[👨🏻‍🔬CS 스터디 2주차] - 네트워크 HTTP & HTTPS, SSL/TLS HandShake

김윤준·2023년 12월 11일

CS network

CS 스터디

목록 보기

5/13

HTTP(HyperText Transfer Protocol)

인터넷 상에서 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약.
주로 HTML 문서, 이미지, 비디오 등 전송에 사용된다.

특성

비연결성 : 클라이언트가 서버에 요청을 보내고, 서버가 응답을 보낸 후 연결을 끊는다. 즉, 서버는 지속적인 연결을 유지하지 않으며 각 요청 클라이언트 사이에 대한 정보를 기억하지 않습니다.
무상태 : HTTP는 상태를 유지하지 않는 프로토콜. 따라서 이전 요청이나 응답이 다음 요청에 영향이 가지 않는다. 세션 정보와 같은 상태를 유지해야 할 경우. 쿠키나 세션 같은 기술을 사용해 상태를 유지한다.

HTTP 프로토콜이 비연결성인 이유
서버는 여러 클라이언트의 요청을 처리해야 함으로 독립적으로 처리하기 위해 비연결성으로 동작된다.
이러한 특성은 HTTP의 확정성을 가져다주며, 서버가 많은 수의 클라이언트의 연결 상태를 추적하고 관리하는 부담을 줄여준다.

구성 : 시작줄, 헤더, 본문으로 구성

시작줄 : HTTP 메소드(GET, POST, PUT) 등
헤더 : 전송되는 리소스와 클라이언트와 서버의 정보를 포함
본문 : 실제 전송되는 데이터가 포함된다.

HTTP의 문제점

HTTP는 데이터를 암호화 하지 않고 평문으로 전송한다. 따라서 공격자가 네트워크 트레픽을 가로채 정보를 조작할 수 있다.
무상태. 즉 요청 사용자 정보, 설정 등을 저장하지 않기 때문에 통신 상태를 확인하지 않아 위장이 가능함.
- 따라서 누구든지 리퀘스트를 보낼 수 있다.

보완 방법

SSL(Secure Socket Layer)/TLS(Transport Layer Security)의 프로토콜을 사용함으로써 HTTP의 통신 내용을 암호화할 수 있다.

SSL을 조합한 HTTP를 HTTPS(HTTP Secure) 라고 부른다.

SSL 프로토콜을 사용해 데이터를 암호화하고 인증을 제공해 보안을 강화.

여기서 SSL 프로토콜이란?

표현 계층과 세션 계층 사이에서 동작되는 프로토콜. TCP/IP 모델에서는 전송 계층 바로 위.

서버와 클라이언트 간에 통신이 안전하게 이루어질 수 있도록 데이터 암호화/복호화를 제공한다.
SSL 프로토콜은 SSL 인증서라는 데이터 인증서를 사용하여 안전한 데이터 전송을 보장한다.

주요 기능

클라이언트와 서버 간에 전송되는 데이터를 중간자가 가로채더라도 읽을 수 없도록 한다.
인증 기관(CA)이 발급한 인증서를 통해 웹 서버의 신원을 확인한다.

동작 원리..?

대칭키와 공개키(=비대칭키)를 결합한 암호 시스템을 제공한다.
SSL/TLS HandShake 과정을 통해 암호화/복호화가 진행.

HTTPS(HTTP secure)

위에서 설명한 인터넷 상에서 정보를 암호화하는 SSL 프로토콜을 사용해 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약

새로운 애플리케이션 계층을 사용하는 것이 아닌 HTTP 프로토콜에서 데이터 전송 전 SSL/TLS를 사용하여 암호화하고, 받은 데이터를 복호화하는 과정을 추가시킨 것.

원래 HTTP는 TCP와 직접 통신했지만, HTTPS에서는 SSL과 통신하고 SSL이 TCP와 통신하게 된다.

🙋 여기서 질문

HTTP와 HTTPS의 차이를 설명해보세요.
HTTP는 서버와 클라이언트의 정보 교환을 위해 사용되는 프로토콜입니다. HTTP는 정보를 암호화 하지않고 평문으로 전송하여 보안에 취약한 문제가 있을 수 있습니다.
HTTPS는 이러한 HTTP의 문제점을 보완하여 데이터를 암호화하고 인증서를 활용해 안전한 데이터 전송을 보장합니다.
구체적으로는 HTTP는 인터넷 상에서 정보를 주고받을때 사용하는 프로토콜이고 HTTPS는 이러한 HTTP 프로토콜의 위에 구성되어 HTTP 데이터를 전송하기 전에 데이터를 암호화/복호화하는 보안 계층으로 작용된다.

