HTTPS VS HTTP
HTTP는 Hypertext Transfer Protocol의 약자다. 즉 Hypertext 인 HTML을 전송하기 위한 통신규약을 의미한다. HTTPS에서 마지막의 S는 Over Secure Socket Layer의 약자로 Secure라는 말을 통해서 알 수 있듯이 보안이 강화된 HTTP라는 것을 짐작할 수 있다. HTTP는 암호화되지 않은 방법으로 데이터를 전송하기 때문에 서버와 클라이언트가 주고 받는 메시지를 감청하는 것이 매우 쉽다. 예를들어 로그인을 위해서 서버로 비밀번호를 전송하거나, 또는 중요한 기밀 문서를 열람하는 과정에서 악의적인 감청이나 데이터의 변조등이 일어날 수 있다는 것이다. 이를 보안한 것이 HTTPS다.
HTTPS와 SSL
HTTPS와 SSL를 같은 의미로 이해하고 있는 경우가 많다. 이것은 맞기도 틀리기도 하다. 그것은 마치 인터넷과 웹을 같은 의미로 이해하는 것과 같다. 결론적으로 말하면 웹이 인터넷 위에서 돌아가는 서비스 중의 하나인 것처럼 HTTPS도 SSL 프로토콜 위에서 돌아가는 프로토콜이다.
SSL과 TLS
같은 말이다. 네스케이프에 의해서 SSL이 발명되었고, 이것이 점차 폭넓게 사용되다가 표준화 기구인 IETF의 관리로 변경되면서 TLS라는 이름으로 바뀌었다. TLS 1.0은 SSL 3.0을 계승한다. 하지만 TLS라는 이름보다 SSL이라는 이름이 훨씬 많이 사용되고 있다.
SSL 인증서에는 어떤 정보가 포함되어 있습니까?
인증서가 발급된 도메인 이름
발급된 사람, 조직 또는 기기
발급한 인증 기관
인증 기관의 디지털 서명
연결된 하위 도메인
인증서 발급일
인증서 만료 날짜
공개 키(개인 키는 비밀로 유지됨)
웹사이트에 SSL 인증서가 필요한 이유는 무엇입니까?
웹사이트는 사용자 데이터를 안전하게 유지하고, 웹사이트 소유권을 확인하고, 공격자가 사이트의 가짜 버전을 만들지 못하도록 방지하고, 사용자 신뢰를 얻기 위해 SSL 인증서가 필요합니다.
암호화: SSL/TLS 암호화는 SSL 인증서가 용이하게 해주는 공개-개인 키 쌍으로 인해 가능합니다. 클라이언트(예: 웹 브라우저)는 서버의 SSL 인증서에서 TLS 연결을 여는 데 필요한 공개 키를 가져옵니다.
인증: SSL 인증서는 클라이언트가 실제로 도메인을 소유한 올바른 서버와 통신하고 있는지 확인합니다. 이는 도메인 스푸핑 및 기타 종류의 공격을 방지하는 데 도움이 됩니다.
HTTPS: 기업에서 가장 중요한 것은 HTTPS 웹 주소에 SSL 인증서가 필요합니다. HTTPS는 HTTP의 보안 형식이며 HTTPS 웹사이트는 트래픽이 SSL/TLS로 암호화된 웹사이트입니다.
전송 중인 사용자 데이터를 보호하는 것 외에도 HTTPS를 사용하면 사용자 관점에서 사이트를 더 신뢰할 수 있습니다. 많은 사용자는 http://와 https:// 웹 주소의 차이를 알아차리지 못하지만 대부분의 브라우저 는 HTTP 사이트 를 눈에 띄는 방식으로 "비보안" 태그로 지정 하여 HTTPS로 전환하고 보안을 강화하도록 유도합니다.
웹사이트는 SSL 인증서를 어떻게 얻습니까?
SSL 인증서가 유효하려면 도메인이 인증 기관(CA)에서 인증서를 가져와야 합니다. CA는 SSL 인증서를 생성하고 제공하는 신뢰할 수 있는 제3자 외부 조직입니다. 또한 CA는 자체 개인 키로 인증서에 디지털 서명을 하여 클라이언트 장치에서 인증서를 확인할 수 있도록 합니다. 전부는 아니지만 대부분의 CA는 SSL 인증서 발급에 대해 수수료를 부과합니다.
인증서가 발급되면 웹 사이트의 원본 서버에 설치 및 활성화해야 합니다. 웹 호스팅 서비스는 일반적으로 웹사이트 운영자를 위해 이를 처리할 수 있습니다. 원본 서버에서 활성화되면 웹사이트는 HTTPS를 통해 로드할 수 있으며 웹사이트를 오가는 모든 트래픽은 암호화되고 안전합니다.
자체 서명 SSL 인증서란 무엇입니까?
기술적으로 누구나 공개-개인 키 쌍을 생성하고 위에서 언급한 모든 정보를 포함하여 자신의 SSL 인증서를 만들 수 있습니다. 이러한 인증서를 자체 서명된 인증서라고 부르는 이유는 사용되는 디지털 서명이 CA가 아니라 웹 사이트 자체의 개인 키이기 때문입니다.
그러나 자체 서명된 인증서를 사용하면 원본 서버가 주장하는 서버인지 확인할 외부 권한이 없습니다. 브라우저는 자체 서명된 인증서를 신뢰할 수 있는 것으로 간주하지 않으며 https:// URL에도 불구하고 여전히 "비보안"으로 사이트를 표시할 수 있습니다. 또한 연결을 완전히 종료하여 웹사이트 로딩을 차단할 수도 있습니다.
SSL/TLS의 장점:
향상된 보안.
쉽게 배포할 수 있습니다.
HTTP/2 사용 능력.
SSL/TLS의 단점:
속도 저하.
안전하지 않은 암호화를 허용합니다.
플러그인 비호환성.
참조
https://opentutorials.org/course/228/4894
https://www.cloudflare.com/ko-kr/learning/ssl/what-happens-in-a-tls-handshake/
https://www.cloudflare.com/ko-kr/learning/ssl/what-is-an-ssl-certificate/
https://www.geeksforgeeks.org/how-to-fix-the-ssl-tls-handshake-failed-error/
