HTTPS - SSL인증서

인증서의 기능
1. 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버임을 보장한다.
2. SSL 통신에 사용할 공개키를 클라이언트에게 제공한다.

CA
인증서의 역할은 클라이언트가 접속한 서버가 클라이언트가 의도한 서버가 맞는지를 보장하는 역할을 한다. 이 역할을 하는 민간기업들이 있는데 이런 기업들을 CA(Certificate authority) 혹은 Root Certificate 라고 부른다. CA는 아무 기업이나 할 수 있는 것이 아니고 신뢰성이 엄격하게 공인된 기업들만이 참여할 수 있다.

SSL 인증서의 내용
1. 서비스의 정보 (인증서를 발급한 CA, 서비스의 도메인 등등)
2. 서버 측 공개키 (공개키의 내용, 공개키의 암호화 방법)

SSL 동작방법
1. 악수(handshake)
2. 세션

3. 세션종료

---

1. HTTPS = HTTP + SSL

• HTTPS는 HTTP를 보안이 강화되고 안전하게 만든 방식이다.
• 모든 HTTP 요청과 응답 데이터는 네트워크로 보내지기 전에 암호화된다.
• HTTPS는 HTTP의 하부에 SSL과 같은 보안계층을 제공함으로써 동작한다.

2. SSL 인증서의 장점 및 역할

• 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버인지 확인 가능하다.
• SSL 통신에 사용할 공개키를 클라이언트에게 제공한다.
• 즉, 통신 내용이 노출 및 변경되는 것을 방지한다.

3. SSL에서 사용하는 암호화의 종류
   3-1. 대칭키 암호화 방식
   - 인코딩과 디코딩에 같은 키를 사용하는 알고리즘
   - 단점: 발송자와 수신자가 서로 대화하려면 둘 다 공유키를 가려야 한다는 것
   - 대칭키를 전달하는 과정에서 키가 유출이 되면 암호의 내용을 복호화할 수 있기 때문에 위험하다
   - 이를 보완하기 위해서 나온 방법이 공개키 암호화 방식이다.

   3-2. 공개키 암호화 방식
   - 인코딩과 디코딩에 다른 키를 사용하는 알고리즘
   - A키로 암호화를 하면 B키로 복호화할 수 있고, B키로 암호화 하면 A키로 복호화할 수 있는 방식
   - 공개키와 비공개키의 분리는 메시지의 인코딩은 누구나할 수 있도록 해주는 동시에, 메시지의 디코딩은 비밀키 소유자에게만 부여한다.
   - 이는 클라이언트가 서버로 안전하게 메시지를 발송하는 것을 쉽게 해준다.
   - 단점: 공개키 암호화 방식의 알고리즘은 계산이 느린 경향이 있다.
   

4. SSL 동작방법

• 공개키 암호 방식은 알고리즘 계산방식이 느린 경향이 있다.
• 따라서 SSL은 암호화된 데이터를 전송하기 위해서 공개키와 대칭키 암호화 방식을 혼합하여 사용한다.
• 안전한 의사소통 채널을 수립할 때는 공개키 암호를 사용하고, 이렇게 만들어진 안전한 채널을 통해서 임시의 무작위 대칭키를 생성 및 교환한다. 해당 대칭키는 나머지 데이터 암호화에 활용한다.
  요약
  • 실제 데이터 암호화 방식: 대칭키
  • 상기 대칭키를 서로 공유하기 위한 암호화 방식: 공개키

5. SSL 통신과정

• 컴퓨터와 컴퓨터가 네트워크를 통해서 통신을 할때
  핸드쉐이크 -> 세션 -> 세션종료의 과정을 거친다.
• 암호화된 HTTP 메시지를 교환하기 전에 클라이언트와 서버는 SSL 핸드쉐이크를 진행한다
• 핸드쉐이크의 목적은
  - 프로토콜 버전번호 교환
  • 양쪽의 신원 인증
  • 채널을 암호화 하기 위한 임시 세션 키 생성

---

1. HTTPS = HTTP + SSL

• HTTPS는 HTTP를 보안이 강화되고 안전하게 만든 방식이다.
• 모든 HTTP 요청과 응답 데이터는 네트워크로 보내지기 전에 암호화된다.
• HTTPS는 HTTP의 하부에 SSL과 같은 보안계층을 제공함으로써 동작한다.

