"HTTPS"의 두 판 사이의 차이

2019년 7월 29일 (월) 11:20 판

HTTPS는 암호화된 HTTP 통신 프로토콜을 말한다. HTTPS는 HyperText Transfer Protocol over Secure Socket Layer의 약자로서, http secure 또는 http over SSL이라고도 한다. 포트 번호는 443번이다. 보통 https://와 같이 소문자로 쓴다.

개요

HTTPS는 월드 와이드 웹 통신 프로토콜인 HTTP의 보안이 강화된 버전이다. HTTPS는 통신의 인증과 암호화를 위해 넷스케이프 커뮤니케이션즈 코퍼레이션이 개발했으며, 전자 상거래에서 널리 쓰인다. 보호의 수준은 웹 브라우저에서의 구현 정확도와 서버 소프트웨어, 지원하는 암호화 알고리즘에 달려있다. HTTPS를 사용하는 웹페이지의 URI은 'http://'대신 'https://'로 시작한다.

역사

넷스케이프 커뮤니케이션스는 1994년에 넷스케이프 내비게이터 웹 브라우저를 위해 HTTPS를 개발하였다. 원래 HTTPS는 SSL 프로토콜과 함께 사용되었다. SSL이 전송 계층 보안(TLS)으로 발전했을 때 2000년 5월 HTTPS는 공식적으로 RFC 2818에 규정되었다.

2019년 2월, 방송통신위원회는 대한민국 정부와 협력하여 불건전한 내용과 저작권 침해를 원천 차단하겠다는 명목으로 HTTPS를 통한 해외 사이트 접속을 막는 인터넷 검열 방안을 발표 및 실시하였다. 이 방식은 암호화의 인증 과정에서 주고받게 되는 SNI 패킷을 보고 웹사이트 접속을 차단하는 방식으로, 본래 방송통신심의위원회에서는 해당 위원회에서 지정한 '유해 사이트'에 국민들이 접속하지 못하도록 URL 접근을 특수한 사이트로 강제 우회시키고 있었는데, HTTPS를 통한 접속이 많아지면서 실용성이 없어지자 이같은 방안을 따르도록 국내 통신사들에 명령하였다.^[1] 2019년 6월에는 사이버 범죄자들이 HTTPS를 피싱 공격에 적용하기 시작했다고 FBI가 경고했다. 최근 범죄자들은 HTTPS와 자물쇠 아이콘을 얻어내기 위해 인증서를 적극 활용하고 있으며, 그렇기 때문에 HTTPS도 완전히 믿어서는 안되고 자물쇠도 마찬가지라는 내용이다. 따라서 장기적으로는 새로운 웹 표준을 도입해야 피싱 공격을 막을 수 있다고 한다.^[2]

특징

HTTP와의 차이

HTTPS URL은 기본적으로 "https : //"로 시작하고 포트 443을 사용하지만 HTTP URL은 기본적으로 "http : //"로 시작하고 포트 80을 사용한다. HTTP는 DNS 서버에 IP 주소를 요청하고 받을 때 암호화되지 않은 데이터를 주고받기 때문에 보안에 취약하며, 해커들의 공격을 받을 수 있고 개인 정보 등이 쉽게 유출될 위험이 크다. 그렇기 때문에 개발된 HTTPS는 인터넷상에서 받는 모든 데이터를 암호화하였기 때문에 HTTP에 비해 비교적 안전하다.^[3]

네트워크 계층

HTTP는 가장 높은 계층에서 작동 TCP / IP 모델의 응용 프로그램 계층 ; TLS 보안 프로토콜 (동일한 계층의 하위 하위 계층으로 작동)은 전송 전에 HTTP 메시지를 암호화하고 도착 시 메시지를 암호 해독한다. 엄밀히 말하자면 HTTPS는 별도의 프로토콜은 아니지만 암호화된 SSL / TLS 연결을 통해 일반 HTTP를 사용하는 것을 의미한다.

HTTPS는 HTTP 헤더와 요청 / 응답 데이터를 비롯한 모든 메시지 내용을 암호화한다. 아래의 제한 항목에 설명된 가능한 CCA 암호화 공격을 제외하고 공격자는 두 당사자와 도메인 이름 및 IP 주소 간에 연결이 이루어지고 있음을 발견할 수 있어야 한다.

서버 설정

HTTPS 연결을 허용하도록 웹 서버를 준비하려면 관리자는 웹 서버에 대한 공개 키 인증서를 만들어야 한다. 이 인증서는 웹 브라우저가 경고 없이 인증서를 수락할 수 있도록 신뢰할 수 있는 인증 기관에서 서명해야 한다. 당국은 인증서 보유자를 증명하는 웹 서버의 운영자임을 인증한다. 웹 브라우저는 일반적으로 주요 인증 기관의 서명 인증서 목록과 함께 배포되므로 서명 된 인증서를 확인할 수 있다.

