TIL) HTTPS 이란? HTTPS 특징, HTTPS 목적

 

HTTPS 이란? (Hyper Text Transfer Protocol Secure Socket layer )

HTTP 프로토콜 내용을 암호화 (HTTP + Secure)

HTTP over SSL(TLS), HTTP over Secure라고 부르기도 한다. 

HTTPS는 HTTP 요청을 SSL 혹은 TLS라는 알고리즘을 이용해, HTTP 통신을 하는 과정에서 데이터를 암호화하여 전송하는 방법이다. 

---

HTTPS 특징

• 인증서 (certificate)

- 데이터 제공자 신원 보장 = 데이터를 제공한 서버가 정말로 데이터를 보내준 서버인지 인증, 확인하는 용도이다. 

- 도메인 종속 = 인증서 내용에 서버의 도메인 관련 정보가 있어서 데이터 제공자의 인증을 용이하게 한다. 인증서의 도메인과 응답객체의 도메인을 비교할 수 있다. 

 

• CA (certificate authority = 공인 인증서 발급 기관)

인증서를 발급하는 공인된 기관이며, 각 브라우저는 각자 신뢰하는 CA 정보를 가지고 있다. 그래서 각 브라우저는 인증서에 차이가 있다. 

또한 CA는 자격을 계속 유지하는 게 아니고 자격을 박탈 당할 수 있다. 

• 비대칭 키 암호화

다른 키 한쌍으로 암호화와 복호화를 할 수 있다. 

예를들어, A키로 특정 데이터를 암호화 한다면, 해당 데이터를 복호화하는데 A키와 한쌍인 B키로만 복호화가 가능하다. 

 

그래서 키 중에서 하나는 비밀로 숨겨두고, 다른 하나는 클라이언트에 공개를 해서 데이터를 안전하게 전송할 수 있게 한다. 

다만 모든 통신에 대해서 공개키 방식을 사용하는 것은 아니다! 통신의 초창기에 비밀키를 사용하기 위한 키를 만들어내기 위해서 사용한다.

 

통신 과정

 

Hand Shake : 서로를 확인하고 서버는 클라이언트에 공개키 한쌍의 키 중 하나를 전달한다. 

비밀 키 생성 : 클라이언트는 전달받은 키를 이용해서 서버와 키를 만들어낼 임의의 정보를 암호화해서 전송한다. 이에 서버는 클라이언트와 마찬가지로 임의의 정보를 암호화해서 전송한다. 클라이언트와 서버는 서로 만들고 교환한 임의의 정보를 바탕으로 비밀키를 생성하게 된다. 

상호 키 검증 : 그리고 각자 생성한 키를 바탕으로 클라이언트가 테스트용 데이터를 만들어낸 비밀키로 메세지를 암호화를 해서 전달한다. 서버 역시 만들어진 비밀키로 복호화를 하고, 다시 암호화를 해서 클라이언트로 전달한다. 만약 클라이언트가 같은 내용의 데이터를 복호화하는데 성공했다면, 성공적으로 비밀키가 만들어진 상태이다. 또한 HTTPS 연결이 성립된 상태이다. 

 

이후, 이 비밀키를 바탕으로 데이터 송,수신에 필요한 동일 키 암호화 및 복호화를 진행한다. 

 

---

HTTPS 목적

 

암호화 = 제 3자가 서버와 클라이언트가 주고받는 정보를 탈취할 수 없도록 하는 것이다. 

서버와 클라이언트는 서로 합의한 방법으로 데이터를 암호화해서 주고 받는다. 그래서 중간에 제3자가 탈취해도 그 내용을 알아보지 못한다. 

내용이 암호화되어 전송되기 때문에 정확한 키로 복호화하기 전까지는 어떤 내용인지 알 수 없다. 

 

HTTPS는 대칭키와 비대칭키 방식을 이용해 데이터를 암호화한다.

1. 비대칭키 방식 = 각각 공개키와 비밀키를 가지고 상대가 나의 공개키로 암호화한 데이터를 개인이 가진 비밀키로 복호화하는 것

2. 대칭키 방식 = 양쪽이 공통의 비밀 키를 공유하여 데이터를 암호화 및 복호화하는 것

 

인증서 = 브라우저가 서버의 응답과 함께 전달된 인증서를 확인할 수 있다.

여기서 인증서를 발급해주는 공인된 기관을 Certificate Authority, CA라고 부른다. CA는 서버의 공개키와 정보를 CA의 비밀키로 암호화하여 인증서를 발급한다. 

 

인증서가 CA의 비밀키로 암호화되어 있기 때문에 CA의 개인키로 복호화 가능하다.
따라서 해당 CA에서 발급한 인증서라는 것을 보증할 수 있다.

 

 

확인 과정

서버가 클라이언트에게 CA에서 발급받은 인증서를 전달하면 클라이언트는 OS 또는 브라우저에 미리 내장되어 있던 CA 리스트를 통해 브라우저에서 인증된 CA에서 발급받은 인증서인지 먼저 확인한다.

만약 인증된 CA에서 발급한 인증서가 아니라면 아래와 같이 화면에 경고창을 띄워 서버와 연결이 안전하지 않다는 화면을 보여준다. 

 

 

만약 인증서가 확인되었다면 브라우저에 제공된 해당 CA 기관의 공개키로 서버 인증서를 복호화한다. 

복호화해 얻은 공개키로 클라이언트는 서버를 믿을만한 대상인 지 신뢰할 수 있다. (만약 인증서가 위조되었다면 CA의 공개키로 서버의 인증서를 복호화할 수 없을테니까!)

 

서버와 클라이언트간의 CA를 통해 서버를 인증하는 과정과 데이터를 암호화하는 과정을 아우른 프로토콜을 TLS 또는 SSL이라고 한다. (*SSL과 TLS는 사실상 동일한 규약을 뜻하며 SSL이 표준화되며 바뀐 이름이 TLS)