SSL/TLS란 ?

• SSL (Secure Sockets Layer)과 TLS (Transport Layer Security)는 웹 브라우저와 서버 사이의 통신을 암호화하여 인터넷 연결의 보안을 강화하는 프로토콜입니다. 이들 프로토콜은 데이터를 안전하게 전송하기 위해 공개 키 인증서 시스템을 사용합니다.
• SSL은 최초의 보안 프로토콜로, Netscape에 의해 1990년대 중반에 개발되었습니다. SSL 3.0 버전 이후에는 TLS로 이름이 바뀌었으며, TLS 1.0 (SSL 3.1로도 알려짐)이 출시되었습니다. 이후에는 TLS 1.1, TLS 1.2, 그리고 가장 최신인 TLS 1.3이 출시되었습니다. 이러한 이유로, SSL과 TLS는 종종 혼용되어 사용되는 경우가 많습니다.
• SSL/TLS는 다음과 같은 주요 기능을 제공합니다
  1. 암호화: 클라이언트와 서버 사이에 교환되는 모든 데이터를 암호화하여 중간자 공격(man-in-the-middle attack)을 방지합니다. 즉, 공격자가 통신을 가로채도, 암호화된 데이터는 읽을 수 없습니다.
  2. 인증: 클라이언트는 SSL/TLS 인증서를 통해 서버의 신원을 검증할 수 있습니다. 인증서는 신뢰할 수 있는 서드 파티인 인증서 발급 기관(Certificate Authority, CA)에 의해 발급됩니다.
  3. 데이터 무결성: SSL/TLS는 데이터 무결성을 보장합니다. 이는 데이터가 전송 과정에서 변조되지 않았음을 보장합니다.
• SSL/TLS 연결은 "핸드셰이크" 단계로 시작되며, 이 과정에서 클라이언트와 서버는 암호화를 위한 세션 키를 생성하고, 서버는 인증서를 제공하여 클라이언트에게 신원을 증명합니다. 이후에는 클라이언트와 서버 사이의 모든 통신이 암호화되어 안전하게 이루어집니다.

SSL 인증서란 ?

• SSL은 SSL 인증서(공식적으로 "TLS 인증서")가 있는 웹사이트만 실행할 수 있습니다. SSL 인증서는 사람의 신원을 확인하는 신분증이나 배지와 같습니다. SSL 인증서는 웹사이트나 애플리케이션 서버가 웹에 저장하고 표시합니다.
• SSL 인증서에 포함된 가장 중요한 정보 중 하나가 웹 사이트의 공개 키입니다. 이 공개 키 덕분에 암호화와 인증이 가능합니다. 사용자의 장치는 공개 키를 보고 이를 이용하여 웹 서버와 안전한 암호화 키를 수립합니다. 한편, 웹 서버에도 기밀로 유지하는 개인 키가 있습니다. 개인 키는 공개 키로 암호화된 데이터를 해독합니다.
• CA(인증 기관)는 SSL 인증서 발행을 담당합니다.

SSL 인증서 종류

• 다양한 유형의 SSL 인증서가 있습니다. 하나의 인증서가 하나의 웹사이트에 적용되는지 아니면 여러 개의 웹사이트에 적용되는지에 따라 유형이 달라집니다.
  • 단일 도메인: 단일 도메인 SSL 인증서는 단 하나의 도메인("도메인"은 www.cloudflare.com처럼 웹사이트 이름입니다)에 적용됩니다.
  • 와일드카드: 와일드카드 SSL 인증서도 단일 도메인 인증서처럼 단 하나의 도메인에 적용되지만, 도메인의 하위 도메인도 포함합니다. 예를 들어, 와일드카드 인증서는 www.cloudflare.com, blog.cloudflare.com, developers.cloudflare.com을 포함할 수 있지만, 단일 도메인 인증서는 첫 번째 도메인만 포함할 수 있습니다.
  • 멀티 도메인: 이름이 의미하는 것처럼 멀티 도메인 SSL 인증서는 관련되지 않은 다수의 도메인에 적용될 수 있습니다.
• 또한, SSL 인증서마다 유효성 검사 수준이 다릅니다. 유효성 검사는 신원 조회와 같은 것이며, 그 수준은 검사의 정도에 따라 다릅니다.
  • 도메인 유효성 검사: 가장 덜 엄격하고 저렴한 수준의 유효성 검사입니다. 기업은 도메인을 관리하고 있다는 것만 증명하면 됩니다.
  • 조직 유효성 검사: 보다 실무적인 프로세스입니다. CA가 담당자나 기업에 인증서를 직접 문의합니다. 이 인증서는 사용자에게 더 많은 신뢰를 제공합니다.
  • 확장 유효성 검사: 조직의 배경을 완전히 검사한 후에 SSL 인증서를 발행할 수 있습니다.

HTTP와 HTTPS의 차이점

HTTP란

• HTTP는 하이퍼텍스트 전송 프로토콜의 약자로, 네트워크를 통해 데이터를 전송하는 데 사용되는 프로토콜 또는 정보를 표현하기 위한 규정된 순서와 구문입니다. 웹 사이트 콘텐츠 및 API 호출을 포함하여 인터넷을 통해 전송되는 대부분의 정보는 HTTP 프로토콜을 사용합니다. HTTP 메시지에는 요청과 응답이라는 두 가지 주요 유형이 있습니다.

• OSI 모델에서 HTTP는 계층 7 프로토콜입니다.

• HTTP 요청은 HTTP 프로토콜을 따르는 일련의 텍스트 줄입니다. GET 요청은 다음과 같이 보일 수 있습니다.

  GET /hello.txt HTTP/1.1
  User-Agent: curl/7.63.0 libcurl/7.63.0 OpenSSL/1.1.l zlib/1.2.11
  Host: www.example.com
  Accept-Language: en
  

• 사용자의 브라우저에서 생성된 이 텍스트 섹션은 인터넷을 통해 전송됩니다. 문제는 연결을 모니터링하는 모든 사람이 읽을 수 있는 일반 텍스트로 이렇게 전송된다는 것입니다. (HTTP 프로토콜에 익숙하지 않은 분들은 이 글을 이해하기 어려울 수 있지만, 프로토콜의 명령어와 구문에 대한 기본적인 지식이 있는 분이라면 누구나 쉽게 이 글을 읽을 수 있습니다.)

• 이는 사용자가 웹 사이트나 웹 애플리케이션을 통해 중요한 데이터를 제출할 때 특히 문제가 됩니다. 이 데이터는 비밀번호나 신용카드 번호나 양식에 입력된 기타 데이터일 수 있으며, HTTP에서는 이 모든 데이터가 누구나 읽을 수 있도록 일반 텍스트로 전송됩니다. (사용자가 양식을 제출하면 브라우저에서는 이를 HTTP GET 요청이 아닌 HTTP POST 요청으로 변환합니다.)