인증서

다수의 상업적 인증 기관이 존재하며 확장 인증 인증서를 포함한 다양한 유형의 유료 SSL / TLS 인증서를 제공한다. Let 's Encrypt는 2016년 4월에 시작되어 웹 사이트에 기본 SSL / TLS 인증서를 제공하는 무료 자동 서비스를 제공한다. 전자 프런티어 재단(Electronic Frontier Foundation)에 따르면 "Let 's Encrypt"는 하나의 명령을 실행하거나 버튼 하나만 클릭하는 것처럼 HTTP에서 HTTPS로 전환할 수 있다.^[4] 대부분의 웹 호스트와 클라우드 공급자는 이제 Let 's Encrypt를 활용하여 고객에게 무료 인증서를 제공한다.

문제점

최근 2019년 HTTPS를 이용한 피싱 이메일 공격이 17%증가 하였고, URL 기반 공격이 26%상승 했다고 파이어아이에가 이메일 위협 보고서를 발표했다. 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 회사를 사칭하여 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다.^[5]

이런 보안상의 문제를 해결하기 위해 정부는 HTTPS 사이트 접속 차단 조치를 내렸다. 하지만 "온라인상의 불법 정보를 차단하는 일은 좋은 목적에서 시행한다 해도, 표현의 자유를 의식해야 한다" 라고 지성우 성균관대 법학전문대 교수는 말했다. 이런 논란으로 인해 반대하는 국민들과 정책을 시행하려는 정부 측의 의견이 엇갈리고 있다.^[6]

평가 및 전망

각주

↑ 이민정 기자, 〈방통위, 해외 불법사이트 접속 전면 차단…감청·검열 논란〉, 《중앙일보》, 2019-02-12
↑ 문가용 기자, 〈웹 세션 보호하는 HTTPS 기술과 자물쇠 아이콘, 공격자들도 활용〉, 《보안뉴스》, 2019-06-12
↑ 티타임즈, 〈"http와 https는 뭐가 다르죠?" 유해사이트 차단논란 정리〉, 《네이버 포스트》, 2019-02-15
↑ PETER ECKERSLEY, 〈Launching in 2015: A Certificate Authority to Encrypt the Entire Web〉, 《EFF》, 2014-11-18
↑ 길민권 기자, 〈2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑〉, 《데일리시큐》, 2019-07-16
↑ 김평화 기자, 〈'https' 사이트 접속차단 논란, "'불법'에 국민동의 필요"〉, 《머니투데이》, 2019-06-07

참고자료

〈HTTPS〉, 《위키백과》
이민정 기자, 〈방통위, 해외 불법사이트 접속 전면 차단…감청·검열 논란〉, 《중앙일보》, 2019-02-12
문가용 기자, 〈웹 세션 보호하는 HTTPS 기술과 자물쇠 아이콘, 공격자들도 활용〉, 《보안뉴스》, 2019-06-12
티타임즈, 〈"http와 https는 뭐가 다르죠?" 유해사이트 차단논란 정리〉, 《네이버 포스트》, 2019-02-15
PETER ECKERSLEY, 〈Launching in 2015: A Certificate Authority to Encrypt the Entire Web〉, 《EFF》, 2014-11-18
길민권 기자, 〈2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑〉, 《데일리시큐》, 2019-07-16
김평화 기자, 〈'https' 사이트 접속차단 논란, "'불법'에 국민동의 필요"〉, 《머니투데이》, 2019-06-07

같이 보기

이 HTTPS 문서는 인터넷에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안, 하드웨어, 컴퓨터, 사무자동화, 인터넷^□^■^⊕, 모바일, 사물인터넷, 게임, 메타버스, 디자인

인터넷	PC통신 • 그누텔라 • 네트워크 • 다크넷 • 다크웹 • 딥웹 • 무선인터넷 • 슈퍼피어 • 스타링크 • 아르파넷 • 아이투피(I2P) • 엑스트라넷 • 오버레이 네트워크 • 오투오(O2O) • 오프라인 • 온라인 • 온오프라인 • 유선인터넷 • 인터넷 • 인트라넷 • 초고속 인터넷 • 토어(토르) • 표면웹 • 프리넷 • 피투피(P2P) • 하이브리드 피투피(P2P) • 홈네트워크

