HTTP vs HTTPS

🔅HTTP

: Hyper Text Transfer Protocol

하이퍼 텍스트를 전송하기 위해 만들어진 약속이다.

즉, HTML문서와 같은 리소스들을 가져올 수 있도록 해주는 프로토콜이며 HTTP는 웹에서 이루어지는 모든 데이터 교환의 기초이다.

클라이언트-서버 프로토콜로 불리며 수신자 측(보통 웹브라우저)에 의해 요청이 초기화되는 프로토콜을 의미한다. 클라이언트에 의해 전송되는 메시지를 요청(requests)라고 부르며, 이에 대해 서버에서 응답으로 전송되는 메시지를 응답(responses)라고 부른다.

HTTP는 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다. 상태를 가지고 있지 않은 Stateless 프로토콜이며 Method, Path, Version, Headers, Body 등으로 구성되어져 있다.

 

🌈HTTP는 단점을 가지고 있다.

암호화가 되지 않은 평문 데이터를 전송하는 프로토콜이므로 비밀번호나 주민등록번호 등 개인정보들을 주고 받을 때 제3자에게 정보가 노출될 수 있다.

 

🔅HTTPS

: Hyper Text Transfer Protocol Secure

HTTPS는 HTTP에 데이터 암호화가 추가된 프로토콜이다. 데이터 암호화를 위해 암호화 보안 프로토콜이 필요하다. 암호화 보안 프로토콜로는 SSL(Secure Socket Layer)이나 TLS(Transport Layer Security)이 있다. TLS프로토콜은 SSL프로토콜에서 발전한 것이다. 즉, HTTPS는 SSL이나 TLS 프로토콜을 통해 데이터를 암호화하며, 기본 TCP/IP 포트는 443이고 SSL프로토콜 위에서 HTTPS 프로토콜이 동작한다.

 

🌈대칭키 비대치킹 암호화

HTTPS는 대치킹 암호와 비대치킹 암호화 방식을 모두 사용하고 있다.

대치킹 암호화란?

클라이언트와 서버가 동일한 키를 사용하여 암호화 및 복호화를 한다는 것이다.

연산속도가 빠르다는 장점이 있지만 키가 노출되면 위험하다는 단점이 있다.

비대칭키 암호화란?

1개의 쌍으로 구성된 공개키와 개인키를 사용하여 암호화 및 복호화를 한다는 것이다.

연산속도가 느리지만 키가 노출되어도 비교적 안전하다는 장점이 있다.

 

🌈HTTPS의 동작 과정

대치킹 암호화와 비대칭키 암호화를 모두 사용한다.

HTTPS 연결 과정(Hand-Shaking)에서는 서버와 클라이언트 간에 세션키 교환이 필요하다.

첫 연결을 성립할 땐 안전하게 비대칭키를 사용하여 세션키(대칭키)를 생성한다.

이후에는 세션키를 사용하여 데이터를 주고 받는다.

1. 클라이언트(브라우저)가 서버로 최초 연결 시도를 한다.

2. 서버는 공개키(ex. 인증서)를 브라우저에게 넘겨준다.

3. 브라우저는 인증서의 유효성을 검사하고 세션키를 발급한다.

4. 브라우저는 세션키를 보관하고 추가로 서버의 공개키를 이용하여 세션키를 암호화한 후 서버로 전송한다.

5. 서버는 개인키를 사용하여 암호화된 세션키를 복호화하여 세션키를 얻는다.

6. 클라이언트와 서버는 동일한 세션키를 공유하므로 데이터를 전달할 때 세션키로 암/복호화를 진행한다.

🔅결론

HTTP는 보안에 취약하다. 반면에 HTTPS는 안전하게 데이터를 주고받을 수 있다. 하지만 HTTPS는 인증서를 발급하고 유지하기 위한 추가 비용이 발생한다. HTTPS는 느리다. 이렇게 비용과 속도의 차이가 존재한다.(현재는 속도의 차이는 거의 느낄 수 없다고 한다.)

구글에서는 HTTPS 사용을 권장한다. HTTPS 사용 권장을 위해 HTTPS페이지에 검색순위 결과에 약간의 가산점을 주겠다고 언급도 하였다.

보안과 검색엔진 최적화를 위해 HTTPS는 고려가 아닌 필수인 세상이다.

---

참고 자료

HTTP 개요 - HTTP | MDN

[Web] HTTP와 HTTPS의 개념 및 차이점