2. SSL 인증서의 장점 및 역할

• 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버인지 확인 가능하다.
• SSL 통신에 사용할 공개키를 클라이언트에게 제공한다.
• 즉, 통신 내용이 노출 및 변경되는 것을 방지한다.

SSL 인증서 상품의 종류
:모든 SSL 인증서는 사용자(Client)와 사이트(Server)간 기본적으로 인증서의 실체성 강도에 따라 DV, OV, EV 이렇게 세가지로 구분되며, 적용할 사이트 수에 따라 Single, Multi, Wildcard 이렇게 세분화 됩니다.

도메인 유효성 검사(DV) 인증서

• 도메인 소유 검증 절차만 있음
• 가장 간단하며 약 5분 소요되며 누구나 발급 가능
  : 도메인 소유권을 확인하지만 조직의 ID에 대한 광범위한 확인을 필요로 하지 않는 기본 인증서입니다.

OV(조직 유효성 검사) 인증서

• 도메인 소유 검증 절차 + 조직 검증 절차 있음
• 최대 3일정도 소요
• 일반적으로 대기업에서 사용
  이러한 인증서는 도메인 소유자의 ID 및 조직 세부 정보에 대한 확인을 포함하여 보다 철저한 유효성 검사 프로세스를 거칩니다.

확장 유효성 검사(EV) 인증서

• 도메인 소유 검증 절차 + 구체적인 조직 검증 절차 있음
• 최대 3주정도 소요
• 일반적으로 금융권, 공공기관 등에서 사용
• DV, OV와 다르게 브라우저에 따라 Green Bar등으로 차별화를 두고 보여줌
  가장 엄격한 유형의 인증서인 EV 인증서는 엄격한 유효성 검사 과정을 포함하며, 웹 사이트 뒤에 있는 조직의 합법성을 확립하기 위해 법적 및 운영 점검을 요구합니다. EV 인증서는 대부분의 브라우저에서 녹색 주소 표시줄을 활성화하여 사이트의 높은 보안 수준을 시각적으로 나타냅니다.

소요 시간 : DV < OV < EV

가격 : DV < OV < EV

요구되는 최소 보안 수준 : DV < OV < EV

도메인에 따른 SSL 인증서 종류
Single

• 1개의 도메인에만 적용
• www.naver.com 도메인으로 인증하게 될 경우 www.naver.com과 naver.com까지 인증 가능
• naver.com 도메인으로 인증하게 될 경우 naver.com만 인증 가능

Multi

• 여러개의 도메인에 적용
• www.kakao.com, kakao.com, www.kakakcorp.com, kakaocorp.com 등 필요한 도메인을 등록하여 인증 가능(수량 제한 있음)
  SAN(Multi-Domain) 인증서: 이러한 인증서는 단일 인증서 내에서 여러 도메인 또는 하위 도메인을 보호할 수 있으므로 다양한 웹 속성을 가진 조직에 유연성과 비용 절감을 제공합니다.

와일드카드 인증서
Wildcard

• 와일드카드 도메인에 적용
• *.naver.com 도메인으로 인증하게 될 경우 www.naver.com, blog.naver.com, mail.naver.com 등 1단계 서브 도메인 상관없이 인증 가능
• EV 심사 불가
  이 인증서는 기본 도메인과 모든 하위 도메인을 포함하므로 하나의 인증서 아래에서 여러 하위 도메인을 보호하는 비용 효율적인 솔루션입니다.

Mulit Wildcard

• 여러개의 도메인(1개의 도메인, 와일드카드 도메인 모두 가능)에 적용
• EV 심사 불가

가격 : Single < Multi < Wildcard < Multi Wildcard

인증서 수명 주기

DV Domain Validation
D(Domain)의 도메인, V(Validation)의 검증의 방법으로 도메인의 소유정보만으로 인증하는 방법입니다.

