[Network] HTTP와 HTTPS 의 차이는 ?

 

💡 HTTP 와 HTTPS, 한 끝 차이인데 그 차이가 뭔데 ?!

 노션에서 보기

 

🚚 HTTP

 

HTTP 란?

• HTTP(Hyper Text Transfer Protocol) 란, 서버 - 클라이언트 모델을 따라 데이터를 주고 받기 위한 프로토콜
• 즉, HTTP 는 인터넷에서 하이퍼텍스트를 교환하기 위한 통신 규약
• 80번 포트 사용
• HTTP 서버가 80 번 포트에서 요청을 기다리고, 클라이언트는 80번 포트로 요청을 보낸다.

 

HTTP 특징

 

비상태 연결(Stateless, Connectless)

• 서버에 연결해 요청하고 → 응답을 받으면 : 연결을 끊어버린다.
• 장점
  • 접속 유지 최소화
  • 불특정 다수를 대상으로 하는 서비스에 유리
• 단점
  • 연결을 끊어버리기 때문에, 클라이언트의 이전 상태를 알 수 없음
  • 이를 해결하기 위해 쿠키, 세션 등을 사용하는 것!!!!!!!!

Keep Alive

• HTTP 1.1 부터는 keep-alive 기능을 지원
• HTTP 는 하나의 연결에 - 하나의 요청을 하는 것을 기준으로 설계가 되어있음
  • 만약, 문서에 다수의 파일이 있다면?
  • 계속 연결하고 → 다운하고 → 연결을 끊어야 함
  • 이러한 방식은 TCP 통신 과정에서 비용이 많이 소모됨!
• Keep Alive 기능은, 지정된 시간동안 연결을 끊지 않고 요청을 계속해서 보낼 수 있다.

 

HTTP 구조

 

HTTP 의 문제점

1. 암호화 기능 없음

• 서버에서 → 브라우저로 전송되는 정보가 암호화되지 않는다는 것!
• 즉, 데이터가 쉽게 도난당할 수 있다는 것이다.

1. 신뢰할 수 있는 사이트인지 확인 불가

• 통신하려는 사이트를 따로 확인하는 작업이 없어 → 다른 사이트가 통신하려는 사이트로 위장 가능

1. 통신 내용 변경 가능

• 요청을 보낸 곳과 받은 곳은 리소스가 정확히 일치하는지 확인 불가
• 누군가가 중간에 데이터를 악의적으로 변조한다면, 정확한 데이터 주고받을 수 없음
• 이러한 HTTP 의 문제를 HTTPS 는 SSL(보안 소켓 계층) 을 사용해 해결했다.

 

 

🚢 HTTPS

 

HTTPS 란?

• Hypertext Transfer Protocol Secure

 

 

• HTTP의 암호화 되지 않은 정보 전송으로 인한 도난 문제를 해결하기 위해 SSL(보안 소켓 계층) 을 사용한다.
• SSL (Secure Sockets Layer)
  • Netscape Communications Corporation 에서 웹 서버와 웹 브라우저 간의 보안을 위해 만든 프로토콜
  • 서버와 브라우저 사이에 안전하게 암호화된 연결을 만들 수 있게 해주고,
  • 서버와 브라우저가 민감한 정보를 주고받을 때 도난을 방지
• SSL 은 표현 계층(Presentation Layer)의 프로토콜!!
  • 응용 계층(Application Layer) 아래에 있어, 어떤 응용 계층의 데이터라도 암호화 하여 보낼 수 있다!
• 이때, HTTP 자체를 암호화하는 것이 아닌, HTTP Message body 의 내용 + Header 의 내용을 암호화하는 것이다!
• HTTPS 의 기본 포트번호는 443
• HTTP 에 비해 속도가 느리다.

