HTTP - SSL 인증서

- SSL과 TLS 차이

  : 서버(웹서버), 클라이언트(웹브라우저) 간에 인증 및 데이터 암호화를 제공하는 암호화 프로토콜. SSL은 TLS이전의 프로토콜.

  : SSL/TLS operates on OSI layer 6 (presentation layer)

  : 1995년 SSL 2.0을 통해 대중에 처음으로 공개. 1996년 취약점업데이트버전인 SSL 3.0 공개

  : 1999년 TLS는 새버전의 SSL로 도입되었으며 SSL 3.0을 기반으로 함. (TLS는 SSL v4에 대한 새로운 이름)

  : TLS는 이전에 1.2버전이 사용되고 있으며, 최근 (2018년) 10년만에 1.3버전 공식발표.

  : SSL 2.0 및 3.0 모두 IETF에 의해 사용중지됨 (각각 2011년, 2015년)

  : 대부분의 최신 브라우저는 이전 프로토콜 사용하는 웹서버를 만날때 사용자 환경 저하발생 가능성 있음. 이러한 이유로 서버 구성에서 SSL 2.0 및 3.0을 비활성화해야하며 TLS프로토콜만 사용하도록 설정 필요

- SSL 역할

  : 웹브라이저와같은 클라이언트와 웹페이지를 응답하는 서버간에 통신을 중간에 다른사람이 가로채더라도 알지못하도록 하는 규약이 SSL.

  : 웹브라우저로 example.com을 입력/엔터를 치니 웹사이트가 나타난다. 화면에 보여지는 곳은 example.com이 아닐수도 있고, example.com의 실소유자가 아닐 가능성도 존재하며, 사기를 유도하는 사이트일 수도 있다. 이렇게 원치않는 사이트를 방문하게되면 개인정보유출, 금전적 피해 등의 사고발생할 수 있음. 이런 것을 막고자 SSL인증서를 사이트에 적용하기도 한다. SSL인증서는 발급 시, example.com도메인의 소유주 확인을 하고, 사이트가 사기유도등의 문제가 있을지 확인 후 인증서를 발급해주기때문에, 방문한 사이트에 SSL인증서가 적용되어있다면, 인증기관에서 방문한 사이트가 일정 수준으로 안전하다는 것을 보증하는 것이라 할 수 있다.

- SSL 인증 동작방식

  : 서버는 비대칭 공개키 사본을 브라우저로 전송

  : 브라우저는 대칭 세션키를 만들어 서버의 비대칭 공개키로 암호화 한 다음 서버로 전송

  : 서버는 대칭 세션키를 얻기 위해 비대칭 비공개 키로 암호화된 세션 키를 복호화

  : 버서와 브라우저에서 대칭 세션키를 통해 전송된 데이터를 암복호화 (세션키는 해당 세션에만 사용되어 보안)

 

- SSL 동작 방법

  : SSL은 암호화 데이터 전송을 위해 공개키와 대칭키를 혼합하여 사용

 

 

<Reference>

- https://lovefor-you.tistory.com/250

- https://smartits.tistory.com/209

- https://ko.gadget-info.com/difference-between-ssl

- https://devlog.jwgo.kr/2019/04/12/what-is-ssl/