도메인 소유정보만 확인되면 5분안에 발급되므로 누구나 쉽게 발급할 수 있습니다.

신뢰성에서는 OV 및 EV와 비교되지만 암호화 알고리즘은 동일하기 때문에 보안통신에서는 전혀 차이가 없습니다.

일부 공공기관 웹 사이트에서 DV 인증서가 적용되어 있지만 신뢰를 중요시 하는 정부기관 사이트라면 OV / EV 인증서를 추천 드립니다.

OV Organization Validation
O(Organization)의 조직, V(Validation)의 검증의 방법으로 소속되어 있는 회사(조직) 정보를 추가로 인증하는 방법입니다.

도메인 소유정보와 소속되어 있는 회사(조직)의 기본 정보만 확인되면 발급까지 하루에서 3일정도 소요됩니다.

회사(조직)의 실체인증 위해 영문사업자등록증 / 전화번호 검색사이트(114.co.kr)에서 지역번호로 시작하는 대표번호 등록(1588등 불가) 또는 D-U-N-S Number / LEI Code 등록이 필요합니다.

DV 인증서와 비교하여 고객에게 사이트에 대한 신뢰성을 확보할 수 있습니다.

네이버 / 카카오 / 삼성 등 대기업에서 많이 사용합니다.

EV Extended Validation
E(Extended)의 광범위적, V(Validation)의 검증의 방법으로 OV 검증 + 확장적인 검증이 필요한 인증 방법입니다.

도메인 소유정보 + 소속되어 있는 법인회사(조직)의 실체확인 + 인증기관에 따라 법인 2년 또는 3년 이상 운영 조건 등 까다로운 조건들이 충족되어야 발급이 가능하며 발급까지 최대 3주까지도 소요됩니다.

OV와 마찬가지로 회사(조직)의 실체인증 위해 영문사업자등록증 / 전화번호 검색사이트(114.co.kr)에서 지역번호로 시작하는 대표번호 등록(1588등 불가) 또는 D-U-N-S Number / LEI Code 등록이 필요합니다.

최상급의 신뢰성을 가진 EV 인증서는 발급조건이 까다롭기 때문에 금융권 / 공공기관 / 카드사 등에서 많이 사용합니다.

3개의 검증 타입의 인증서 중 가장 비쌉니다.

단일 Single
koreassl.com 도메인 기준으로 koreassl.com 과 www.koreassl.com 범위내의 보안통신이 가능합니다.

2차 도메인 없이 사용시 비용면에서 유리합니다.

와일드카드 Wildcard
koreassl.com 도메인 기준으로 koreassl.com 을 포함한 2차 도메인 *.koreassl.com 범위내의 보안통신이 가능합니다.

예를들면 2차 도메인 mail.koreassl.com, db.koreassl.com, my.koreassl.com 등 Sub도메인에 대해 제약없이 보안통신이 가능합니다.

하지만 많은 분들이 오해하시는 부분이 2차 도메인 범위를 초과하면 안된다는 점입니다. 예를들면 db.m.koreassl.com 경우처럼 3차 도메인에 해당된다면 .koreassl.com 의 와일드카드 인증서 범위에 해당하지 않으므로 .m.koreassl.com 와일드카드 인증서를 추가로 신청하셔야 합니다.

멀티 Multi
멀티 인증서는 와일드카드와 비슷하지만 도메인 단위의 확장이 가능합니다.

주 도메인 koreassl.com 이외에 test.com, abc.com 등 설정된 모든 도메인의 보안통신이 가능합니다.

주의할 점은 단일 도메인처럼 기본적으로 www를 포함하고 있지 않기 때문에 도메인마다 www를 포함한다면 예상치 못한 추가비용이 발생할 수 있습니다.

멀티 와일드카드 Multi Wildcard
멀티 와일드카드는 여러개의 와일드카드 도메인을 1개의 인증서로 보안통신이 가능합니다.

.test.com, .m.test.com, *.abc.com.. 등과 같은 다수의 와일드카드 도메인을 1개의 인증서로 관리가 가능합니다.