대칭키와 공개키의 차이를 설명해보세요
대칭키는 암호화와 복호화에 동일한 키를 사용한다. 이 데이터는 전송 전에 생성되고 공유된다.
비교적 공개키보다 빠르지만 키가 전송되는 과정에서 위험에 노출 될 가능성이 있습니다.
공개키 즉 비대칭키는 위 문제 해결을 위해 서버는 자신만의 공개키와 개인키를 생성합니다.
데이터는 서버에서 생성된 공개키를 통해 암호화하고 서버에서 받은 데이터는 자신만의 개인키를 통해 데이터를 복호화 합니다.
공개키는 자신만의 개인키로 복호호하기 때문에 보안성이 높지만 방식이 복잡하여 처리가 느립니다.

HTTPS 통신 흐름

애플리케이션 서버(A)를 만드는 기업은 HTTPS를 적용하기 위해 공개키와 개인키를 만든다.
신뢰할 수 있는 CA 기업을 선택하고, 그 기업에게 내 공개키 관리를 부탁하며 계약을 한다.

CA : Certificate Authority로 공개키를 저장해주는 신뢰성이 검증된 민간기업

계약 완료된 CA 기업은 해당 기업의 이름, A서버 공개키, 공개키 암호화 방법을 담은 인증서를 만들고, 해당 인증서를 CA 기업의 공개키로 암호화해서 A서버에게 제공한다.
A서버는 암호화된 인증서를 갖게 되었다. 이제 A서버는 암호화 되지않은 요청이 오면, 이 암호화된 인증서를 클라이언트에 건낸다.
클라이언트가 HTML 문서 파일을 달라고 A서버에 요청 했다고 가정. HTTPS 요청이 아니기 때문에 CA기업이 A서버의 정보를 CA 기업의 개인키로 암호화한 인증서를 받게 된다.
브라우저는 인증서를 통해 A서버의 공개키를 얻게 된다.
클라이언트가 A서버와 HandShaling 과정에서 얻은 랜덤데이터를 조합하여 pre-master-key(대칭키)를 생성한 뒤, A 서버의 공개키로 암호화하여 서버로 보낸다.
A서버는 암호화된 대칭키를 자신의 개인키로 복호화하여 클라이언트와 동일한 대칭키를 흭득한다.
이후 클라이언트-서버 사이의 통신을 할 때 주고받는 메세지는 이 pre-master-key(대칭키)를 이용하여 암호화/복호화를 진행한다.

SSL/TLS HandShake

HTTPS에서 클라이언트와 서버간 통신 전
SSL 인증서로 신뢰성 여부를 판단하기 위해 연결하는 방식

https://blog.kakaocdn.net/dn/TuZzY/btrz2rDPC5g/IpFkcdyfFUYK0y1IlN1QM1/img.png![](https://velog.velcdn.com/images/dbswns1101/post/69a0abf2-3005-4349-b2fd-07e3d85b860e/image.png)

진행 순서

클라이언트는 서버에게 client hello 메시지를 담아 서버로 보낸다. 이때 메시지에는 클라이언트에서 생성된 랜덤 데이터, 지원하는 암호화 방식, 세션 ID를 포함한다.
서버는 클라이언트가 보낸 메시지를 받고 세션 ID와 CA 인증서를 server hello 메시지와 함께 담아 응답한다.
- CA 인증서에는 클라이언트에서 생성 될 대칭키를 암호화할 CA를 통해 생성한 서버의 공개키를 담고있다.
클라이언트는 서버에서 보낸 CA 인증서에 대해 신뢰할 수 있는지 CA의 공개키를 사용해 인증서를 복호화한다.
인증서를 복호화 하여 서버의 공개키를 얻고. 클라이언트와 서버의 랜덤데이터를 조합하여 pre-master-key를 생성한다.
- 이 키는 앞으로 서로 데이터를 통신할 때 암호화에 이용된다.
클라이언트는pre-master-key 키를 서버의 공개키로 암호화 한 후 서버로 전송한다.
서버는 전달받은 pre-master-key를 개인키로 복호화한 후 master-key로 추출한 후 이후 session-key로 변환한다.
최종적으로 세션 키는 서버와 클라이언트 간 통신에 사용되는 대칭키로 활용된다.

김윤준

이전 포스트

[👨🏻‍🔬CS 스터디 2주차] - 네트워크 OSI 7계층 정리

다음 포스트