[네트워크] HTTP & HTTPS

HTTP (HyperText Transfer Protocol) 

HTTP란? 

텍스트 기반의 통신 규약으로 인터넷에서 데이터를 주고 받을 수 있는 규칙
인터넷 상에서 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약 

1. HTTP는 텍스트 기반의 통신 규약이므로, 누군가 네트워크에서 신호를 가로채면 내용이 노출되는 보안 이슈가 존재함
2. 이러한 이유 때문에 HTTPS 프로토콜이 등장하게 됨

HTTPS (HyperText Transfer Protocol Secure) 

HTTPS란?

인터넷 상에서 정보를 암호화하는 SSL 프로토콜을 사용하여 클라이언트와 서버가 자원을 주고 받을 때 쓰는 통신 규약
HTTPS는 텍스트를 공개키 암호화 방식으로 암호화함
암호화 과정으로 인한 속도 저하가 발생한다

 

대칭키 

메시지를 보내는 쪽과 메시지를 받는 쪽이 암호화, 복호화 방식을 공유하는 방법. 다시 말하면 서로 동일한 키값을 알고 있는 상태로 발신하는 쪽이 키값을 이용하여 암호화하면 수신하는 쪽은 발신쪽이 사용한 암호화 알고리즘을 반대로 돌려 복호화를 진행한다.

 

비대칭키(공개키)

키 두개가 사용되는 방식, A와 B 키 두개가 존재하면 A키로 암호화하면 B키로만 복호화할 수 있고 B키로 암호화하면 A키로만 복호화할 수 있다. 예를 들어 포털 서버는 자신의 개인키를 보관하고 공개키를 대중에게 공개키를 공개한다. 사용자는 공개키로 데이터를 암호화하여 포털 서버에 전달한다. 이 데이터가 해킹당하더라도 포털 서버만 복호화할 수 있기 때문에 털릴 우려가 적다. 포털 서버가 사용자들에게 보내는 데이터는 포털 서버의 개인키로 암호화가 되어 있기 때문에 공개키로만 복호화할 수 있다. 그렇기 때문에 잘못된 서버로부터 오는 요청은 포털 서버의 공개키로 복호화하게 되면 복호화가 이루어지지 않기 때문에 잘못된 요청을 방지할 수 있다.

 

CA 란?

Certificate Authority의 약자, 공개키를 저장해주는 검증된 민간기업을 의미, 만약 검증되지 않은 CA 기업에서 인증서를 발급한 경우 브라우저에서 안전하지 않은 사이트, 주의 요함과 같은 알림으로 주의를 받게 된다. 브라우저에는 이미 CA 기업 인증서가 이미 내장되어 있다.

HTTPS 로직

1. 클라이언트가 무작위 데이터를 서버에게 전달

2. 서버는 무작위 데이터와 해당 서버의 인증서를 클라이언트에게 전달 

3. 클라이언트는 브라우저에 내장된 CA들의 정보를 이용하여 인증서가 진짜인지 확인한다.

     3-1. 이때 비대칭키를 활용하는데 CA의 인증을 받은 인증서들은 CA의 개인키로 암호화가 되어있다.

     3-2. 브라우저에 존재하는 공개키를 활용하여 복호화가 가능한지 확인하고, 복호화 한다.

4. 인증서가 확인 된후 서버와 클라이언트는 비대칭키 방식과 대칭키 방식을 적절히 활용하여 통신한다. (오버헤드 때문) 

     4-1. 데이터를 주고 받을 때는 대칭키 방식을 이용하여 암호화, 복호화 한다.

     4-2. 클라이언트는 맨 처음 주고 받은 데이터 두개를 혼합하여 임시키를 만든 후 서버의 공개키로 암호화하여 서버에게 전달한다.

     4-3. 양쪽에서의 일련의 과정을 거쳐 동일한 대칭키가 만들어진다. -> 이 대칭키는 둘만 알고 있기 때문에 털릴 우려가 적다.

     

 

Reference

https://github.com/gyoogle/tech-interview-for-developer

gyoogle/tech-interview-for-developer

https://velog.io/@surim014/HTTP%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9D%B8%EA%B0%80

HTTP란 무엇인가?

https://www.yalco.kr/31_https/