HTTP와 HTTPS

🎲  HTTP란?

HTTP란 Hyper Text Transfer Protocol의 약자로 서버/클라이언트 모델을 따라 데이터를 주고받기 위한 프로토콜이다.

• 인터넷에서 하이퍼텍스트를 교환하기 위한 통신 규약
• 1989년 팀 버너스 리에 의해 처음 설계, WWW(World Wide Web) 기반에서 세계적인 정보를 공유하는 데 큰 역할을 함
• HTTP 프로토콜을 사용하여 통신을 수행하면, 홈페이지 URL이 ‘http:// '로 시작함.
• 80번 포트 이용

즉, 간단히 말하면 HTTP 프로토콜은 네트워크 통신을 작동하게 하는 기본 기술이다.

🧩  구조

HTTP는 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다. HTTP는 상태를 가지고 있지 않은 Stateless 프로토콜이며 HTTP 동작 과정에서 필요한 HTTP request와 response 메시지는 크게 3부분으로 구성된다.


☁️ Stateless

state(상태)를 저장하지 않음. 즉, 요청이 오면 그에 응답할 뿐, 여러 요청/응답이 연결되어 있지 않다는 뜻임.

---

HTTP request 구조

(출처 : https://hahahoho5915.tistory.com/62)

---

📌  Start Line

• HTTP Request Message의 시작 라인
• 3가지로 구성
  
  • HTTP Method
    • 요청의 의도를 담고 있는 메소드
    • HTTP Methods에는 GET, POST, PUT, DELETE, OPTIONS 등등이 있다. → 주로 GET과 POST가 쓰임.
  • Request target
    • 해당 request가 전송되는 목표 URI
    • 예를 들어 /login.
  • HTTP Version
  • GET /background.png HTTP/1.0 POST / HTTP 1.1

📌  Headers

• 해당 request에 대한 추가 정보를 담고 있는 부분
• Key:Value 값으로 구성
  • 예시) HOST: google.com => Key = HOST, Value = google.com
• Headers도 크게 3부분으로 구성됨(general headers / request headers / entity headers)
• 자주 사용되는 header 정보
  • Host
    : 요청이 전송되는 target의 host url: 예를 들어, google.com
    
  • User-Agent
    : 요청을 보내는 클라이언트에 대한 정보: 예를 들어, 웹브라우저에 대한 정보.
    
  • Accept
    : 해당 요청이 받을 수 있는 응답(response) 타입.
    
  • Connection
    : 해당 요청이 끝난 후에 클라이언트와 서버가 계속해서 네트워크 컨넥션을 유지 할 것인지 아니면 끊을 것인지에 대해 지시하는 부분.
    
  • Content-Type
    : 해당 요청이 보내는 메시지 body의 타입. 예를 들어, JSON을 보내면 application/json.
    
  • Content-Length
    : 메세지 body의 길이.
    

📌  Blank Line

• 요청에 대한 모든 메타 정보가 전송되었음을 알리는 용도

📌  Body

• HTTP 요청이 전송하는 데이터를 담고 있는 부분
• 데이터 업데이트 요청과 관련된 내용
  • POST 요청일 경우, 보통 HTML 폼 데이터가 포함
• 전송하는 데이터가 없다면 body는 비어있음.
  ⇒ GET, HEAD, DELETE, OPTIONS처럼 리소스를 가져오는 요청은 바디 미포함
  

(출처 : https://mangkyu.tistory.com/98)

---

요청메소드

서버에게 요청의 종류를 알려주기 위해 사용한다.

• GET : 정보를 요청하기 위해 사용(SELECT)
• POST : 정보를 밀어 넣기 위해 사용(INSERT)
• PUT : 정보를 업데이트하기 위해서 사용(UPDATE)
• DELETE : 정보를 삭제하기 위해서 사용(DELETE)
• HEAD : (HTTP) 헤더 정보만 요청. 해당 자원이 존재하는지 혹은 서버에 문제가 없는지를 확인하기 위해 사용.
• OPTIONS : 웹 서버가 지원하는 메서드의 종류를 요청.
• TRACE : 클라이언트의 요청을 그대로 반환. 주로 echo 서비스로 서버 상태를 확인하기 위한 목적으로 사용.
  