하지만 인증서 제품 중 가장 가격이 높습니다.

공인 아이피 Public IP
Public IP도 인증서 설치가 가능합니다.

https://1.1.1.1과 같이 외부에서 접속이 가능한 Public IP 형태라면 인증서 발급이 가능합니다.

만약 내부적인 폐쇄망 또는 사설IP라면 인증서 발급이 불가합니다. 이 때에는 내부적으로 개인인증서를 직접 생성하고 설치해야 합니다.

Public IP 인증서는 취급하는 인증기관 및 발급 사이트가 많지 않아 가격이 높은 편입니다.

코드서명 Code Signing
코드서명 SSL 인증서는 게시자와 소프트웨어 사용자가 파일이 게시자로부터 직접 제공되고 디지털 서명을 사용하여 서명되었는지 확인할 수 있도록 도와줍니다.

저자 및 공개 서명이 없는 소프트웨어를 설치하면 신뢰와 보안을 보장받을 수 없습니다.

MS 응용프로그램, Java 응용프로그램, Adobe 응용프로그램(AIR), 안드로이드/아이폰 앱, 전자문서 등에 사용됩니다.

보안메일 S/MIME
S/MIME(Secure/Multipurpose Internet Mail Extensions)은 디지털 서명 및 암호화된 메시지를 전송하기 위한 널리 허용되는 방법입니다.

S/MIME를 사용하면 전자 메일을 암호화하고 디지털 서명할 수 있습니다. 전자 메일 메시지와 함께 S/MIME을 사용하는 경우 해당 메시지를 받는 사람이 받은 편지함에서 보낸 사람으로 시작된 메시지와 정확히 일치함을 확실하게 알 수 있습니다. 또한 메시지를 받는 사람이 보낸 사람으로 가장하는 것이 아니라 특정 보낸 사람이 보낸 메시지에 대해 확실하게 확인하도록 할 수 있습니다. 이를 위해 S/MIME는 인증, 메시지 무결성 및 원점 부인 부인(디지털 서명 사용)과 같은 암호화 보안 서비스를 제공합니다. 또한 전자 메시징에 대한 개인 정보 보호 및 데이터 보안(암호화 사용)을 향상시키는 데에도 도움이 됩니다.

전자문서 서명 Document Signing
전자문서 서명은 메시지 또는 문서 작성자의 신원을 인증하는 보안 디지털 키를 사용하여 문서에 서명을 합니다.

서명된 문서는 위조 또는 변조되지 않은 원본임을 대상이 확인하여 신뢰를 줄 수 있습니다. 이처럼 전자문서 서명은 FDA와 같은 공식적인 문서에 필수적인 요소입니다.

---

결론
1. HTTPS(Hypertext Transfer Protocol Secure) =
HTTP(Hypertext Transfer Protoco) + SSL(Secure Sockets Layer)

• HTTPS는 HTTP를 보안이 강화되고 안전하게 만든 방식이다.
• 모든 HTTP 요청과 응답 데이터는 네트워크로 보내지기 전에 암호화되어 안전을 보장한다.
• HTTPS는 HTTP의 하부에 SSL과 같은 보안계층을 제공함으로써 동작한다.
• SSL 인증서는 보안 통신을 가능하게 하는데 중요한 역할을 한다.

따라서 웹이 인터넷 위에서 돌아가는 서비스 중의 하나인 것처럼
HTTPS도 SSL 프로토콜 위에서 돌아가는 프로토콜이다.

2.SSL 인증서란?

• SSL 인증서는 암호화 키를 조직의 세부 정보에 바인딩하는 작은 데이터 파일이다.
• 웹 서버에 설치하면 잠금 장치와 HTTPS 프로토콜을 활성화하여
  웹 서버에서 브라우저로 안전하게 연결할 수 있습다.
• SSL 인증서는 일반적으로 신뢰할 수 있는 타사 CA(인증 기관)에서 발급하고 디지털로 서명헌다.