인터넷 기술	ARP • DNS • FTP • G-클라우드 • HTTP • HTTPS • IPFS • IPv4 • IPv6 • IRC • IRI • ISBN • LDAP • MOIP • OpenSSL • OSI 7 계층 • RFC • RFID • SFTP • SOAP • SSH • SSL • SSO • TCP • TCP/IP • TLS • UCI • UDP • URI • URL • URN • VoIP • 강화 내부 게이트웨이 라우팅 프로토콜 • 검색 • 검색엔진 • 게이트웨이 • 경계 경로 프로토콜 • 내부 게이트웨이 라우팅 프로토콜 • 네아로 • 다운로드 • 데몬 • 라우팅 정보 프로토콜 • 백엔드 • 사물인터넷 • 서버 • 서버-클라이언트 • 서브넷마스크 • 세션 • 식별자 • 아이피(IP) • 업로드 • 에듀테크 • 온프레미스 • 원격 프로시저 호출(RPC) • 유비쿼터스 • 인터넷 기술 • 자율시스템 • 정보기술 • 정보통신 • 채팅 • 챗봇 • 최단경로 우선 프로토콜(OSPF) • 쿠키 • 크롤링 • 클라이언트 • 키워드 • 텔넷 • 토폴로지 • 트래픽 • 패킷 • 포털 • 포트 • 프런트엔드 • 프로토콜 • 프록시 • 해시태그

이메일	IMAP • POP3 • SMTP • 계정메일 • 네이버 메일 • 센드메일 • 스팸 • 스팸메일 • 스팸필터링 • 아웃룩 익스프레스 • 웹메일 • 이메일 • 지메일 • 한메일 • 핫메일

웹	KWCAG • WCAG • 서핑 • 시맨틱 웹 • 오프라인 웹 • 웹 • 웹 1.0 • 웹 2.0 • 웹 3.0 • 웹개방성 • 웹서비스 • 웹접근성 • 웹접근성 인증마크 • 웹주소 • 웹페이지 • 웹표준 • 웹호환성 • 피드

웹사이트	BBS • GNB • LNB • UI/UX • 게시판 • 관리자 사이트 • 그래픽 사용자 인터페이스(GUI) • 누리집 • 대시보드 • 랜딩 템플릿 • 랜딩 페이지 • 마이홈피 • 메뉴 • 모달창 • 미니홈피 • 방명록 • 배너 • 사용자 경험(UX) • 사용자 인터페이스(UI) • 왼쪽메뉴 • 웹기획 • 웹사이트 • 웹서비스 • 웹페이지 • 인터페이스 • 쪽지 • 커뮤니티 • 탑메뉴 • 탭메뉴 • 템플릿 • 팝업 • 페이지뷰 • 홈페이지 • 화면

웹브라우저	넷스케이프 • 모자이크 • 브라우저 • 브레이브 브라우저 • 블록체인 브라우저 • 사파리 • 삼성인터넷 • 스윙 • 엣지 • 오시리스 • 오페라 • 웨일 • 웹브라우저 • 인터넷 익스플로러(IE) • 크롬 • 파이어폭스 • 판도브라우저

인터넷 서비스	Mail.ru • 구글 • 구글 미트 • 구글챗 • 구글 행아웃 • 깃허브 • 네이버 • 네이버 카페 • 넷플릭스 • 다음 • 라이코스 • 멜론 • 바이두 • 바이트댄스 • 비트토렌트 • 소리바다 • 스포티파이 • 아마존 웹서비스(AWS) • 애플 • 야후 • 야후재팬 • 얀덱스 • 에버노트 • 에어비앤비 • 왓챠 • 웹툰 • 유튜브 • 인터넷 서비스 • 잼라이브 • 줌 • 카카오 • 텐센트 • 팟캐스트 • 패스 • 페이오니아 • 페이팔 • 해시넷 • 화상통화 • 화상회의

인터넷쇼핑	11번가 • 그립 • 네이버 쇼핑 • 네이버 쇼핑 라이브 • 라이브방송 • 라이브커머스 • 모바일쇼핑 • 스쉐라이브 • 스타일쉐어 • 아마존 • 알리바바 • 오픈마켓 • 옥션 • 온라인쇼핑 • 위메프 • 이베이 • 인터넷쇼핑 • 인터파크 • 전자상거래 • 지마켓 • 징동닷컴 • 카카오 쇼핑 • 카카오 쇼핑 라이브 • 커머스 • 쿠팡 • 쿠팡 라이브 • 타오바오 • 티몬

소셜 네트워크	SNS(소셜 네트워크 서비스) • 구글 블로거 • 네이버 밴드 • 네이버 블로그 • 링크드인 • 마이크로블로그 • 맞팔 • 블로그 • 소셜 네트워크 • 웨이보 • 인스타그램 • 트루스소셜 • 트위터 • 팔로우 • 페이스북 • 플리커 • 핀터레스트