  

HTTP response 구조

(출처 : https://hahahoho5915.tistory.com/62)

---

📌  Status Line

• HTTP Response의 상태를 간략하게 나타내주는 부분
  
• 3가지로 구성
  • HTTP version
  • Status Code : 응답 상태를 나타내는 코드
  • Status Text : 응답 상태를 간략하게 설명

📌  Headers

• Request의 header와 동일
• 다만 response에서만 사용되는 header 값들이 있음
  • 예를 들어, User-Agent 대신에 Server 헤더를 사용

📌  Blank Line

• 요청에 대한 모든 메타 정보가 전송되었음을 알리는 용도

📌  Body

• 응답 리소스 데이터
• Request의 body와 일반적으로 동일
• Request와 마찬가지로 모든 response가 body가 있지는 않음.
  ⇒ 데이터를 전송할 필요가 없으면 body는 비어있게 됨.
• 201, 204 상태 코드는 바디 미포함

---

(출처 : https://developer.mozilla.org/ko/docs/Web/HTTP/Messages)

동작과정

서버 접속 → 클라이언트 → 요청 → 응답 → 클라이언트 → 연결 종료

(출처 : https://enai.tistory.com/26)

---

1. 사용자가 웹 브라우저에 URL 주소를 입력한다.

2. DNS 서버에 웹 서버의 호스트 이름을 IP 주소로 변경 요청한다.

3. 웹 서버와 TCP 연결을 시도한다.

   • 3way-handshaking

4. 클라이언트가 서버에게 요청한다.

   • HTTP Request Message = Request Header + blank line + Request Body

5. 서버가 클라이언트에게 데이터를 응답한다.

   • HTTP Response Message = Response Header + blank line + Response Body

6. 서버 클라이언트 간 연결 종료 (stateless의 특징이 나타남)

   • 4way-handshaking

7. 웹 브라우저가 웹 문서 출력

---

• 3way-handshaking
  • TCP의 접속 과정
  • TCP 통신을 이용하여 데이터를 전송하기 위해 네트워크 연결을 설정(Connection Establish)하는 과정
  • 양쪽 모두 데이터를 전송할 준비가 되었다는 것을 보장하고, 실제로 데이터 전달이 시작하기 전에 한쪽이 다른 쪽이 준비되었다는 것을 알 수 있도록 한다.
• 4way-handshaking
  • TCP의 접속 해제 과정
  • FIN 플래그 이용
    • 세션을 종료시키는 데 사용되며, 더 이상 보낸 데이터가 없음을 나타냄

---

---

🎲  HTTPS란?

HTTPS는 HyperText Transfer Protocol Secure의 약자이며, HTTP에 데이터 암호화가 추가된 확장 버전으로 더 안전한 버전이다.

• 통신하는 과정에 HTTPS는 전송 내용을 SSL을 사용하여 암호화함.
  ⇒ 암호화를 통해 발신자와 수신자를 제외한 중간 매개체에서 통신 내용을 확인할 수 없기 때문에, 발신자가 전송한 암호 및 기밀문서를 보호할 수 있음.
• HTTPS 프로토콜을 사용하여 통신을 수행하면, 홈페이지 URL이 ‘https:// ’로 시작함.
• 443번 포트 이용

(출처 : https://seo.tbwakorea.com/blog/https-http/)

🔐 SSL 인증서

• 웹사이트의 ID를 인증하고 암호화된 연결을 가능하게 하는 디지털 인증서
• 웹 서버와 웹 브라우저 사이에 암호화된 링크를 생성하게 해주는 보안 프로토콜
• 공개키/개인키 기반으로 데이터를 암호화하기 때문에 데이터는 암호화되고 전송되어 임의의 사용자가 데이터를 조회하여도 원본의 데이터를 보는 것은 불가능하게 해줌

동작 과정

공개키 암호화 방식과 대칭키 암호화 방식의 장점을 활용한 하이브리드 암호 방식을 사용한다. (데이터를 대칭키 방식으로 암복호화하고, 공개키 방식으로 대칭키 전달)

---

(출처 : https://velog.io/@averycode/네트워크-HTTP와-HTTPS-동작-과정)

---

1. 클라이언트가 서버 접속하여 Handshaking 과정에서 서로 탐색

   1.1. Client Hello

   • 클라이언트가 서버에게 전송할 데이터
     • 클라이언트 측에서 생성한 랜덤 데이터
     • 클-서 암호화 방식 통일을 위해 클라이언트가 사용할 수 있는 암호화 방식
     • 이전에 이미 Handshaking 기록이 있다면 자원 절약을 위해 기존 세션을 재활용하기 위한 세션 아이디

   1.2. Server Hello

   • Client Hello에 대한 응답으로 전송할 데이터
     • 서버 측에서 생성한 랜덤 데이터
     • 서버가 선택한 클라이언트의 암호화 방식
     • SSL 인증서

   1.3. Client 인증 확인

   • 서버로부터 받은 인증서가 CA(인증 기관)에 의해 발급되었는지 본인이 가지고 있는 목록에서 확인하고, 목록에 있다면 CA 공개키로 인증서 복호화
   • 클-서 각각의 랜덤 데이터를 조합하여 pre master secret 값 생성(데이터 송수신 시 대칭키 암호화에 사용할 키)
   • pre master secret 값을 공개키 방식으로 서버 전달(공개키는 서버로부터 받은 인증서에 포함)
   • 일련의 과정을 거쳐 session key 생성

