• HTTP(HyperText Transfer Protocol) - port 80

  인터넷 상에서 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약

  HTTP는 텍스트 교환이므로, 누군가 네트워크에서 신호를 가로채면(중간자 공격) 내용이 노출되는 보안 이슈가 존재한다.

  이런 보안 문제를 해결해주는 프로토콜이 'HTTPS'

• HTTPS(HyperText Transfer Protocol Secure) - port 443

  

  HTTPS는 텍스트를 암호화한다. 공개키 암호화 방식 TLS으로!

  TLS 프로토콜을 사용해 HTTP 상에서 클라이언트와 서버가 주고받는 데이터를 암호화하는 통신 규약

  예전에는 SSL(Secure Socket Layer) 프로토콜을 사용하여 암호화 하였지만 지금은 보안상의 이유로 사용이 중지됨

• TLS(Transport Layer Security)이란?

  • 인터넷 상에서 데이터를 안전하게 전송하기 위한 인터넷 암호화 통신 프로토콜이며 데이터 보안을 위해서 개발한 통신 레이어다.
  • CA로 부터 서버와 클라이언트의 인증을 하는데에 사용되는 프로토콜로 대칭키를 주고받을 때만 공개키 암호화 방식을 사용하고 이후에는 계속 대칭키 암호화 방식으로 통신한다.
  • 표현계층의 프로토콜로 응용 계층 아래에 있기 때문에, 어떤 응용 계층의 데이터라도 암호화해서 보낼 수 있다.
  • 응용계층의 프로토콜들은 외부로 보내는 데이터를 TCP가 아닌 TLS에 보내게 되고, TLS은 받은 데이터를 암호화하여 TCP에 보내어 외부 인터넷으로 전달
  • TCP로부터 받은 데이터를 복호화하여 응용계층에 전달하게 되는데, 이 과정에서 Application은 SSL을 TCP로 인식하고, TCP는 SSL을 Application으로 인식하기 때문에, Application과 TCP사이의 데이터 전달 방식은 기존 전달 방식을 그대로 사용

HTTPS 통신 흐름

1. 애플리케이션 서버(A)를 만드는 기업은 HTTPS를 적용하기 위해 공개키와 개인키를 만든다.

2. 신뢰할 수 있는 CA 기업을 선택하고, 그 기업에게 내 공개키 관리를 부탁하며 계약을 한다.

   CA란? : Certificate Authority로, 공개키를 저장해주는 신뢰성이 검증된 민간기업

3. 계약 완료된 CA 기업은 해당 기업의 이름, A서버 공개키, 공개키 암호화 방법을 담은 인증서를 만들고, 해당 인증서를 CA 기업의 개인키로 암호화해서 A서버에게 제공한다.

4. A서버는 암호화된 인증서를 갖게 되었다. 이제 A서버는 A서버의 공개키로 암호화된 HTTPS 요청이 아닌 요청이 오면, 이 암호화된 인증서를 클라이언트에게 건내준다.

5. 클라이언트는 main.html 파일을 달라고 A서버에 요청했다고 가정하자. HTTPS 요청이 아니기 때문에 CA기업이 A서버의 정보를 CA 기업의 개인키로 암호화한 인증서를 받게 된다.

   CA 기업의 공개키는 브라우저가 이미 알고있다. (세계적으로 신뢰할 수 있는 기업으로 등록되어 있기 때문에, 브라우저가 인증서를 탐색하여 해독이 가능한 것)

6. 브라우저는 CA 기업의 공개키를 이용해 인증서를 해독한 뒤 A서버의 공개키를 얻게 되었다. 이제 A서버와 통신할 때는 얻은 A서버의 공개키로 암호화해서 요청을 날리게 된다.

HTTPS도 무조건 안전한 것은 아니다. (신뢰받는 CA 기업이 아닌 자체 인증서 발급한 경우 등)

이때는 HTTPS지만 브라우저에서 주의 요함, 안전하지 않은 사이트와 같은 알림으로 주의 받게 된다.