7.2 HTTP+암호화+인증+완전성보호 = HTTPS

7.2.1 HTTP에 암호화와 인증과 완전성 보호를 더한 HTTPS

HTTPS가 유효한 웹사이트에 접속하면 자물쇠 마크를 볼 수 있다.

7.2.2 HTTPS는 SSL의 껍질을 덮어쓴 HTTP

HTTP통신을 하는 소켓 부분을 SSL이나 TLS라는 프로토콜로 대체하는 것이다.

HTTP HTTP (애플리케이션) TCP SSL IP TCP IP

HTTP는 SSL과 통신하고 SSL이 TCP와 통신하는 것이다. ->HTTPS SSL의 사용으로 암호화, 증명서, 완전성 보호를 이용할 수 있게 된다.

7.2.3 상호간 키를 교환하는 공개키 암호화

SSL은 공개키 암호화 방식을 채용하고 있다. 현대의 암호는 알고리즘이 공개되어 있고 키를 비밀에 부침으로써 안전성을 유지한다. 암호화나 복호화 할때 이 키를 사용한다.키가 없으면 암호를 풀 수 없지만 키를 가지고 있다면 누구나 암호를 풀 수가 있다.

• 공통키 암호의 딜레마

암호화와 복호화에 하나의 키를 사용하는것이 공통키 암호화 이다. 공통키 암호화는 키를 상대에게 키를 넘겨주어야 한다.

• 두개의 키를 사용하는 공개키 암호

서로 다른 두개의 키쌍을 사용한다. 한쪽은 비밀키 한쪽은 공개키이다. 암호화는 암호를 보내는 측이 상대의 공개키를 사용해 암호화를 한다. 암호화된 정보를 받은 상대는 자신의 비밀키로 복호화 한다.

• HTTPS는 하이브리드 암호 시스템

HTTPS는 공통키와 공개키 모두 사용한다. 키를 교환하는 곳에서는 공개키 암호를 사용하고 그 후의 통신은 공통키 암호를 사용한다. 상대적으로 공개키가 느리다.

7.2.4 공개키가 정확한지 아닌지를 증명하는 증명서

공개키를 사용하더라도 공개키가 진짜인지 증명할 수 없다. 중간에 공격자가 공개키를 바꿔쳐도 수신자는 진짜 공개키인지 알 수 있는 방법이 없다. 이를 해결하는데는 인증 기관과 그 기관이 발행하는 공개키 증명서가 이용되고 있다. 인증기관이란 클라이언트와 서버가 모두 신뢰하는 제 3자 기관이다. 인증기관에는 VeriSign사가 있다.

서버의 운영자가 인증기관에 공개키를 제출한다. 인증기관은 제출된 공개키에 디지털 서명을 하고 서명이 끝난 공개키를 만든다. 그리고 공개키 인증서에 서명이 끝난 공개키를 담는다. 서버는 인증기관에 의해서 작성된 공개키 인증서를 클라이언트에 보내고 공개키 안호로 통신한다. 증명서를 받은 클라이언트는 증명기관의 공개키를 사용해서 서버의 공개키를 인증한 것이 진짜 인증기관이라는 것과 서버의 공개키가 신뢰할 수 있다는 것을 알 수 있다.

여기에 사용되는 인증기관의 공개키는 안전하게 전달하기 위해 브라우저가 주요 인증기관의 공개키를 사전에 내장하고 있다.