HTTP와 HTTPS 모두 웹 브라우저와 서버 간의 통신을 관리하는 프로토콜이다.
이 둘의 차이점은 보안성과 데이터 전송 방식에서 주로 나타난다.
HTTP
HyperText Transfer Protocol
웹 브라우저(Client)와 서버(Server)간의 데이터를 주고 받을 때 쓰는 프로토콜(통신 규칙 세트)이다.
AWS - HTTP와 HTTPS 비교
사용자가 웹 사이트를 방문하면 사용자의 브라우저가 웹 서버에 HTTP 요청을 전송하고
웹 서버는 HTTP 응답으로 응답한다.
이때, 웹 서버와 사용자 브라우저는 데이터를 일반 텍스트로 교환한다.
간단히 말해, HTTP 프로토콜은 네트워크 통신을 작동하게 하는 기본 기술이다.
- 보안
- 데이터가 암호화되지 않은 상태로 전송
- 중간에 누군가가 데이터를 가로챌 수 있다
- 포트
- 기본적으로 80번 포트를 사용
HTTP 프로토콜은 어떻게 작동하나요?
HTTP는 OSI(Open Systems Interconnection) 네트워크 통신 모델의 애플리케이션 계층 프로토콜이다.
HTTP는 여러 유형의 요청과 응답을 정의한다.
- HTTP GET, PUT 등 요청을 전송
- 서버 → HTTP 응답
- 200 정상
- 400 Bad request
- 404 Resource Not Found
- 등 ...
브라우저와 웹 서버가 사용하는 통신 방식이므로 World Wide Web은 모든 사용자에게 일관되게 작동한다.
HTTPS
HyperText Transfer Protocol Secure
HTTPS는 HTTP에 데이터 암호화가 추가된 프로토콜이다.
HTTPS에서는 브라우저와 서버가 데이터를 전송하기 전에 안전하고 암호화된 연결을 설정한다.
HTTPS는 애플리케이션 계층과 계층 사이에 신뢰 계층인 SSL(Secure Socket Layer 보안 소켓 계층) 또는 TLS(Transport Layer Security Protocol 전송 계층 보안) 프로토콜을 사용하여 데이터를 암호화하기 때문에,
웹 통신의 보안을 강화할 수 있고, 데이터를 암호화하여 전송함으로써 중간자 공격을 방지한다.
따라서 개인 정보를 다루는 웹사이트에서는 HTTPS를 사용하는 것이 필수적이다.
- 보안
- 데이터를 암호화하여 전송
- 중간에서 데이터를 가로채더라도 내용을 알 수 없다
- 인증서를 통해 서버의 신원을 확인할 수 있다
- 포트
- 기본적으로 443번 포트를 사용한다
HTTPS 프로토콜은 어떻게 작동하나요?
HTTP는 암호화되지 않는 데이터를 전송하기 때문에 브라우저에서 전송된 정보를 제 3자가 가로채고 읽을 수 있다.
이는 이상적인 프로세스가 아니었기 때문에, 통신에 또 다른 보안 계층을 추가하기 위해 HTTPS로 확장되었다.
HTTPS는 HTTP 요청 및 응답을 SSL 및 TLS 기술에 결합한다.
HTTPS 웹 사이트는 독립된 인증 기관(CA)에서 SSL/TLS 인증서를 획득해야 한다.
이러한 웹 사이트는 신뢰를 구축하기 위해, 데이터를 교환하기 전에 브라우저와 인증서를 공유한다.
SSL 인증서는 암호화 정보도 포함하므로, 서버와 웹 브라우저는 암호화된 데이터나 스크램블된 데이터를 교환할 수 있다.
SSL/TLS
SSL(Secure Socket Layer) 은 SSL 1.0부터 시작해서 SSL 2.0, SSL, 3.0, TLS(Transport Layer Security Protocol) 1.0, TLS 1.3까지 버전이 올라간다. 마지막으로 TLS로 명칭이 변경되었으나, 보통 이를 합쳐 SSL/TLS로 많이 부른다.
