HTTP vs HTTPS
HTTP
- 서로 다른 시스템들 사이에서 통신을 주고 받기 위한 기본적인 프로토콜, 주로 서버 클라이언트 통신에 사용
- 서버에서 브라우저로 전송되는 정보가 암호화 되지 않아 보안에 취약
HTTPS
- HTTP 에 SSL(보안 소켓 계층)을 적용
- 서버와 브라우저 사이에서 암호화된 연결 생성
- 주고 받는 정보가 도난되는 것을 방지
- HTTP 자체(header포함)를 암호화하지 않음, 데이터를 암호화
HTTPS 사용 이유
1.보안성
- 데이터를 암호화하여 보안성 확보
2.검색엔진 최적화(SEO)
- 구글은 HTTPS 웹 사이트에 가산점을 준다(검색엔진에 더 잘 노출)
- AMP를 만들 때 HTTPS를 사용해야 함
- AMP : 모바일 기기에서 컨텐츠를 빠르게 로딩하는 기술
SSL/TLS
- TLS는 SSL 업그레이드 버전
SSL(Secure Sockets Layer)
- 웹 서버와 웹 브라우저 간 보안을 위해 만든 프로토콜
- 공개키/대칭키 를 섞어서 사용
- 대칭키 : 암호화와 복호화 과정에서 같은 키 사용
- 공개키(비대칭키) : 공개키로 암호화, 개인키로 복호화
SSL 통신 과정
-
A에서 B로 접속 요청을 보내면 B는 A에게 자신의 공개키를 전송
-
A는 B에게 받은 공개키로 자신의 대칭키 암호화하여 B에게 전달
-
B는 암호화 된 A의 대칭키를 자신의 개인키로 복호화하여 A의 대칭키를 얻어낸다
-
이 대칭키로 A와 B는 안전하게 통신
-
접속 사이트가 유효한 사이트인지 확인하는 방법
-
제 3의 인증기관을 활용
-
사이트는 사이트 정보와 사이트 공개키를 인증기관에 전달
-
인증기관은 검증 후 인증기관의 개인키로 사이트가 보낸 데이터에 서명하고 사이트 인증서를 만들어 사이트에 전송
-
인증 기관은 자신의 공개키를 사용자에게 전달(사용자 브라우저에 자동 내장)
-
사용자가 사이트에 접속하면 사이트는 사이트 인증서 전송
-
사용자는 인증기관의 공개키로 사이트 인증서를 복호화 하여 사이트 정보와 사이트 공개키를 얻는다.
-
사용자는 사이트 공개키로 자신의 대칭키를 암호화하여 사이트에 전송
-
사이트는 자신의 개인키로 암호문을 복호화하여 사용자 대칭키를 얻는다
-
대칭키를 활용하여 사용자와 사이트 간 데이터 전달
-
공개키 방식으로 대칭키를 전달
-
이 대칭키로 암호화 복호화 수행, 서버와 브라우저 통신
-
공부 기록