   1.4. Server 인증 확인

   • 서버는 비공개키로 복호화하여 pre master secret 값 취득(대칭키 공유 완료)
   • 일련의 과정을 거쳐 session key 생성

   1.5. Handshaking 종료

2. 데이터 전송

   • 서버와 클라이언트는 session key를 활용해 데이터를 암복호화하여 데이터 송수신

3. 연결 종료 및 session key 폐기

---

HTTP와 HTTPS 비교

	HTTP	HTTPS
의미	Hypertext Transfer Protocol	Hypertext Transfer Protocol Secure
기본 프로토콜	HTTP/1과 HTTP/2는 TCP/IP를 사용합니다. HTTP/3은 QUIC 프로토콜을 사용합니다.	HTTP 요청 및 응답을 추가로 암호화하기 위해 SSL/TLS와 함께 HTTP/2 사용
포트	기본 포트 80	기본 포트 443
용도	이전 텍스트 기반 웹 사이트	모든 최신 웹 사이트
보안	추가 보안 기능 없음	퍼블릭 키 암호화에 SSL 인증서 사용
이점	인터넷을 통한 통신 지원	웹 사이트에 대한 권위, 신뢰성 및 검색 엔진 순위 개선

💡  가장 큰 차이점은 보안이며 HTTPS는 HTTP와 다르게 브라우저와 서버가 데이터를 전송하기 전에 안전하고 암호화된 연결을 설정하기 때문에 보다 안전하다는 장점이 있다.

🗒️  자주 쓰이는 HTTP Status Code

200 OK

• 가장 자주 보게 되는 status code
• 문제없이 다 잘 실행 되었을 때 보내는 코드

301 Moved Permanently

• 해당 URI가 다른 주소로 바뀌었을 때 보내는 코드

400 Bad Request

• 해당 요청이 잘못된 요청일 때 보내는 코드
• 주로 요청에 포함된 input 값들이 잘못된 값들이 보내졌을 때 사용되는 코드
• 예를 들어, 전화번호를 보내야 하는데 text가 보내졌을 때 등등

401 Unauthorized

• 유저가 해당 요청을 진행 하려면 먼저 로그인이나 회원가입 등이 필요하다는 것을 나타내려 할 때 쓰이는 코드

403 Forbidden

• 유저가 해당 요청에 대한 권한이 없다는 뜻
• 예를 들어, 과금한 유저만 볼 수 있는 데이터를 요청 했을 때 등

404 Not Found

• 요청된 URI가 존재하지 않는다는 뜻

500 Internal Server Error

• 서버에서 에러가 났을 때 사용되는 코드

---

웹사이트 HTTPS 전환의 중요성

1) 보안에 우수한 HTTPS

HTTPS는 HTTP와 달리 모든 데이터를 암호화된 형태로 전송하기 때문에, 사용자가 민감한 데이터를 전송할 때 제3자가 네트워크를 통해 해당 데이터를 가로챌 수 없어 보안 측면에서 더 우수하다.

예를 들어, 신용카드 세부 정보 혹은 고객 개인 정보와 같은 민감한 정보를 보호하기 위해서는 HTTPS를 사용하는 것이 좋다.

2) 신뢰성이 높은 HTTPS

검색 엔진은 신뢰성이 높은 HTTPS의 웹사이트 순위를 HTTP 보다 높게 지정하며, 브라우저 주소 표시줄에서 URL 옆에 자물쇠 아이콘을 배치해 사용자에게 HTTPS 연결을 표시한다.

또한 구글은 HTTPS를 사용하지 않을 경우 URL 창에 “안전하지 않음”이라는 경고를 띄우는 페널티를 적용하고 있는데, 보통 사용자들은 추가 보안에 대한 신뢰로 HTTP보다는 HTTPS를 선호한다.

3) SEO에 좋은 영향을 주는 HTTPS

구글은 몇 년 전부터 HTTPS를 순위 결정 신호로 사용하고 있기때문에 HTTPS 사용은 SEO(검색엔진최적화)에도 좋은 영향을 미친다.

---

📎  참고

https://aws.amazon.com/ko/compare/the-difference-between-https-and-http/
https://mangkyu.tistory.com/98
https://hahahoho5915.tistory.com/62
https://seo.tbwakorea.com/blog/https-http/
https://suji-sw.tistory.com/entry/HTTP와-HTTPS의-개념과-차이https://velog.io/@averycode/네트워크-HTTP와-HTTPS-동작-과정https://velog.io/@averycode/네트워크-TCPUDP와-3-Way-Handshake4-Way-Handshake
https://enai.tistory.com/26
https://developer.mozilla.org/ko/docs/Web/HTTP/Messages