 

HTTPS 보안

 

 

 

• HTTP 와 HTTPS 프로토콜 사이의 가장 큰 차이점은 SSL 인증서이다.
• HTTPS = HTTP + SSL
• SSL 인증서 : 데이터 암호화
• TLS(전송 계층 보안) 을 통한 보안 유지도 가능
  • 데이터 무결성 제공 → 데이터가 전송 중에 수정되거나, 손상되는 것을 방지
  • 사용자가 자신이 의도하는 웹 사이트와 통신하고 있음을 입증하는 인증 기능 제공

 

대칭키 암호화 & 비대칭키 암호화

• HTTPS 는 대칭키 암호화 방식과 비대칭키 암호화 방식을 모두 사용

 

대칭키 암호화

• **클라이언트와 서버가 동일한 키를 사용**해 → 암호화/복호화 진행
• 키가 노출되면 매우 위험하지만, 연산 속도가 빠름

 

비대칭키 암호화

• **1개의 쌍으로 구성된 공개키와 개인키**를 → 암호화/복호화에 사용
• 키가 노출되어도 비교적 안전하지만, 연산 속도가 느림
• 공개키와 개인키는 서로를 위한 한 쌍의 키
  • 공개키 : 모두에게 공개 가능한 키
  • **개인키** : 나만 가지고, 알고 있어야 하는 키
• 암호화를 공개키로 하느냐/개인키로 하느냐에 따라 얻는 효과가 다름
  • 공개키 암호화 : 공개키로 암호화하면 → 개인키로만 복호화 가능
    • 개인키는 나만 가지고 있으므로 → 나만 볼 수 있음
  • 개인키 암호화 : 개인키로 암호화하면 → 공개키로만 복호화 가능
    • 공개키는 모두에게 공개되어 있으므로 → 내가 인증한 정보임을 알려 신뢰성 보장 가능

 

키에 따른 암호화

 

 

HTTPS의 동작 과정

• HTTPS는 대칭키 암호화 & 비대칭키 암호화를 모두 사용 → 빠른 연산 속도 + 안정성을 모두 얻음
• HTTPS 연결 과정(Hand-Shaking) 에서 : 서버와 클라이언트 간에 세션키를 (“**비대칭키 방식**으로”) 교환
  • 이때, 세션키 = 주고 받는 데이터를 암호화하기 위해 사용되는 대칭키
  • 데이터 간의 교환에는, 빠른 연산 속도가 필요 → 세션키는 대칭키로 만들어짐

→ 세션키를 클라이언트 - 서버가 어떻게 교환할 것인가?

→ 이 과정에서 비대칭키가 사용됨!

→ 즉, **“처음 연결을 성립”**하여 안전하게 세션키를 공유하는 과정 - 비대칭키 사용

    이후, “**데이터 교환 과정"**에서 - 대칭키 사용 → 빠른 연산 속도

 

 

SSL 적용 방식

💡 SSL 암호화 통신 = 비대칭키 방식(암호화에 사용할 키를 교환

💡 데이터 통신 = 대칭키 방식

 

3-ㅈWay Handshaking

 

1. 핸드 셰이킹 → 2. 데이터 전송 → 3. 세션 종료

• SSL 적용은 핸드 셰이킹 단계에서 발생
  • SSL handshaking : 443 포트를 이용해 서로의 상태를 파악하는 TCP 기반의 프로토콜
  • TCP 기반이므로, SSL handshaking 전에 TCP 3-way handshake 또한 수행
• handshaking 순서
• handshaking 이후 데이터 전송 과정

 

SSL 통신 과정

1. 공개키(비대칭키) 방식으로 대칭키를 전달
2. 대칭키를 활용해서 암호화/복호화 수행
3. 서버 - 브라우저 간 통신 진행

 

 

클라이언트 - 서버 간 SSL 통신

 

1.  A → B 로 접속 요청을 보냄

 

    2.  B는 → A에게 자신의 공개키를 전송

 

    3.  A 는 자신의 대칭키를, B에서 전달받은 공개키로 암호화한다.

 

 

    4.  이렇게 암호화한 대칭키를 → B 에게 전달

 

 

    5.  B는 A의 대칭키를 자신의 개인키로 복화함

 

 

    6.  이 복호화 결과, B 는 A의 대칭키를 얻어낼 수 있다.

