🔍 HTTP

HTTP Secure의 약자로, HTTP 요청과 응답으로 오가는 내용을 암호화함으로써 기존의 HTTP 프로토콜을 더 안전하게 사용할 수 있음을 의미한다.

👀 암호화 방식

대칭 키	공개 키(비대칭 키)
암호화/복호화 키 동일함(1개의 키 사용)	암호화/복호화 키 다름(2개의 키 사용)
연산 속도↑ 보안성↓	연산 속도↓ 보안성↑

👀 SSL/TLS 프로토콜

HTTPS는 HTTP 통신을 하는 socket 부분에서 SSL/TLS 프로토콜을 사용하여 서버 인증 및 데이터 암호화를 진행한다.

이 때, CA를 통한 인증서를 사용하며, 대칭 키와 공개 키 암호화 방식을 모두 사용한다.

✔ CA를 통한 인증서

CA는 인증서를 발급해주는 공인된 기관들을 의미하며, HTTPS 사용 시, 브라우저가 서버의 응답과 함께 서버의 신원을 보증해주는 인증서를 확인할 수 있다.

서버는 인증서를 발급받기 위해 CA로 서버의 정보와 공개 키를 전달하고, CA는 전달받은 사항을 CA의 비밀 키로 암호화하여 인증서를 발급한다.

서버는 클라이언트에게 요청을 받으면 CA로부터 발급받은 인증서를 전송하는데, 사용하는 브라우저는 CA들의 리스트 및 공개 키를 내장하고 있으므로, 전송하려는 인증서가 리스트에 있는 CA가 발급한 인증서인지 확인 후, CA의 공개키를 사용해 복호화를 시도한다.
복호화가 성공적으로 진행되면 클라이언트는 서버의 정보 및 공개 키를 얻게됨과 동시에 해당 서버가 신뢰할 수 있는 서버임을 알 수 있다.

✔ 대칭 키 전달

클라이언트는 데이터를 암호화하여 주고 받을 때 대칭 키를 생성하는데, 생성한 대칭 키를 앞에서 얻은 서버의 공개키로 암호화하여 전달한다.
또한, 서버는 전달받은 데이터를 비밀키로 복호화하여 대칭 키를 확보하게되면서 서버와 클라이언트가 동일한 대칭 키를 갖게 된다.

이후, HTTPS 요청을 주고 받을 때 이 대칭 키를 사용해서 데이터를 암호화하여 잔달하게 되며, 대칭 키 자체는 오고 가지 않기 때문에 유출될 위험이 없다.
따라서, 중간에 탈취 되더라도 제 3자가 암호화된 데이터를 복호화할 수 없으므로 HTTP보다 안전하게 요청과 응답을 주고 받을 수 있다.

정리하면, HTTPS = HTTP + SSL/TLS 프로토콜(서버-클라이언트 간 서버 인증 및 데이터 암호화)라고 볼 수 있다.

Reference: 코드스테이츠