[🥝 네트워크] HTTPS

dsfasd·2022년 11월 11일

“이 사이트는 보안 연결(HTTPS)이 사용되었습니다.”

주소바 왼쪽에 자물쇠를 눌러보면 위 문구를 볼 수 있다.

HTTPS가 뭘까?

HTTP는 클라이언트에서 요청한 값을 서버를 거쳐 결과값을 전달해주는 응용계층의 대표적인 프로토콜로, 무상태성 / 비연결성이 특징이었다.

HTTPS는 HTTP + Secure을 합친 뜻으로, HTTP 프로토콜을 더 안전하게 사용할 수 있도록 돕는다

HTTPS로 보낸 요청은 데이터를 암호화하여 전송한다
따라서 중간에 제3자가 데이터를 탈취하더라도 그 내용을 알아볼 수 없다.

내용을 알아볼 수 없게 암호화해주는 것은 SSL/TLS 프로토콜 덕분에 가능하다. 아래에서 자세히 !

HTTPS는 SSL/TLS 프로토콜을 사용하여 서버 인증과 암호화를 진행한다.

HTTPS는 HTTP 통신을 하는 소켓 부분에서 SSL/TLS 프로토콜을 사용하여 서버 인증과 암호화를 진행한다.

서버와 클라이언트간의 CA를 통해 서버를 인증하는 과정과 데이터를 암호화하는 과정을 아우른 프로토콜을 SSL 또는 TLS이라고 한다.

HTTPS = HTTP + SSL/TLS 프로토콜

(SSL이 표준화되며 바뀐 이름이 TLS로 사실상 동일한 프로토콜로 봐도 무방하다.)

SSL/TLS 프로토콜의 서버인증 및 암호화 방식

- 대칭키 / 비대칭키 방식을 사용

비대칭키 - 서버의 공개키를 확보하는데 사용

CA(공인 인증서 발급 기관)에서 서버의 신원을 보증하는 인증서를 발급해주는 곳이다.

서버는 인증서를 발급받기 위해 CA로 <서버의 공개키 + 정보> 를 전송하며, CA는 서버의 공개키와 정보를 비밀키로 암호화하여 인증서를 발급받는다.

서버는 클라이언트에게 요청을 받으면 CA에게 발급 받은 인증서를 보내준다. 브라우저는 CA의 리스트와 공개키를 내장하고 있으므로 CA가 발급한 인증서가 맞다면 CA의 공개키로 인증서의 복호화를 시도한다.

복호화가 성공적으로 진행된다면 해당 서버가 신뢰할 수 있는 서버임을 알 수 있게 된다.

🔑 공개키는 복잡한 연산을 필요로해 보안이 확실한 반면에 더 많은 시간을 소모한다는 단점이 있다.

대칭키 - 서버와 클라이언트가 데이터를 암호화하여 주고 받을 때 사용

HTTPS 요청을 통해 실질적으로 데이터를 전달하는 과정에서는 대칭키를 사용하게 된다.

제 3자가 데이터를 탈취하여도 암호화된 데이터로 전송되어 볼 수없게되어 안전한 HTTP응답을 주고 받을 수 있다.

🔑대칭키는 공개키(비대칭키) 방식에 비해 빠르다는 장점이 있다.

HTTPS 보안이 적용된 서버 구현하기

mkcert라는 프로그램을 이용해서 로컬 환경(내 컴퓨터)에서 신뢰할 수 있는 인증서를 만들 수 있다.

로컬을 인증된 발급 기관으로 추가한다.

mkcert -install

로컬 환경에 대한 인증서 만들기

localhost, 127.0.0.1(IPv4), ::1(IPv6)에서 사용할 수 있는 인증서가 완성되었다.
cert.pem(공개키), key.pem(개인키) 이라는 파일이 생성된다. 개인 키는 말 그대로 개인만이 갖고있어야 하는 키 이므로 외부에 유출시키지 않는 것이 좋다.

mkcert -key-file key.pem -cert-file cert.pem localhost 127.0.0.1 ::1

생성한 인증서 파일들을 HTTPS 서버에 적용하기

const https = require('https');
const fs = require('fs');
const express = require('express');

const app = express();

https
  .createServer(
    {
      key: fs.readFileSync(__dirname + '/key.pem', 'utf-8'),
      cert: fs.readFileSync(__dirname + '/cert.pem', 'utf-8'),
    },
    app.use('/', (req, res) => {
      res.send('Congrats! You made https server now :)');
    })
  )
  .listen(3001);

localhost:3001번 포트로 접속 후 'Congrats! You made https server now :)' 메세지가 출력되면 성공이다 !

dsfasd

기록을 정리하는 공간!

이전 포스트

[🥝 네트워크] HTTP의 특징

다음 포스트

[🥝 네트워크] HTTPS

“이 사이트는 보안 연결(HTTPS)이 사용되었습니다.”

HTTPS가 뭘까?

HTTPS는 HTTP + Secure을 합친 뜻으로, HTTP 프로토콜을 더 안전하게 사용할 수 있도록 돕는다

HTTPS는 SSL/TLS 프로토콜을 사용하여 서버 인증과 암호화를 진행한다.

SSL/TLS 프로토콜의 서버인증 및 암호화 방식

- 대칭키 / 비대칭키 방식을 사용

비대칭키 - 서버의 공개키를 확보하는데 사용

대칭키 - 서버와 클라이언트가 데이터를 암호화하여 주고 받을 때 사용

HTTPS 보안이 적용된 서버 구현하기

로컬을 인증된 발급 기관으로 추가한다.

로컬 환경에 대한 인증서 만들기

생성한 인증서 파일들을 HTTPS 서버에 적용하기

[🥝 네트워크] HTTP의 특징

[📚 라이브러리] Axios 사용법

0개의 댓글