최신 SSL/TLS 인증서는 SSL/TLS 대신 TLS 프로토콜을 사용한다. 엄밀하게 말하면 둘은 서로 다르지만, SSL과 TLS라는 용어는 일반적으로 같은 의미로 사용된다.
SSL/TLS는 전송 계층에서 보안을 제공하는 프로토콜이다.
브라우저와 웹 서버 간에 보안 세션을 기반으로 데이터를 암호화한다.
이를 통해 클라이언트와 서버가 통신할 때 제 3자가 메시지를 도청하거나 변조하지 못한다.
이렇게 공격자가 서버인 척하며 사용자 정보를 가로채는 네트워크상의 ‘인터셉터’를 방지하고, 네트워크 통신을 보호한다.
또한, SSL/TLS 인증서는 인터넷을 통한 웹사이트 및 프라이빗 네트워크의 리소스에 대한 identity를 설정하는 역할을 한다.
SSL/TLS 인증서에는 무엇이 포함되어 있나요?
- 도메인 이름
- 인증 기관
- 인증 기관의 디지털 서명
- 발급 날짜
- 만료 날짜
- 퍼블릭 키
- SSL/TLS 버전
SEO에도 도움이 되는 HTTPS
SEO (Search Engine Optimization) 검색엔진 최적화는 사용자들이 구글, 네이버 같은 검색엔진으로 웹사이트를 검색했을 때, 그 결과를 페이지 상단에 노출시켜 많은 사람이 볼 수 있도록 최적화하는 방법을 의미한다. 서비스를 운영한다면 SEO 관리는 필수다.
구글은 SSL 인증서를 강조해왔고
사이트 내 모든 요소가 동일하다면 HTTPS 서비스를 하는 사이트가 그렇지 않은 사이트보다 SEO 순위가 높을 것이라고 공식적으로 밝혔다.
구글은 보안을 가장 중요하게 여기며, 구글 서비스에 기본적으로 강력한 HTTPS 암호화와 같은 업계 최고 수준의 보안 기술을 사용하기 위해 많은 투자를 하고 있다.
사용자가 구글을 통해 액세스하는 웹사이트가 안전한지 확인하는 일이 이러한 노력의 큰 부분을 차지한다.구글에서는 지난 몇 달 동안 사이트가 검색 순위 결정 알고리즘에 반영될 신호로 암호화된 보안 연결을 사용하는지를 고려하여 테스트를 실행했다. 결과는 긍정적이었으며, 이에 따라 HTTPS를 순위 결정 신호로 사용하려고 한다.
구글은 웹에서 모든 사용자를 안전하게 보호하기 위해 모든 웹사이트 소유자가 HTTP에서 HTTPS로 전환하도록 권장하고자 한다.
HTTP와 HTTPS의 주요 차이점
HTTP 는 보안이 없는 프로토콜로 데이터를 전송하기 때문에 중간에 누군가가 데이터를 가로챌 수 있는 반면,
HTTPS 는 SSL/TLS 암호화를 통해 데이터를 안전하게 전송하는 프로토콜로 중간에서 데이터를 가로채더라도 내용을 알 수 없다. 또한, 인증서를 통해 서버의 신원을 확인할 수 있다는 장점이 있다.
- 보안성
- HTTP : 암호화되지 않는 데이터를 전송
- HTTPS : SSL/TLS 를 사용하여 데이터를 암호화하여 전송
- 데이터 무결성 및 인증
- HTTP : 데이터 무결성과 서버 인증을 제공하지 않음
- HTTPS : 데이터가 전송 중에 변경되지 않도록 보장하며, 서버의 신원을 확인할 수 있음
- 포트 번호
- HTTP : 기본적으로 80번 포트를 사용
- HTTPS : 기본적으로 443번 포트를 사용
- 용도
- HTTP: 텍스트 기반 웹 사이트
- HTTPS: 모든 최신 웹 사이트
- 이점
- HTTP: 인터넷을 통한 지원
- HTTPS : 웹 사이트에 대한 신뢰성 및 검색 엔진 순위 개선
참고
- AWS - HTTP와 HTTPS 비교
- Google - HTTPS as a ranking signal
- 면접을 위한 CS 전공지식 노트 (주홍철)