메신저	골프메신저 • 님버즈 • 대화방 • 두레이 • 디스코드 • 딩톡 • 라인 • 라인웍스 • 메신저 • 버디버디 • 스냅챗 • 스노우 • 스카이프 • 슬랙 • 아이씨큐(ICQ) • 왓츠앱 • 웹메신저 • 위챗 • 잔디 • 직톡 • 카카오워크 • 카카오톡 • 카톡방 • 큐큐(QQ) • 탱코 • 텔레그램 • 틱톡 • 페이스북 메신저 • 플로우

도메인	네임서버 • 다국어도메인 • 도메인 • 레지스트라 • 레지스트리 • 아이피 • 인터넷주소 • 인터넷키워드 • 한글인터넷주소 • 후이즈

호스팅	메일호스팅 • 서버호스팅 • 웹호스팅 • 코로케이션 • 클라우드 • 파킹 • 포워딩 • 호스팅

위키	나무위키 • 더위키 • 리그베다위키(엔하위키) • 리브레위키 • 머니파이 • 미디어위키 • 바다위키 • 아이티위키 • 요다위키 • 우만위키 • 위키 • 위키낱말사전 • 위키독스 • 위키문법 • 위키문서 • 위키문헌 • 위키미디어재단 • 위키백과 • 위키스 • 위키아 • 위키엔진 • 위키원드 • 위키트리 • 위키휴가 • 제이위키 • 제타위키 • 중국위키 • 한국위키미디어협회 • 항공위키 • 해시넷위키

인터넷 사용자	가입 • 가입자 • 강퇴 • 계정 • 관리자 • 네트워크 관리자 • 네티즌 • 누리꾼 • 대기자 • 데이터베이스 관리자 • 등록자 • 디지털 원패스 • 로그아웃 • 로그인 • 방문자 • 블로거 • 블록체인 관리자 • 비회원 • 사용자 • 사이트 관리자 • 서버관리자 • 시삽 • 시스템 관리자 • 아이디(ID) • 웹관리자 • 웹마스터 • 유튜버 • 접속자 • 차단 • 최고관리자 • 탈퇴 • 탈퇴자 • 회원 • 휴면 • 휴면계정

인터넷 단체	IANA • ICANN • W3C • 다르파 • 유럽입자물리연구소(CERN)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 이민정 기자, 〈방통위, 해외 불법사이트 접속 전면 차단…감청·검열 논란〉, 《중앙일보》, 2019-02-12

[2] 문가용 기자, 〈웹 세션 보호하는 HTTPS 기술과 자물쇠 아이콘, 공격자들도 활용〉, 《보안뉴스》, 2019-06-12

[3] 티타임즈, 〈"http와 https는 뭐가 다르죠?" 유해사이트 차단논란 정리〉, 《네이버 포스트》, 2019-02-15

[4] PETER ECKERSLEY, 〈Launching in 2015: A Certificate Authority to Encrypt the Entire Web〉, 《EFF》, 2014-11-18

[5] 길민권 기자, 〈2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑〉, 《데일리시큐》, 2019-07-16

[6] 김평화 기자, 〈'https' 사이트 접속차단 논란, "'불법'에 국민동의 필요"〉, 《머니투데이》, 2019-06-07

[1]

[2]

[3]

[4]

[5]

[6]

@@ 34번째 줄: / 34번째 줄: @@
 Let 's Encrypt는 2016년 4월에 시작되어 웹 사이트에 기본 SSL / TLS 인증서를 제공하는 무료 자동 서비스를 제공한다. 전자 프런티어 재단(Electronic Frontier Foundation)에 따르면 "Let 's Encrypt"는 하나의 명령을 실행하거나 버튼 하나만 클릭하는 것처럼 HTTP에서 HTTPS로 전환할 수 있다.<ref>PETER ECKERSLEY, 〈[https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web Launching in 2015: A Certificate Authority to Encrypt the Entire Web]〉, 《EFF》, 2014-11-18</ref> 대부분의 웹 호스트와 클라우드 공급자는 이제 Let 's Encrypt를 활용하여 고객에게 무료 인증서를 제공한다.
-== 문제점 및 대안 ==
+== 문제점 ==
 최근 2019년 HTTPS를 이용한 피싱 이메일 공격이 17%증가 하였고, URL 기반 공격이 26%상승 했다고 파이어아이에가 이메일 위협 보고서를 발표했다.

위키

이름공간

변수

보기

더 보기

검색