HTTPS

HTTPS

-HTTP Secure의 약자, 기존의 HTTP 프로토콜을 더 안전하게(secure) 사용할수있음을 의미한다.

-HTTP와 달리 요청과 응답으로 오가는 내용을 암호화한다.

-HTTPS 요청 및 응답은 중간에 제3자에게 데이터가 탈취되더라도 그 내용을 알아볼수없다.

 

---

<암호화 방식>

-데이터를 암호화를 할때에는 암호화할때 사용할키, 암호화한 것을 해석(복호화)할때 사용할 키가 필요하다.

-암호화와 복호화할때 사용하는 키가 동일하다면 => 대칭 키 암호화 방식 (하나의 키만 존재)

 다르다면 => 공개키(비대칭키) 암호화방식 (두개의 키가 존재)

 

1. 대칭 키 암호화 방식

-암호화와 복호화할때 사용하는 키가 동일하여 하나의 키만 존재한다.

암호화할때 사용한 키로만 복호화가 가능하다.

-두개의 키를 사용해야하는 공개 키 방식에 비해서 연산 속도가 빠르다는 장점있다.

-but, 키를 주고받는 과정에서 탈취 당했을 경우에는 암호화가 소용 없어지기 때문에 키를 관리하는데 신경을 많이 써야한다.

2. 공개키(비대칭 키)암호화 방식

-두개의 키를 사용한다.

암호화할때 사용한 키와 다른 키로만 복호화가 가능하다.

-두개의 키를 각각 공개키, 비밀키라고 부른다.

-공개키는 이름 그대로 공개되어 있기때문에 누구든지 접근 가능하다. 누구든 공개키를 사용해서 암호화한 데이터를 보내면 비밀키를 가진 사람만 그 내용을 복호화할수있다. 

-보통 요청을 보내는 사용자가 공개키를, 요청을 받는 서버가 비밀키를 가진다. 

-비밀키는 서버가 해킹당하는게 아닌 이상 탈취되지 않는다.

-장점: 공개키 방식은 공개키를 사용해 암호화한 데이터가 탈취 당한다고 하더라도, 비밀키가 없다면 복호화할수없으므로 대칭 키 방식보다 보안성이 더 좋다.

-단점: 대칭키 방식보다 더 복잡한 연산이 필요하여 더 많은 시간을 소모한다.

---

# SSL/TLS 프로토콜

- https는 http 통신을 하는 소켓 부분에서 SSL 혹은 TLS라는 프로토콜을 사용하여 서버인증과 데이터 암호화를 진행한다.

여기서 SSL이 표준화되며 바뀐 이름이 TLS이므로 사실상 같은 프로토콜이라고 생각하면 된다.

- CA를 통한 인증서 사용

- 대칭키, 공개키 암호화 방식을 모두 사용.

 

#인증서와CA

- 인증서를 발급해주는 공인된 기관들을 CA(certificate Authority)라고 한다.

-서버는 인증서를 발급받기 위해서 CA로 서버의 정보와 공개를 전달한다. CA는 서버의 공개키와 정보를 CA의 비밀키로 암호화하여 인증서를 발급한다.

서버는 클라이언트에게 요청을  받으면 CA에게 발급받은 인증서를 보내준다. 이때 사용자가 사용하는 브라우저는 CA들의 리스트와 공개키를 내장하고 있다. 

해당 인증서가 브라우저가 가지고 있는 리스트에 있는 CA가 발급한 인증서인지 확인하고, 리스트에 있는 CA라면 해당하는 CA의 공개키를 사용해서 인증서의 복호화를 시도한다.

CA의 비밀키로 암호화된 인증서는 CA의 공개키로만 복호화가 가능하므로, 정말로 CA에서 발급한 인증서가 맞다면 복호화가 성공적으로 진행되어야한다.

-복호화가 성공적으로 진행된다면, 클라이언트는 서버의 정보와 공개키를 얻게 됨과 동시에 해당 서버가 신뢰할수있는 서버임을 알수있게 된다.

-복호화가 실패한다면, 이는 서버가 보내준 인증서가 신뢰할수없는 인증서임을 확인하게 된다.

 

#대칭 키 전달

-이제 사용자는 서버의 인증서를 성공적으로 복호화하여 서버의 공개키를 확보했다.

-공개키 암호화방식은 보안은 확실하지만, 시간이 많이 소모된다. 

그래서 공개키는 클라이언트와 서버가 함께 사용하게 될 대칭키를 주고받을때 사용한다.

-대칭키는 속도는 빠르지만, 오고가는 과정에서 탈취될수있다는 위험성이 있다. 하지만 클라이언트가 서버로 대칭키를 보낼때 서버의 공개키를 사용해서 암호화하여 보내준다면, 서버의 비밀키를 가지고 있는게 아닌 이상 해당 대칭 키를 복호화할수없으므로 탈취될 위험성이 줄어든다.

-클라이언트는 데이터를 암호화하여 주고받을때 사용할 대칭키를 생성한다. 클라이언트는 생성한 대칭 키를 서버의 공개키로 암호화하여 전달한다. 서버는 전달받은 데이터를 비밀 키로 복호화하여 대칭 키를 확보한다. 이렇게 서버와 클라이언트는 동일한 대칭키를 갖게 되었다.

-이제 https요청을 주고 받을때 이 대칭 키를 사용하여 데이터를 암호화하여 전달하게 된다. 대칭 키 자체는 오고가지 않기 때문에 키가 유출될 위험이 없어졌다. 따라서 중간에 탈취되어도 제 3자가 암호화된 데이터를 복호화할수없게 된다. 

https는 이러한 암호화 과정을 통해 http보다 안전하게 요청과 응답을 주고받을수 있게 해준다.

 

# 서버와 클라이언트간의 CA를 통해 서버를 인증하는 과정과 데이터를 암호화하는 과정을 아우른 프로토콜을 SSL 또는 TLS라고 말하고, HTTP에 SSL/TLS 프로토콜을 더한 것을 HTTPS 라고 한다.