본문 바로가기

HTTPS2

HTTPS HTTP 통신은 암호화 되지 않은 평문으로 실시된다. 또한 HTTP 에는 통신 상대의 서버나 클라이언트를 인증하는 수단이 없다. 때문에 실제로는 의도한 통신 상대와 통신하지 않고 있을 가능성이 있고, 수신한 메시지가 도중에 변조되어 있을 가능성도 있다. 이러한 문제를 해결하기 위해 암호화와 인증과 완전성 보호 같은 구조를 HTTP 에 추가한 것을 HTTPS(HTTP Secure) 라고 한다. HTTPS 는 새로운 응용계층 프로토콜은 아니다. 보통 HTTP 는 직접 TCP와 통신하지만, SSL을 사용한 경우에는 HTTP 는 SSL 과 통신하고 SSL 이 TCP 와 통신하게 된다. 클라이언트 → 서버로 랜덤 데이터와 사용 가능한 암호화 방식을 보낸다. 서버 → 클라이언트로 랜덤 데이터, 사용할 암호화 방식과.. 2023. 4. 22.
HTTP의 보안상 약점 HTTP 에도 약점이 있는데, 주로 다음과 같은 약점을 가지고 있다. - 평문 통신이기 때문에 도청 가능 - 통신 상대를 확인하지 않기 때문에 위장 가능 - 완전성을 증명할 수 없기 때문에 변조 가능 이 약점은 HTTP 만이 아닌, 다른 암호화하지 않은 프로토콜에도 공통되는 문제이다. 또 특정 웹 서버나 특정 웹 클라이언트의 구현상의 약점, JAVA 나 PHP 로 구축한 웹 어플리케이션 취약성 등이 있다. 암호화 도청을 피하기 위해 가장 보급되어 있는 기술은 암호화 이다. 암호화는 몇 가지 대상이 있다. 1) 통신 암호화 HTTP 에는 암호화 구조는 없지만 SSL (Secure Socket Layer) 나 TLS (Transfer Layer Security) 라는 다른 프로토콜을 조합함으로써 HTTP 통.. 2023. 4. 18.