 

 

    7.. A와 B는 안전하게 통신 가능

• 즉, 데이터 암호화/복호화를 위한 한 쪽의 대칭키를 - 다른 쪽의 공개키로 암호화하여 전송하면→ 이 대칭키를 바탕으로 서로 통신 가능
• → 반대편에서, 자신의 개인키로 복호화하여 그 반대편의 대칭키를 알아내고

 

인증 기관의 HTTPS 발급 및 사용자 사이트 접속 요청 과정

• 사용자의 접속 사이트 유효성 확인 - 제3의 인증기관 포함
• 사이트는 사이트 인증서가 필요
  • 사이트 인증서는, 인증기관에서 사이트에게 발급해주는 문서

 

    1.  이를 위해, 사이트에서 인증기간에게 사이트 정보 + 사이트 공개키 전송

 

 

 

    2.  인증기관에서는 사이트 인증서 발급 전, 먼저 전달받은 데이터를 검증한다.

 

 

 

    3.  인증기관에서 성공적으로 인증을 완료하면, 인증기관은 사이트 인증서를 생성하기 위해 이 데이터를 “자신의 개인키”로 서명함

 

 

    4.  서명 후 사이트 인증서 생성

 

 

 

    5.  생성한 인증서를 사이트에게 전달

 

 

 

    6.  인증 기관은 “사용자” 에게 자신의 공개키 전달

 

 

    7.  이때, 사용자가 인증기관으로 전달받은 인증기관의 공개키는 사용자 브라우저에 자동으로 내장

 

 

 

    → 사용자가 사이트 접속 전 상황

 

    → 사용자가 사이트 접속을 요청하게 되면,

 

 

    8.  사용자가 사이트에 접속 요청

 

 

    9.  사이트는, 자신이 신뢰할 수 있는 사이트임을 증명하기 위해 사용자에게 자신의 인증서 전달

 

 

    10.  사용자는, 자신의 브라우저에 내장되어 있는 공개키로 사이트 인증서를 복호화해서 검증

 

 

    11.  사이트 인증서를 해독하면, 사이트 정보와 사이트 공개키를 얻을 수 있음

 

 

    12.  이렇게 얻은 사이트 공개키로 사용자는 자신의 대칭키를 암호화 함

 

 

 

    13.  사용자는 암호화한 대칭키를 사이트에게 전송 

 

 

 

    14.  사이트는 자신의 개인키로 사용자에게 전달받은 암호문을 해독해서 → 사용자의 대칭키를 얻음

 

 

 

    15.  이렇게 얻은 대칭키를 활용하여 사용자와 사이트는 암호문을 주고 받을 수 있음

 

→ 즉, SSL 통신을 하게 되는 것

 

• SSL 통신은 사이트 외에 사용자와 인증기관도 협력하므로, 안전한 접속 방법 보장

 

→ 사용자가 접속할 수 있는 사이트가, 믿을 수 있는 사이트인지! 확인 가능한 것

 

 

HTTPS의 또 다른 장점

• 검색엔진 최적화(SEO)에서도 혜택을 볼 수 있음
  • 구글은 HTTPS 웹 사이트에 가산점을 줌 → 검색 엔진에 노출되도록 하기 위해 HTTPS 사용 권장
  • AMP(가속화된 모바일 페이지) 를 만들 때 HTTPS 를 사용해야만 함
    • AMP : 모바일 기기에서 컨텐츠를 훨씬 빠르게 로딩하기 위한 방법
    • 모바일 친화적인, 모바일 검색 순위를 높이는 게 중요해지므로, HTTPS 전환 필요
• HTTPS에 SSL 프로토콜을 사용해 정보를 암호화하는데,
• 메모리나 리소스를 더 많이 쓸 수 있다는 특징도 존재

 

참고자료

• 참고1
• 참고2
• 참고3