-SSL에서 사용한는 암호화의 종류-
대칭키, 공개키

-SSL 인증서가 보안 연결을 설정하는 방법-
암호화, 인증, 데이터 무결성

-기능-
1. 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버임을 보장한다.
2. SSL 통신에 사용할 공개키를 클라이언트에게 제공한다.
즉, 통신 내용이 노출 및 변경되는 것을 방지한다.

-사용효과-
스니핑 방지, 피싱 방지, 데이터변조 방지, 기업 신뢰도 향상을 가지고 있다.

-상품의 종류-
모든 SSL 인증서는 사용자(Client)와 사이트(Server)간
기본적으로 인증서의 실체성 강도에 따라 DV, OV, EV 이렇게 세가지로 구분되며,
적용할 사이트 수에 따라 Single, Multi, Wildcard 이렇게 세분화 됩니다.

3. DV(Domain Validation) 인증서 - 도메인인증
   최소한으로 신원을 검증하는 SSL 인증서로, 쉽고 빠르게 얻을 수 있습니다.
   익명의 주체가 얻을 수 있으며 악성 봇조차 가능합니다.
   비용이 낮으며, 기업 또는 개인이 인증서를 확보하려는
   웹 도메인을 통제할 수 있다는 것만 검증하면 됩니다.

장점: 저렴한 가격, 간단 검증, 빠른 발금, 보통 낮은 배상금
사용사례: 개인 웹 사이트, 블로그,
트랜잭션을 수행하거나 개인 정보를 수집하지 않는 모든 웹 사이트

4. OV(Organization-Validated) 인증서 - 기관명과 정보를 보여주는 인증서
   9가지 검증 확인을 통해 인증되며, 중간 수준의 기업용 인증서로 여겨집니다.
   OV 인증서의 경우 인증 기관이 DV 인증서와 유사하게 도메인 소유권을 인증합니다.
   그러나 OV 인증서의 자물쇠에 포함된 정보를 보면 웹사이트를 소유한 기업에 대한 세부 정보가 표시됩니다.

장점: 인증서 상세 정보에 기관(기업,회사) 정보 단순 표기 추가, 보통 높은 배상금
사용사례: 로그인 페이지, 기업사이트

5. EV(Extended-Validation) 인증서 - 최상의 보안을 유지해주는
   : 가장 높은 수준의 브랜드 신원 보안을 제공하며, 16단계의 검증 확인을 통해 인증됩니다.
   EV 인증서의 자물쇠에 포함된 정보를 보면 웹사이트를 소유한 기업 또는 모기업에 대한 세부 정보를 즉시 확인할 수 있습니다.

장점: 웹브라우저 주소창에 기관명 정보 단순 표기 추가, 보통 최대 배상금
사용사례: 글로벌 은행 및 금융 서비스, 전자상거래, 엔터프라이즈

요구되는 최소 보안 수준(보안강도: 암호화 수준이 아닌 심사에 따른 보안수준)
: DV < OV < EV 높아진다

6. SSL 인증서 상품의 종류
   모든 SSL 인증서는 사용자(Client)와 사이트(Server)간 기본적으로 인증서의 실체성 강도에 따라 DV, OV, EV 이렇게 세가지로 구분되며,
   적용할 사이트 수에 따라 Single, Multi, Wildcard 이렇게 세분화 됩니다.

-인증서 실체성 강도에 따른 구분-(심사 수준에 따른 SSL 인증서 종류)
DV(Domail Validation) : 도메인 존재 여부만 확인
OV(Organization Validation) : 인증서 발급 시 기업 확인(사업자등록증, 신청자)
EV(Extended Validation) : 발급 기관 실체성 확인(사업자등록증, 신청자 교차 확인)

-적용가능 도메인 수에 따른 구분-(도메인에 따른 SSL인증서 종류)
Single : 1개 도메인에만 적용 가능
Multi : 사전 승인된 여러 개 도메인에 적용 가능
Wildcard : 호스트 수에 상관없이 모든 도메인에 적용 가능, EV 심사 불가

Mulit Wildcard: 여러개의 도메인(1개의 도메인, 와일드카드 도메인 모두 가능)에 적용, EV 심사 불가

가격 : Single < Multi < Wildcard < Multi Wildcard