HTTPS

HTTPS란?

HTTPS 사용 방법

TLS 핸드샤크

1. 클라이언트 안녕하세요 : 브라우저는 지원되는 cipher suites와 연결을 시작

2. 서버 안녕하세요 : Server는 cipher Suite를 선택하고 인증서를 보냅니다.

3. 인증: Browser validates 인증서 체인

4. Key Exchange: 비대칭 암호화는 세션 키 설정

5. Secure Channel: Symmetric 암호화는 데이터 전송을 위해 시작됩니다.

암호화 과정

HTTP Request (unencrypted):
GET /login HTTP/1.1
Cookie: session=abc123

HTTPS Request (encrypted):
[Binary encrypted data - unreadable to interceptors]

HTTPS의 이점

SSL/TLS 인증서 유형

도메인 검증 (DV)

• 도메인 소유권을 검증
• 몇 분 안에 발행
• 가장 저렴한 비용 ( Let's Encrypt를 통해 무료)
• 기본 암호화

조직 검증 (OV)

• 조직 정체성을 검증
• 발행일 1-3일 소요
• 인증서의 조직 이름 표시
• 중간 신뢰 수준

연장 유효성 (EV)

• 엄격한 조직 검증
• 1~2주 정도 소요
• 가장 높은 신뢰 지표 (historically 녹색 바)
• 가장 높은 비용

HTTPS 구현

인증서 취득

1. 인증서 서명 요청 (CSR) 생성

2. 인증 기관에 CSR 제출 (CA)

3. 완전한 도메인/조직 검증

4. 인증서 수령 및 설치

서버 구성

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:...;
}

HTTP에서 HTTPS Redirect

server {
    listen 80;
    server_name example.com;
    return 301 https://example.com$request_uri;
}

HTTPS 모범 사례

1. TLS 1.2 이상 사용 : 이전 프로토콜(SSL 3.0, TLS 1.0/1.1) 사용

2. 발효 HSTS : HTTP Strict Transport Security 헤더를 통해 강제 HTTPS

3. 강한 제자 사용 : ECDHE 및 AES-GCM 제품군 우선 순위

4. OCSP stapling 활성화 : Faster 인증서 검증

5. 초기 인증서: 만료 관련 정전을 피하십시오

6. 혼합 콘텐츠 업데이트 : HTTPS를 통해 모든 리소스로드 보장

7. Monitor 인증서 만료: 자동화된 모니터링 도구 사용

일반적인 HTTPS 문제

• 관련 내용 경고: HTTP 리소스는 HTTPS 페이지에로드
• 잘못된 잡기 : 인증서는 도메인 이름과 일치하지 않습니다.
• 전문 인증서: 인증서 유효 기간 초과
• Chain 문제: 중간 인증서 누락
• Protocol 오류 : 클라이언트 / 서버 프로토콜 mismatch

HTTPS는 더 이상 선택이 없습니다. 콘텐츠 유형에 관계없이 모든 웹 사이트에 필수적이며 보안, 신뢰 및 SEO 혜택을 제공하여 기본 요구 사항을 구현합니다.