📙 HTTP와 HTTPS 차이점과 HTTPS 적용 방법

💁🏻‍♀️ 서론

• 1990년 웹이 처음 나오게 되었을 때, 웹은 크게 4가지로 구성되어 있었다. (HTML, URL, Web browser, HTTP)
• 처음 등장한 HTTP는 매우 단순한 통신 규칙이였지만, 웹이 폭발적으로 성장하며 HTTP만의 기능으로는 성능, 보안, 안정성을 확보하는 것이 점점 어려워져 HTTP는 풍부한 기능을 가진 프로토콜로 발전하기 시작했다.

✅ HTTP (HyperText Transfer Protocol)

❶ 개념

• 텍스트 기반의 통신 규약으로 인터넷에서 데이터를 주고받을 수 있게 해주는 프로토콜 이다.

  프로토콜 이란❓

  • 프로토콜은 규칙(약속)이란 의미이다.
  • 규약이 있기 때문에 모든 프로그램이 이 규약에 맞춰 개발하여 서로 정보를 교환할 수 있게 해준다.
  • 컴퓨터 네트워크(관계망)에서 데이터를 주고받을 때, 이러한 규칙에 맞춰 개발함으로써 서로 정보를 교환할 수 있다.
  • 웹 문서를 주고 받을 때는 HTTP를 사용해야하고 파일을 주고 받을 때는 FTP, 메일은 SMTP, POP 등 전송 계층과 유형에 따라 다양하게 만들어져있다.

❷ 동작

• 사용자가 브러우저를 통해 서비스의 URL을 통하거나, 다른 것을 통하여 요청(Requst)하면, 서버에서는 해당 요청사항에 맞는 결과를 찾아 사용자에게 응답(Response)하는 형태로 동작한다.

  

• HTML만 HTTP 통신을 하기 위한 문서는 아니다. ( JSON이나, XML과 같은 형태의 정보도 주고 받을 수 있다.)

❸ 특징

• TCP/IP를 사용하는 응용 프로토콜이다.

  TCP/IP란❓
  컴퓨터 간에 데이터를 전송할 수 있도록 하는 장치로 원하는 정보(데이터)를 주고 받는 기능을 이용하는 응용 프로토콜

• 연결 상태를 유지하지 않는 비연결성 프로토콜이다.
  (단점 보완을 위해 Cookie와 Session이 생겼다.)
• 연결을 유지하지 않는 프로토콜이기 때문에 요청/응답 방식으로 동작한다.

---

✅ HTTPS (Hypertext Transfer Protocol Secure)

❶ 개념

• 기본 골격이나, 사용 목적 등은 HTTP와 동일하지만 데이터를 주고 받는 과정에 보안이 추가 되어있다.
• 서버와 클라이언트 사이의 모든 통신 내용이 암호화 된다.
• SSL(Secure Socket Layer) 인증서를 사용한다.

  SSL이란❓
  보안 소켓 계층(Secure Sockets Layer, SSL) 인증서는 종종 디지털 인증서로 불리며, 브라우저(사용자의 컴퓨터)와 서버(웹사이트) 사이의 암호화된 연결을 수립하는 데 사용된다.

❷ 암호화 방식

• 공개키 암호화 방식으로 대칭키를 전달하여 서로 공유된 대칭키를 가지고 통신한다.

  공개키 암호화 방식이란❓

대칭키 암호화 방식이란❓

  • 동일한 키로 암호화, 복호화가 가능하다.
  • 대칭키는 매번 랜덤으로 생성되어 유출되어도 다음 사용에서는 다른 키가 사용되기 때문에 안전하다.
  • 공개키 보다 빠른 통신이 가능하다.
    

❸ 동작

1. 클라이언트가 서버에 접속을 요청
2. 서버에서 공개키와 개인키를 가지고 있다가 공개키를 클라이언트에게 전달
3. 클라이언트는 공개키를 받아 자신만의 대칭키를 공개키로 암호화 하여 서버에 전달
4. 공개키로 암호화한 클라이언트의 대칭키를 서버에서 개인키로 복호화
5. 외부로부터 안전한 대칭키를 클라이언트와 서버가 가지게 되어 안전하게 통신이 가능

복호화란❓
암호문을 원래 데이터로 변환하는 과정

---

✅ 두가지의 차이점

• HTTP
  • 보안성이 약하다.
  • 접속 도중 끊기더라도 처음부터 다시 시작할 필요가 없어 시간을 낭비하지 않는다.
  • 암호화되지 않은 상태로 데이터를 주고 받아 정보를 가로챌 수 있는 위험이 있다.
• HTTPS
  • 보안성이 강하다.
  • 접속이 끊기게 되면 처음부터 다시 시작해야한다.
  • 암호화된 정보를 교환하기 때문에 서버가 과부화에 걸리는 경우가 발생할 수 있다.

---

✅ HTTPS 적용 방법

apache 기준으로 작성되었습니다.

1️⃣ 도메인

• https를 적용하려면 도메인에 대한 인증이 필요하다.
  그렇기 때문에 본인 만의 도메인이 필요하다.

2️⃣ SSL 인증서 발급

• 무료 오픈 소스인 letsencrypt를 통해 인증서를 발급받는다.
• apache, ngnix와 연동이 가능하다.
• 3개월 마다 갱신해주어야 한다.

letsencrypt 설치

sudo apt update
sudo apt-get install  letsencrypt -y

인증서 발급 받기

# Obtain and install a certificate:
certbot

# Obtain a certificate but don't install it:
certbot certonly

# You may specify multiple domains with -d and obtain and
# install different certificates by running Certbot multiple times:
certbot certonly -d example.com -d www.example.com
certbot certonly -d app.example.com -d api.example.com

80포트를 열고 인증서를 발급 받아야 한다.
발급 받은 인증서는 /etc/letsencrypt/live/ 에 저장된다.

인증서 확인하기

certbot certificates

인증서 삭제하기

certbot delete

인증서 갱신하기

certbot renew

웹서버에 인증서 연동하기

// 기존
<VirtualHost *:80>
    ServerName www.example.com
    DocumentRoot "var/www/html/"
</VirtualHost>

// 수정
<VirtualHost *:80>
    ServerName www.example.com
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://www.example.com%{REQUEST_URI}
</VirtualHost>
<VirtualHost *:443>
    ServerName www.example.com
    DocumentRoot "/var/www/html/"

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/www.example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.example.com/privkey.pem

</VirtualHost>

기존에 열려있던 서버의 conf를 수정해야한다.
수정 내용에 있는 RewriteEngine 는 포트 80으로 접근하는 request를 443포트(HTTPS)로 바꿔준다.