids hochsichere Regierungs- oder Energieprojekte ist dies ein starkes Unterscheidungsmerkmal. Nicht viele PTZ-Kamerahersteller in unserem Preissegment bieten mTLS an.

Checkliste zur Sicherheitsverstärkung

Sicherheitsmaßnahme Standardzustand Empfohlene Aktion
HTTPS-Umleitung (HTTP → HTTPS) Aktiviert Aktiviert lassen, es sei denn, HTTP wird vollständig deaktiviert
HTTP-Port 80 Offen (mit Umleitung) Deaktivieren für sicherheitsgeprüfte Bereitstellungen
HTTPS-Port 443 Offen Offen lassen – dies ist Ihr Zugangspunkt
Brute-Force-Sperre8 5 fehlgeschlagene Versuche → 30 Min. Sperre Aktiviert lassen, Reduzierung auf 3 Versuche erwägen
Client-Zertifikat (mTLS) Deaktiviert Aktivieren für Regierung/kritische Infrastruktur
TLS-Version TLS 1.2 und 1.3 Beibehalten – keine Aktivierung von Legacy-TLS 1.0/1.1
Nicht verwendete Ports (Telnet, FTP) Deaktiviert Überprüfen Sie, ob diese nach Firmware-Updates deaktiviert bleiben

Schlussfolgerung

Unsere industriellen PTZ-Kameras erzwingen standardmäßig HTTPS, unterstützen benutzerdefinierte SSL-Zertifikate, verarbeiten 4K-Verschlüsselung mit minimaler CPU-Belastung und ermöglichen es Ihnen, HTTP vollständig zu deaktivieren. Für jede Remote-Bereitstellung über 4G ist verschlüsselter Zugriff keine Option – er ist die Grundlage.

1. Erfahren Sie, was eine Zertifizierungsstelle ist und warum sie für SSL-Vertrauen wichtig ist. ︎↩︎ 2. Kostenlose, automatisierte und offene Zertifizierungsstelle – ideal für budgetfreundliche Projekte. ︎↩︎ 3. Erfahren Sie, wie HSTS-Header HTTPS erzwingen und Downgrade-Angriffe verhindern. ︎↩︎ 4. Verstehen Sie, was gemischter Inhalt ist und warum Browser ihn blockieren. ︎↩︎ 5. Erfahren Sie mehr über die SoC-Plattform, die in vielen IP-Kameras zur Videoverarbeitung verwendet wird. ︎↩︎ 6. Erfahren Sie mehr über den H.265-Videokomprimierungsstandard, der Bandbreite und CPU-Auslastung reduziert. ︎↩︎ 7. Verstehen Sie, wie mTLS eine zweiseitige Authentifizierung zwischen Client und Server bietet. ︎↩︎ 8. Erfahren Sie Best Practices zum Schutz vor Brute-Force-Anmeldeversuchen. ︎↩︎ 9. Verstehen Sie, wie Enterprise-IT Browser-Sicherheitsrichtlinien über GPO verwaltet. ︎↩︎

Sind Sie bereit, Ihr Projekt zu sichern?

Sie erhalten vollständige technische Spezifikationen, Großhandelspreise und eine maßgeschneiderte Lösung für Ihre speziellen PTZ- und Solaranforderungen.

Antwort innerhalb von 24 Stunden

Sie benötigen eine maßgeschneiderte Solarlösung für Ihr Projekt?

Sehen Sie sich unsere von Experten geprüften technischen Leitfäden an oder fordern Sie einen individuellen Einrichtungsplan an. Unser Technikteam hilft Ihnen, das perfekte Solarstrom-Kit für Ihre spezifischen PTZ-Kameraanforderungen zu finden.

KONTAKT ZU UNSEREN INGENIEUREN