Http와 https 에 대하여

HTTP 와 HTTPS는 양립이 가능한가?

*HTTP (하이퍼텍스트 전송 프로토콜, hyper text transfer protocol)

  • 1989년에 팀 버너스 리가 처음으로 월드 와이드 웹을 제창함
  • HTTP (hyper text transfer protocol)은 지금까지 구조적으로 크게 달라지지 않음
  • 제안 시 보안 관련된 부분이 전혀 고려되지 않았음
  • 인터넷(www, 월드 와이드 웹) 이 인터넷의 근간이 되며 상업적으로 크게 성공 후 성능에 대한 요구사항이 증가
  • 기존 HTTP의 형태로는 보완과 같은 것을 만족시킬만큼 구현이 어려움.
  • HTTPS
  • HTTPS는 1994년은 당시 잘 쓰이던 넷스케이프 브라우저에서 전자상거래를 위해 SSL 프로토콜을 결합함
  • 전자 상거래를 위한 SSL 프로토콜은 발전해서 현재 TLS가 됨
  • SSL + HTTP를 결합한 것이 HTTPS
  • HTTPS는 업계 표준이 됨
  • 보안성이 요구되는 곳에서는 HTTPS, 그렇지 않은 곳에서는 HTTP를 씀.

2013년 스노델 사건 발생

  • 스노덴 사건이 2013년이 발생함.
  • 이 사건으로 인한 다양한 부수 결과
  • 국가 수준의 공격자[state-level adversary]가 존재하며 왕성하게 활동하고 있는 것이 확인되어
  • 민간의 모든 통신에 보안성이 필요하게 됨
  • HTTPS는 모두에게 값싸게 보안성을 제공하는데 실패해 왔다는 문제점을 가지고 있음.

HTTPS 개선

  1. HTTPS/TLS 인증서
  • 보안 인증서는 그 가격이 비쌈.
  • 보통 도메인보다 몇 배에서 몇 십배 비쌈. -전자 프론티어 재단(EFF)에서 인증서를 자동으로 무료 발급할 수 있는 인프라를 만듬. ( Let’s Encrypt)
  • 오늘날 Let’s Encrypt로 발급된 인증서는 2천만개이상으로 주요 인증서 발급자로 부상함
  1. HTTP의 성능 문제를 해결
  • HTTP/2라는 표준이 진행 중 스노덴 사건이 발생
  • HTTP/2에 HTTPS를 무조건 쓰게 하여 암호화를 프로토콜에서 뺄 수 없게 하자는 주장
  • 설계에서는 암호화가 강제가 되지는 않았지만 대부분의 구현자들이 암호화로 사실상 강제가 된 상황
  • TLS로 깎아 먹는 성능 때문에 강한 반대도 있었으나 -이미 IT 업계에서 암호화가 필수라는 것은 상식이 됨
  1. 구 SSL에 보안 문제가 많았음.
  • 이 문제들을 암호학자들도 마침내 인식하여 TLS 프로토콜에는 최신의 빠르고 더 안전한 암호학 알고리즘들이 도입
  • 최신 웹 브라우저에 이 기능을 사용할 수 있음.
  • 또한 웹 브라우저는 자동 업데이트로 대부분 국내 인터넷에서도 보급됨.

Let’s Encrypt를 사용

  • 최저 수준(도메인 인증) 해당 인증서의 소유자가 도메인을 소유하고 있다는 것만 보장
  • 인증서를 무료로 발급
  • 은행이나 전자상거래 같은 데서는 더 높은 수준의 인증서를 필요
  • "수준"은 암호화 수준이 아니며 인증서가 그 인증서의 소유자에 대한 인증