📘 http vs https

우리는 Java와 JavaScript가 얼마나 많은 차이가 있는지 알거다.
HTTP/HTTPS 차이 또한 단순히 S 하나 붙인 차이가 아니라 웹에서 ‘도난’과 ‘위조’를 막는 장치가 있냐 없냐 차이다.

우선 HTTP에 대해서는 전에 자세히 다뤘으니 간단하게만 적어보겠다.

HTTP

HTTP는 브라우저(클라이언트)와 서버가 데이터를 주고받는 규칙이다.
하지만 HTTP에는 암호화, 위변조 방지, 상대가 진짜인지 확인과 같은 기능은 존재하지 않는다. 그저 엽서에 비밀번호를 적어보내는 수준이다. 누구든 읽을수 있는 상태. HTTP는 딱 이 상태이다.

좀 더 자세히 문제에 대해 설명하자면

도청 가능

HTTP는 데이터가 암호화되지 않는다. 그러므로 중간에 누가보면 로그인 ID/비번이나 개인정보 같은 게 그대로 보일 수 있다.

위변조 기능

방금 말했듯이 중간에 데이터를 볼 수 있는데, 여기에 바뀌치기까지 가능하다. 왜? HTTP는 중간에 확인할 방법이 없으니까.
서버가 준 JS 파일에 악성 코드 섞기, 다운로드 파일 바꿔치기 등 생각만해도 짜증난다.

서버 사칭 가능 (가짜 서버)

HTTP는 내가 접속한 서버가 진짜인지에 대한 검증이 없다. 그래서 공격자가 DNS를 속이거나 네트워크를 중간에 가로채서 사용자를 가짜 서버에 보내도 사용자는 알 수 없다.
그냥 잘 열리네? 하고 비밀번호 치는 순간 다 털리는거다.

---

HTTPS

그래서 HTTPS는 뭐냐? HTTPS는 그냥 HTTP의 업그레이드 버전이라기보다
HTTP + TLS(보안 계층)이다.

즉 HTTP 내용을 TLS로 감싸서 안전 포장해서 보낸다 생각하면 된다.

여기서 TLS(Transport Layer Security)는 전송 계층에서 데이터를 암호화해주는 보안 프로토콜이다.
쉽게 설명하면 HTTP를 안전하게 만들어주는 보안 엔진이다.

TLS의 역할을 한번 보자

기밀성 (Confidentiality)

데이터를 암호화해서 중간에서 봐도 의미 없게 만든다.

무결성 (Integrity)

중간에 누가 데이터를 바꾸면 티가 나게 만든다. (TLS가 위변조 검사를 한다.)

인증 (Authentication)

이 서버가 진짜인가를 확인한다. 이때 쓰는 게 인증서(Certificate)다.

즉 TLS가 없으면 HTTPS도 없다.

이렇듯 HTTPS는 아까 말한 HTTP의 문제점들을 보완해준다. 또한 HTTPS는 HTTP와 다르게 443번 포트를 사용하며, HTTPS는 대칭키 암호화 방식과 비대칭키 암호화 방식을 모두 사용하고 있다.

전에 설명했던 AES와 RSA를 모두 사용한다는거다. 왜냐고? 동작과정을 살펴보면 알게된다.

HTTPS 연결 과정(Hand-Shaking)에서는 먼저 서버와 클라이언트 간에 세션키를 교환한다. 여기서 세션키는 주고 받을 데이터를 암호화하기 위해 사용되는 키이며, 데이터의 교환에 빠른 연산속도가 필요하다. 그래서 세션키는 대칭키를 사용한다.
이 다음이 문제인데, 이 세션키를 클라이언트와 서버가 어떻게 교환해야할까? 여기서 비대칭키가 사용되는 거다. 비대칭키를 사용하여 안전하게 세션키를 공유하면 되니까.

전체적으로 동작 과정을 한번 보자

1️⃣ 브라우저가 서버에 접속

2️⃣ 서버가 인증서를 보낸다
나 진짜 naver.com 맞아 -> CA가 서명한 인증서 제공

3️⃣ 브라우저가 인증서 검증
신뢰할 수 있는 기관인지 확인

4️⃣ 세션키 생성
이후 통신에 사용할 대칭키(AES 등)

5️⃣ 비대칭키로 세션키 안전하게 공유

6️⃣ 이후 데이터 통신은 AES로 암호화

처음 악수는 비대칭키 실제 대화는 대칭키인 셈이다.

하지만 HTTPS라고 다 좋은 것만은 아니다.
HTTP는 바로 요청 → 응답이지만, HTTPS는 인증서 검증과 키 교환 과정을 거친다.
초기 연결 과정이 조금 더 무겁고, 암호화/복호화 연산이 추가되기 때문에 CPU 사용량도 더 필요하다.

그렇다면 굳이 이렇게 복잡하게까지 해야 할까?

대답은 그렇다이다.
우리는 로그인, 결제, 개인정보 입력 등 대부분의 활동을 웹에서 한다. 근데 이러한 활동이 노출된다면,,안되겠지?

느림보다 중요한 것은 신뢰다.