HTTP & HTTPS & SSL 이해하기

서로 다른 시스템 간 통신을 주고 받게 하는 가장 기본적인 프로토콜 로 초기에는 HTML을 주로 전송했으나 최근에는 JSON, XML 등 다양한 형태의 정보 전송도 하게 되었다.
클라이언트 ↔ 서버 모델을 기반으로 하며 Request와 Response로 이루어짐.
Request는 아래처럼 요청 Method(GET,POST…), Path, 프로토콜 버전 그리고 헤더, Payload(Optional) 로 이루어짐.

Response 구조는 프로토콜 버전, Status Code, Status message 그리고 Header , Payload(Optional) 정보로 이루어짐

Https는 Http에 Secure 가 추가된 것을 확인할 수 있음. 즉, 전송된 데이터의 안전한 전송을 위한 프로토콜이다.
아래 그림 예시를 보면, 패킷 데이터 전송 시 해커의 스니핑 공격에 HTTP는 그대로 Plain Text가 노출되는 것을 확인할 수 있다. 반면 Https에서는 Cyphered Text가 전송되기에 보다 안전하다고 할 수 있다.
서버에서 비밀번호를 받고 Bcrypt 등으로 암호화하는 등의 과정을 거치지만 Client ↔ Server간 통신에서 비밀번호가 노출된다면 말짱 도루묵이므로 2014년 부터 구글에서는 Http를 Https로 바꾸라고 권고. 그 이전까지는 전자상거래 등 주요 페이지만 Https를 적용했음.

SSL은 웹 서버와 클라이언트간 통신 암호화 프로토콜로 1994년 Netscape사 개발
TLS는 SSL 3.0의 보안 취약점을 보완한 통신 보안 프로토콜로 국제인터넷표준화기구(IETF)에서 계승하여 개발 진행 중이나 통상 SSL이라 부름.
SSL 기본 포트는 443임.
그래서 왜 씀?
- 패킷에 대하여 공격자로부터 스니핑 방지 (패킷 감청)
- 패킷에 대하여 공격자로부터 스푸핑 방지 (패킷 탈취)
동작방식
- 브라우저 접속하면 Client & Server간 Hello 과정을 거친다.
  - Client : 암호화 프로토콜 정보와, 암호화 기법, 세션 아이디 등 주요 정보를 전달
  - Server : 암호화 기법, 인증서(CA, Domain, 공개키)를 포함하여 전달
- 웹브라우저 = 전달받은 인증서를 공개키로 복호화 & 데이터 암호화에 사용할 대칭키 생성
- 생성한 대칭키를 웹서버에서 전달받은 공개키로 암호화 후 → 서버에 전달
- 서버는 전달받은 암호화된 대칭키를 가지고 있는 비밀키를 통해 복호화하여 대칭키를 얻음
- 이제 대칭키를 통해 데이터를 암호화해서 Client - Server간 전달하고 복호화 적용.

HTTP VS Socket (0)	2023.05.01
Nestjs 한눈에 기본 정리 (0)	2023.05.01
인증 인가 방식 비교 (0)	2023.05.01
Nestjs & Docker & Github Action 활용 자동 배포 구축하기 (2)	2023.05.01
[CICD] Github Action (CI) + CodeDeploy (CD) (0)	2022.10.10

Blockmonkey