HTTP vs HTTPS

이유석·2022년 5월 2일
0

CS - Network

목록 보기
5/8
post-thumbnail

HTTP

정의

  • HyperText Transfer Protocol (하이퍼 텍스트 전송 프로토콜)
  • HTML과 같은 하이퍼미디어 문서를 인터넷 상에서 클라이언트와 서버가 주고 받을때 사용하는 규약

특징

  • 전통적인 클라이언트-서버 모델
    • 클라이언트가 요청을 생성하기 위한 연결을 연다음, 응답을 받을때 까지 대기한다.
  • 텍스트 교환이므로, 누군가 네트워크에서 신호를 가로채면 내용이 노출되는 보안 이슈가 존재한다.
    이런 보안 문제를 해결해주는 프로토콜이 HTTPS 이다.

HTTPS

정의

  • HyperText Transfer Protocol Secure
  • HTTP + Secure Socke(보안 통신)
  • 인터넷 상에서 정보를 암호화하는 SSL 프로토콜을 사용해, 클라이언트와 서버가 주고받는 자원을 안전하게 보호할때 쓰는 통신 규약
    (공개키 방식으로 암호화 한다.)

통신 흐름

  1. 애플리케이션 서버(A)를 만드는 기업은 HTTPS를 적용하기 위해 공개키와 개인키를 만든다.

  2. 신뢰할 수 있는 CA 기업을 선택하고, 그 기업에게 내 공개키 관리를 부탁하며 계약을 한다.

    CA : Certificate Authority로, 공개키를 저장해주는 신뢰성이 검증된 민간 기업

  3. 계약 완료된 CA 기업은 <해당 기업의 이름, 서버(A) 공개키, 공개키 암호화 방법> 을 담은 인증서를 만들고,
    해당 인증서를 CA 기업의 개인키로 암호화해서 서버(A)에게 제공한다.

  4. 애플리케이션 서버(A)는 CA기업의 개인키로 암호화된 인증서를 갖게 되었다.
    이제 서버(A)는 서버(A)의 공개키로 암호화된 HTTPS 요청이 아닌 요청을 받았을 때, CA기업의 개인키로 암호화된 인증서를 클라이언트에게 건내준다.

    만약 클라이언트가 main.html 파일을 A서버에게 요청했다고 가정하자.
    HTTPS 요청이 아니기 때문에, CA기업이 A서버의 정보를 CA기업의 개인키로 암호화한 인증서를 클라이언트에게 건내준다.

  5. 브라우저는 해당 인증서를 CA 기업의 공개키로 복호화 <해당 기업의 이름, 서버(A) 공개키, 공개키 암호화 방법> 하여 서버(A)의 공개키를 얻을 수 있다.
    이제 A서버와 통신할 때는 서버(A)의 공개키를 통해 암호화하여 요청을 전송할 수 있다.

    CA 기업의 공개키는 브라우저가 이미 알고있다.
    (세계적으로 신뢰할 수 있는 기업으로 등록되어 있기 때문에, 브라우저가 인증서를 탐색하여 해독이 가능한 것)

HTTPS의 안전성

HTTPS도 무조건 안전한 것은 아니다.
(신뢰받는 CA 기업이 아닌 자체 인증서를 발급한 경우 등)
이때는 HTTPS지만 브라우저에서 주의 요함, 안전하지 않은 사이트 와 같은 알림으로 주의를 받게 된다.

profile
https://github.com/yuseogi0218

0개의 댓글