📌 HTTP & HTTPS

• 📍 HTTP(HyperText Transfer Protocol)

  인터넷 상에서 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약

HTTP는 텍스트 교환이므로, 누군가 네트워크에서 신호를 가로채면 내용이 노출되는 보안 이슈가 존재한다.

이런 보안 문제를 해결해주는 프로토콜이 'HTTPS'(HTTP Secure)

• 📍 HTTPS(HyperText Transfer Protocol Secure)

• 특징

  • 인터넷 상에서 정보를 암호화하는 SSL 프로토콜을 사용해 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약

  • 데이터의 기밀성과 무결성을 보장하며, 통신하는 당사자의 신원을 검증하는 기능

HTTPS는 텍스트를 암호화한다. 공개키 암호화 방식으로!

❓ What is SSL?

1. 컴퓨터와 컴퓨터가 네트워크를 통해서 통신을 할때핸드쉐이크 -> 세션 -> 세션종료 의 과정을 거친다.
2. 암호화된 HTTP 메시지를 교환하기 전에 클라이언트와 서버는 SSL 핸드쉐이크를 진행한다.

• 핸드쉐이크의 목적은 아래와 같다.

1. 프로토콜 버전번호 교환
2. 양쪽이 알고 있는 pre master secret 키 생성 및 교환
3. 양쪽의 신원 인증
4. 채널을 암호화 하기 위한 임시 세션 키 생성

SSL 통신과정을 간단하게 도식화 하면 아래와 같다.

SSL 통신과정

📌 HTTPS 통신 흐름

1. 애플리케이션 서버(A)를 만드는 기업은 HTTPS를 적용하기 위해 공개키와 개인키를 만든다.

2. 신뢰할 수 있는 CA 기업을 선택하고, 그 기업에게 내 공개키 관리를 부탁하며 계약을 한다.

CA란? : Certificate Authority로, 공개키를 저장해주는 신뢰성이 검증된 민간기업

3. 계약 완료된 CA 기업은 해당 기업의 이름, A서버 공개키, 공개키 암호화 방법을 담은 인증서를 만들고, 해당 인증서를 CA 기업의 개인키로 암호화해서 A서버에게 제공한다.

A
공개키 전달 ->
CA기업
A서버 공개키와 이를 이용한 인증서 생성 + 인증서를 다시 CA 기업의 개인키로 암호화 ->
A
인증서 받음

4. A서버는 암호화된 인증서를 갖게 되었다. 이제 A서버는 A서버의 공개키로 암호화된 HTTPS 요청이 아닌 요청이 오면, 이 암호화된 인증서를 클라이언트에게 건내준다.

5. 클라이언트가 main.html 파일을 달라고 A서버에 요청했다고 가정하자. HTTPS 요청이 아니기 때문에 CA기업이 A서버의 정보를 CA 기업의 개인키로 암호화한 인증서를 받게 된다.

CA 기업의 공개키는 브라우저가 이미 알고있다. (세계적으로 신뢰할 수 있는 기업으로 등록되어 있기 때문에, 브라우저가 인증서를 탐색하여 해독이 가능한 것)

6. 브라우저는 해독한 뒤 A서버의 공개키를 얻게 되었다.

7. 클라이언트가 A서버와 HandShaking 과정에서 주고받은 난수를 조합하여 pre-master-key(대칭키) 를 생성한 뒤, A서버의 공개키로 해당 대칭키를 암호화하여 서버로 보냅니다.

8. A서버는 암호화된 대칭키를 자신의 개인키로 복호화 하여 클라이언트와 동일한 대칭키를 획득합니다.

9. 이후 클라이언트-서버사이의 통신을 할 때 주고받는 메세지는 이 pre-master-key(대칭키)를 이용하여 암호화, 복호화를 진행합니다.

HTTPS도 무조건 안전한 것은 아니다. (신뢰받는 CA 기업이 아닌 자체 인증서 발급한 경우 등)

이때는 HTTPS지만 브라우저에서 주의 요함, 안전하지 않은 사이트와 같은 알림으로 주의 받게 된다.

📌 HTTPS가 안전하지 않은 상황

가짜 HTTPS 사이트: 가장 일반적인 보안 위협 중 하나는 "가짜 HTTPS". 이는 해커가 보안 인증서를 가진 가짜 웹사이트를 만들어 사용자를 속이는 것이다. 사용자는 사이트가 안전하다고 생각하고 민감한 정보를 입력하게 되고, 이 정보는 해커에게 전달된다. 위협을 피하는 방법 중 하나는 웹 사이트의 URL을 항상 확인하고, 인증서가 유효한지 확인하는 것이다.

인증서에 대한 신뢰: 웹 브라우저는 사이트가 제공하는 SSL/TLS 인증서를 확인하고, 이를 신뢰할 수 있는 제 3자 기관이 발급한 것인지 확인한다. 그러나 이 기관들이 항상 100% 신뢰할 수 있는 것은 아니다. 때때로, 이들 기관 중 일부가 해킹당하거나 신뢰성을 잃을 수 있으며, 이 경우 해당 기관이 발행한 인증서가 포함된 웹 사이트에 대한 접속은 안전하지 않을 수 있다.

중간자 공격(Man-In-The-Middle, MITM): HTTPS 통신은 일반적으로 중간자 공격으로부터 안전하다고 여겨지지만, 몇몇 상황에서는 이 역시 안전하지 않을 수 있다. 예를 들어, 사용자의 네트워크를 제어하는 공격자는 SSL 스트리핑 같은 기법을 사용하여 HTTPS 연결을 HTTP 연결로 강제로 내려 바꿀 수 있다. 이렇게 되면, 사용자와 서버 사이의 모든 통신이 암호화되지 않은 채로 전송되므로 공격자가 이를 쉽게 열람할 수 있게 된다.

📍 피하기 위해서는?

URL 확인: URL이 HTTPS로 시작하는지 확인하고, 도메인 이름이 익숙한지 확인해야한다. 예를 들어, 'google.com'과 'g00gle.com'은 다르며, 후자는 위조 사이트일 가능성이 높다.

인증서 확인: 주소 표시줄에 있는 자물쇠 아이콘을 클릭하여 사이트의 보안 인증서를 확인해야한다. 인증서가 유효하고, 신뢰할 수 있는 발급자로부터 발급된 것인지 꼭 확인!

안전한 네트워크 사용: 공용 Wi-Fi와 같은 불안전한 네트워크에서 민감한 정보를 전송하는 것은 위험하다. 불안전한 네트워크를 통해 정보를 전송하면, 공격자가 중간에서 정보를 가로챌 수 있기 때문.

신뢰성 있는 사이트 이용: 중요한 정보를 공유하기 전에 해당 웹사이트가 신뢰할 수 있는지 확인. 익명의 웹사이트나 불명확한 소스에서 요청하는 정보를 제공하면 안된다.

하지만!!! 인터넷은 항상 100% 안전하지 않다. 항상 주의를 기울이고, 의심하고 안전에 유의해서 사용합시다..!!!

출처

링크
링크
규글