[Web] HTTP와 HTTPS

Hyunji·2022년 3월 26일
httphttps
1

공부

목록 보기
15/35
post-thumbnail

HTTP란?

  • Hyper Text Transfer Protocol
  • 서버/클라이언트 모델을 따라 데이터를 주고 받기 위한 프로토콜
  • 주로 TCP를 사용하고 HTTP/3 부터는 UDP를 사용하며 80번 포트를 사용
    • HTTP 서버가 80번 포트에서 요청을 기다리고 있으며, 클라이언트는 80번 포트로 요청을 보냄
프로토콜이란?
컴퓨터 내부에서, 또는 컴퓨터 사이에서 데이터의 교환 방식을 정의하는 규칙 체계. 기기 간 통신은 교환되는 데이터의 형식에 대해 상호 합의를 요구하는데, 이러한 형식을 정의하는 규칙의 집합

HTTP의 구조

  • 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동
  • 상태를 가지고 있지 않는 Stateless 프로토콜이다
  • Method, Path, Version, Headers, Body 등으로 구성됨
  • 암호화가 되지 않은 평문 데이터를 전송하는 프로토콜이였음
    -> HTTP로 비밀번호나 주민등록번호 등을 주고 받으면 제 3자가 정보를 조회할 수 있었음 = 보안 취약

HTTPS란?

  • Hyper Text Transfer Protocol Secure
  • HyperText Transfer Protocol over Secure Socket Layer, HTTP over TLS, HTTP over SSL, HTTP Secure
    • Secure Socket = 보안 통신망
  • HTTP에 데이터 암호화가 추가된 프로토콜
    • 네트워크 상에서 중간에 제 3자가 정보를 볼 수 없도록 암호화를 지원함
    • HTTP와는 다르게 443번 포트 사용
    • 기존 HTTP 레이어에서 SSL(TLS) 프로토콜을 얹어 평문 데이터를 암호화
    • 소켓 통신에서 일반 텍스트를 이용하는 대신에 SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화
      -> 데이터의 적절한 보호 보장
  • TCP/IP 443번 포트 사용
  • 민감한 트래픽에 이용
    • ex) 인증, 전자상거래

HTTPS의 장점

  1. 보안
    • 보안 단계를 거치기 때문에 서버 부하 증가로 인한 처리 속도 이슈는 없을까?
    • 최근에는 네트워크 장비와 서버 장비 성능의 폭발적 증가에 따라, 체감하는 속도 저하는 거의 발생하지 않는다
  2. 검색 우선순위
    • 그럼 개인정보를 사용하지 않는 사이트는 굳이 https를 적용하지 않아도 되는 것이 아닐까?
    • 우리가 대표적으로 사용하는 검색 포털 사이트인 구글, 네이버, 다음 모두에서 검색 엔진 최적화(SEO : Search Engine Optimization)을 통해 https를 상위 노출 하고 있다
    • 동일한 키워드의 페이지 중에서 https 기반의 사이트가 우선 순위로 노출됨
      -> 보다 안전하다고 판단되는 사이트에 가산점을 준다

HTTPS에서 제공하는 것 (HTTPS를 사용하는 이유)

  1. 기밀성
    • HTTPS는 인터넷과 같은 공공 매체에서 두 참여자 간의 통신을 보호한다
    • ex) HTTPS가 없다면 와이파이 액세스 포인트를 운영하는 사람은 액세스 포인트를 사용하는 사람이 온라인에서 무언가를 구입할 때 신용카드와 같은 개인정보를 볼 수도 있다
  2. 무결성
    • HTTPS는 변조되지 않은 정보로 목적지에 도달하게 한다
    • ex) 와이파이가 웹사이트에 광고를 추가하거나, 대역폭을 절약하고나 이미지 품질을 저하시키거나, 읽는 기사의 내용을 변조할 수 있지만 HTTPS는 웹사이트를 변조할 수 없도록 한다
  3. 인증
    • HTTPS를 통해 웹사이트의 진위 여부를 확인할 수 있다
    • ex) 와이파이 액세스 포인트를 운영하는 사람이 가짜 웹사이트를 브라우저에 보낼 수도 있다. HTTPS는 example.com이라는 웹사이트가 실제로 example.com인지 확인한다. 일부 인증서는 yourbank.com이 YourBank.Inc라는 것을 알리기 위해 해당 웹사이트의 법적 신원을 검사하기도 한다

HTTPS의 보안이 뛰어난 이유

  • HTTP와 HTTPS의 차이: SSL 인증서
  • SSL 인증서는 사용자가 사이트에 제공하는 정보를 암호화한다
    • 쉽게 말해서 데이터를 암호로 바꾼다
  • 이렇게 전송된 데이터는 중간에서 누군가 훔쳐 낸다고 하더라도 데이터가 암호화 되어있기 때문에 해독할 수 없다
  • 그 외에도 HTTPS는 TLS(전송 계층 보안) 프로토콜을 통해서도 보안을 유지한다
TSL
데이터 무결성을 제공하기 때문에 데이터가 전송 중에 수정되거나 손상되는 것을 방지하고, 사용자가 자신이 의도하는 웹사이트와 통신하고 있음을 인증하는 인증 기능도 제공하고 있다.

