옥수수, 기록
[네트워크심화] HTTPS 본문
HTTPS
HTTP Secure의 약자로 기존의 HTTP 프로토콜을 더 안전하게(Secure) 사용할 수 있음을 의미한다.
HTTPS는 HTTP요청과 응답으로 오가는 내용을 암호화한다.
암호화 방식
데이터를 암호화 할 때 암호화할 때 사용할 키와 암호화한 것을 해석할 때 사용할 키가 필요하다.
암호화와 복호화할 때 사용하는 키가 동일하다면 대칭 키 암호화 방식, 다르다면 공개 키(비대면 키) 암호화 방식이라 한다.
대칭 키 암호화 방식
하나의 키만 사용하는 방식으로 암호화할 때 사용한 키로만 복호화가 가능
장점: 공개 키 방식에 비해 연산 속도가 빠름
단점: 키를 주고 받는 과정에서 탈취 당했을 경우 암호화가 소용없어짐
공개 키(비대칭 키) 암호화 방식
두 개의 키를 사용하는 방식으로 암호화할 때 사용한 키와 다른 키로만 복호화가 가능
두 키를 각각 공개키, 비밀키 라고 부른다.
공개키는 공개되어 있는 키로 누구든지 접근 가능하고 누구든 공개키를 사용해 암호화한 데이터를 보내면 비밀키를 가진 사람만 그 내용을 복호화할 수 있다.
보통 요청을 보내는 사용자가 공개키, 요청을 받는 서버가 비밀키를 소유하고 서버가 해킹당하지 않는 이상 탈취되지 않는다.
장점: 공개 키 방식은 공개 키를 사용해 암호화한 데이터가 탈취당한다 하더라도 비밀 키가 없다면 복호화 불가 > 보완성이 더 좋음
단점: 대칭 키 방식보다 복잡한 연산이 필요해 더 많은 시간을 소모한다.
SSL/TLS 프로토콜
HTTPS는 HTTP 통신을 하는 소켓 부분에서 SSL 혹은 TLS라는 프로토콜을 사용하여 서버 인증과 데이터 암호화를 진행한다.
여기서 SSL이 표준화되며 바뀐 이름이 TLS, 사실상 같은 프로토콜이다.
특징
- CA를 통한 인증서 사용
- 대칭 키, 공개 키 암호화 방식을 모두 사용
인증서와 CA(Certificate Authority)
HTTPS를 사용하면 브라우저가 서버의 응답과 함께 전달된 인증서를 확인할 수 있다.
이러한 인증서는 서버의 신원을 보증해주는데 이 인증서를 발급해주는 공인된 기관들을 CA(Certificate Authority)라고 부른다.
서버는 인증서를 발급받기 위해 CA로 서버의 정보와 공개 키를 전달한다. CA는 서버의 공개 키와 정보를 CA의 비밀 키로 암호화하여 인증서를 발급한다.
서버는 클라이언트에게 요청을 받으면 CA에게 발급받은 인증서를 보내준다. 이 때 사용자가 사용하는 브라우저는 CA들의 리스트와 공개키를 내장하고 있다. 우선 해당 인증서가 리스트에 있는 CA가 발급한 인증서인지 확인하고 리스트에 있는 CA라면 해당하는 CA의 공개키를 사용해 인증서의 복호화를 시도한다.
복호화가 성공 : 클라이언트는 서버의 정보와 공개 키를 얻게 됨과 동시에 해당 서버가 신뢰할 수 있는 서버임을 알 수 있게됨
복호화 실패 : 이는 서버가 보내준 인증서가 신뢰할 수 없는 인증서임을 확인
대칭 키 전달
사용자는 서버의 인증서를 복호화해 서버의 공개 키를 확보했으나 이 공개키로는 데이터를 암호화하여 요청과 응답을 주고 받지 못한다.
보안은 확실하나 복잡해 연산에 시간이 오래걸려 모든 요청에 공개키 암호화 방식을 쓰는 것은 좋지않다.
공개키는 클라이언트와 서버가 함께 사용하게 될 대칭 키를 주고 받을 때 사용한다. 대칭키는 속도는 빠르나 주고받는 과정에서 탈취될 수 있다는 위험성이 있었지만 클라이언트가 대칭키를 보낼 때 서버의 공개키를 사용해 암호화하여 보내준다면 서버의 비밀키를 가지고 있는게 아닌 이상 해당 대칭키를 복호화할 수 없으므로 탈취될 위험성이 줄어든다.
클라이언트는 데이터를 암호화하여 주고받을 때 사용할 대칭 키를 생성한다. 대칭 키를 생성하는 데에는 더 복잡한 과정이 있다.
클라이언트는 생성한 대칭키를 서버의 공개키로 암호화하여 전달하고 서버는 전달받은 데이터를 비밀키로 복호화하여 대칭키를 확보한다. 서버와 클라이언트는 동일한 대칭키를 갖게되었다.
이제 HTTPS 요청을 주고 받을 때 이 대칭 키를 사용하여 데이터를 암호화하여 전달하게 된다.
대칭키 자체는 오고 가지 않기 때문에 키가 유출될 위험이 줄어들었다. 요청이 중간에 탈취되어도 해커가 암호화된 데이터를 복호화할 수 없기때문에 안전하게 요청과 응답을 주고받을 수 있다.
이렇게 서버와 클라이언트간 CA를 통해 서버를 인증하는 과정과 데이터를 암호화하는 과정을 아우른 프로토콜을 SSL 또는 TLS라고 한다.
HTTP에 SSL/TLS 프로토콜을 더한 것을 HTTPS라고 한다.
실습해보기
설치
mkcert라는 프로그램을 이용해 로컬 환경(내 컴퓨터)에서 신뢰할 수 있는 인증서를 만들 수 있다.
macOS
$ brew install mkcert
# firefox를 사용할 경우 필요에 따라 설치해주세요.
$ brew install nss
인증서 생성
다음 명령어로 로컬을 인증된 발급기관으로 추가해야 한다.
$ mkcert -install
로컬 환경에 대한 인증서를 만들어야 한다. localhost로 대표되는 로컬 환경에 대한 인증서를 만들려면 다음 명령어를 입력해야 한다.
명령어를 입력하기전 경로를 확인하자
내 현재 경로에 인증서가 생성된다.
$ mkcert -key-file key.pem -cert-file cert.pem localhost 127.0.0.1 ::1
localhost, 127.0.0.1(IPv4), ::1(IPv6)에서 사용할 수 있는 인증서가 완성되었다.
HTTPS 서버 작성
Node.js환경에서 HTTPS 서버를 작성하기 위해서는 https 내장 모듈을 이용할 수 있다.
express.js를 이용해 https 서버를 만들수도 있다.
방금 생성한 인증서 파일들을 HTTPS 서버에 적용해 주는 작업이 필요하다.
const https = require('https');
const fs = require('fs');
https
.createServer(
{
key: fs.readFileSync(__dirname + '/key.pem', 'utf-8'),
cert: fs.readFileSync(__dirname + '/cert.pem', 'utf-8'),
},
function (req, res) {
res.write('Congrats! You made https server now :)');
res.end();
}
)
.listen(3001);
// 서버 실행 후 https://localhost:3001로 접속
// ------express 사용
const https = require('https');
const fs = require('fs');
const express = require('express');
const app = express();
https
.createServer(
{
key: fs.readFileSync(__dirname + '/key.pem', 'utf-8'),
cert: fs.readFileSync(__dirname + '/cert.pem', 'utf-8'),
},
app.use('/', (req, res) => {
res.send('Congrats! You made https server now :)');
})
)
.listen(3001);