HTTPS의 원리

  • 공개키 방식 (PKI, Public Key Infrastructure)
  • 공개키는 두개의 키를 갖게되며,A키로 암호화 하면 B키로 복호화가 가능하며, 반대로 B키로 암호화 하면 A키로 복호화가 가능하다
    • 두 개의 키중 하나는 공개키(public key)가 되며, 하나는 비공개 키(private key)가 된다
    • 두 개의 키가 동작되는 원리를 간단히 살펴보면, 비공개 키는 소유자 즉 굉장히 private한 사용자가 가지고 있게 되며, 공개키는 소유자와 타인에게 공개되는 키이다
  • 타인은 공개키를 이용하여 데이터를 암호화해서 소유자에게 전달하면, 소유자는 비공개키로 복화하하여 그 데이터를 얻을 수 있게 되는 간단한 원리

HTTPS의 동작 과정

  • 대칭키 암호화와 비대칭키 암호화를 모두 사용하여 빠른 연산 속도와 안정성을 모두 얻고 있음
  • 연결 과정(Hand-Shaking)에서 먼저 서버와 클라이언트 간에 세션키를 교환한다
    • 세션키는 주고 받는 데이터를 암호화하기 위해 사용되는 대칭키
    • 데이터 간의 교환에는 빠른 연산 속도가 필요하므로 세션키는 대칭키로 만들어짐
  • 세션키를 클라이언트와 서버가 어떻게 교환할까?
    - 처음 연결을 성립하여 안전하게 세션키를 공유하는 과정에서 비대칭키가 사용됨
    - 이후에 데이터를 교환하는 과정에서 빠른 연산 속도를 위해 대칭키가 사용됨
  1. 브라우저(클라이언트)가 웹사이트 서버에 접근하여 연결을 요청한다
  2. 서버가 공개키를 브라우저에게 넘겨준다
  3. 브라우저는 공개키의 유효성을 검사하고 세션 키를 발급한다
  4. 브라우저는 세션 키를 보관하며 추가로 서버의 공개키로 세션 키를 암호화 하여 서버로 전송한다
  5. 서버는 개인키를 사용하여 클라이언트로부터 받은 세션 키를 해독하고 이제 양쪽 끝에 컴퓨터가 생성한 세션 키가 있음
  6. 공개 키 암호화가 종료되고 대칭 암호화로 대체됨
  7. 대칭 암호화만 사용하는 서버와 세션에 있으며 웹사이트를 떠날 때까지 그대로 유지된다

HTTPS 통신 흐름

  • 공개키 저장소라고 부르던 곳의 원래 명칭은 CA(Certificate Authority)이다
  • CA는 민간기업이지만 아무나 운영할 수 없고, 신뢰성이 검증된 기업만 CA를 운영할 수 있음
  1. 애플리케이션 서버(A)를 만드는 기업은 HTTPS를 적용하기 위해서 공개키와 개인키를 만든다
  2. 그 다음에 신뢰할 수 있는 CA 기업을 선택하고 그 기업에 공개키를 관리해달라고 계약하고 돈을 지불한다
  3. 계약을 완료한 CA기업은 또 CA 기업만의 공개키와 개인키가 있다
    • CA 기업은 CA 기업의 이름과 A서버의 공개키, 공개키의 암호화 방법 등의 정보를 담은 인증서를 만들고, 해당 인증서를 CA 기업의 개인키로 암호화해서 A서버에 제공__
  4. A 서버는 암호화된 인증서를 갖게되는데
    -> A서버의 공개키로 암호화된 HTTPS 요청이 아닌 요청(Request)이 오면 이 암호화된 인증서를 클라이언트에게 준다
  5. 클라이언트 입장에서 A서버로 index.html 파일을 달라고 요청했을때, HTTPS 요청이 아니기 때문에 CA기업이 A서버의 정보를 CA 기업의 개인키로 암호화한 인증서를 받게 된다
  6. 세계적으로 신뢰할 수 있는 CA 기업의 공개키는 브라우저가 이미 알고 있다
    • 브라우저가 CA 기업 리스트를 쭉 탐색하면서 인증서에 적혀있는 CA 기업 이름이 같으면 해당 CA 기업의 공개키를 해독해서 A서버의 공개키를 얻게 되고
      -> A서버와 통신할 때는 A서버의 공개키로 암호화해서 Requets를 날리게 된다

언제 HTTP를 사용하고 언제 HTTPS를 사용하는 것이 좋을까?

  • 개인정보와 같은 민감한 데이터를 주고 받아야 한다면 HTTPS 이용

  • 노출이 되어도 괜찮은 단순한 정보 조회 등 만을 처리하고 있다면 HTTP 이용

  • HTTP는 암호화가 추가되지 않았기 때문에 보안에 취약한 반면, HTTPS는 안전하게 데이터를 주고받을 수 있다

    • HTTPS는 인증서를 발급하고 유지하기 위한 추가 비용이 발생함

출처:
https://artist-developer.tistory.com/23
https://hyeran-story.tistory.com/159
https://blog.wishket.com/http-vs-https-%EC%B0%A8%EC%9D%B4-%EC%95%8C%EB%A9%B4-%EC%82%AC%EC%9D%B4%ED%8A%B8%EC%9D%98-%EB%A0%88%EB%B2%A8%EC%9D%B4-%EB%B3%B4%EC%9D%B8%EB%8B%A4/
https://brunch.co.kr/@hyoi0303/10#:~:text=%EB%91%90%20%ED%94%84%EB%A1%9C%ED%86%A0%EC%BD%9C%20%EC%82%AC%EC%9D%B4%EC%97%90%20%EA%B0%80%EC%9E%A5,%EC%9B%B9%20%EC%82%AC%EC%9D%B4%ED%8A%B8%EB%9D%BC%EB%A9%B4%20%EB%8D%94%EC%9A%B1%20%EA%B7%B8%EB%A0%87%EB%8B%A4.
https://jeong-pro.tistory.com/89
https://mangkyu.tistory.com/98

profile
Hyunji
성장중인 개발자
이전 포스트

[Node.js] 관리자 패널을 제공하는 AdminJS 사용하기

다음 포스트

[MySQL] Workbench로 ERD다이어그램 생성하기

0개의 댓글