HTTPS 개요 및 TLS 핸드셰이크 프로토콜

Source

• Evernote/Inbox/HTTPS에 대해 알아야 할 것들 Mimul Tech log.md

Summary

본 문서는 HTTPS의 현황(Let’s Encrypt 등 인증서 통계, 브라우저 보안 정책 강화)과 도입 필요성(인증, 무결성, 기밀성, 신기술 지원, SEO)을 설명한다. HTTP와 HTTPS의 차이점(TCP 이후 TLS 핸드셰이크 수행)을 비교하고, TLS 핸드셰이크의 4단계(매개변수 교환, 서버 인증, 키 교환, 암호화 통신 시작)를 상세히 기술한다. 또한 TLS 세션 재연결(Session Resumption) 기능에 대해 언급한다.

Key Points

• HTTPS는 HTTP over TLS로, TCP 핸드셰이크 후 TLS 핸드셰이크를 통해 암호화 통신을 시작한다.
• 도입 이유는 Identity(인증), Integrity(무결성), Confidentiality(기밀성) 보장 및 HTTP/2, WebRTC 등 최신 API 사용 권한 획득이다.
• TLS 핸드셰이크는 1) 매개변수 교환(ClientHello/ServerHello), 2) 서버 인증(Certificate 검증 및 서명 확인), 3) 키 교환(공유키 도출), 4) 암호화 통신 시작 알림(ChangeCipherSpec/Finished)으로 구성된다.
• TLS Session Resumption은 기존 세션 정보를 캐싱하여 재연결 시 전체 핸드셰이크 없이 세션을 복구하는 기능이다.
• 최근 브라우저(HTTP 경고 표시, HTTPS 필수 API)와 검색엔진(SEO 우대)은 HTTPS 적용을 강력히 권장한다.

Related

• HTTP 프로토콜 핵심 개념: 연결, 인증 및 캐싱 (Part 2)

• HTTP 프로토콜 기초 (Part 1)

• SSL 의 6 가지 주요 보안 약점 (2014 년 기준)

• IETF 94 HTTPBIS WG 회의 요약

• IETF 85 HTTPBIS 회의 요약 (1 차)

• TLS Forward Secrecy Deployments

• HTTPS 관련 7가지 오해 (HttpWatch Blog)

• HTTP 클라이언트 라이브러리의 리다이렉트 지원 방식 제안

• MQTT 프로토콜 개요 및 IoT 애플리케이션 구축

• IETF 미러 포럼: CoAP 및 IoT 프로토콜 논의

• 비트토런트 챗 (BitTorrent Chat) 개요

• S-links: 분산 보안 정책과 안전한 소개(Secure Introduction)

• W3C 웹 및 브로드캐스팅 제3차 대면 회의 개요

• MQTT 프로토콜 표준화 및 IoT 활성화

• IETF T2TRG (Things-to-Things Research Group) 개요 및 활동

• 실시간 데이터 스트리밍 기술 개요

• 2.0 초안 논의)

• WebRTC 보안 아키텍처와 호환되지 않는 신원 프로토콜의 적응 방안

• GeoJSON 개요 및 IETF 표준화 현황

• 웹 단일 로그인(SSO) 사용자 인식 및 수용 모델 연구

• Kurento WebRTC PaaS의 인증, 인가 및 회계 보안 모델 분석

• 웹 기반 실시간 통신 보안 (WebRTC)

• WebRTC 인프라: STUN, TURN 및 시그널링

• WebRTC 서비스의 사용자 신원 및 신뢰 문제

• NIST SP 800-63 디지털 신원 가이드라인 (2017)

• WebRTC DataChannel 구현, API 변경 및 크롬-파이어폭스 상호운용성

• WebRTC 브라우저 간 보안 보장

• 브라우저 간 P2P 연결 (WebRTC)

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• Cube Slam: WebRTC 기반 실시간 브라우저 게임

• WebRTC의 대중화와 주요 적용 분야 (2015)

• FireChat: 인터넷 없이 작동하는 P2P 채팅 앱

• 안드로이드 크롬의 WebRTC 지원 (2013)

• WebRTC의 패킷 손실 처리 메커니즘

• 3가 UDP(QUIC)를 선택한 이유

• 스카이프, 웹 기반 통화 시장에 진출 (2013)

• Libplanet 0.2 릴리스 주요 변경 사항

• BitTorrent, 분산형 채팅 클라이언트 ‘BitTorrent Chat’ 공개

• 후지쯔, UDP 기반 고속 전송 프로토콜 개발

• 3: TCP 대신 UDP(QUIC)를 사용하여 네트워크 성능 및 신뢰성 향상

• WebKit의 웹표준 구현 현황 (2011)

• Adobe Primetime 플랫폼 업데이트 및 터너 브로드캐스팅 계약

• 3가 UDP(QUIC)를 선택한 이유

• BitTorrent Bleep: P2P 암호화 메신저

• Firefox 35: Hello 비디오 채팅 개선 및 데스크톱 Marketplace 베타 출시

• RFC 7413: TCP Fast Open (TFO)

• Firefox OS 한국어 지원 현황 및 로드맵 (2013)

• AirDisk: 무선 파일 공유 앱

• Google+ Hangouts 기술 아키텍처 및 전망

• uIP (micro IP)

• 3: UDP 기반 전송 프로토콜의 등장 배경

• 웹 서비스의 테스트 기반 보안 인증 체계

• CoAP(Constrained Application Protocol) 표준화 동향

• 웹 개발자를 위한 가상 현실(VR) 가이드 (Smashing Magazine)

• Simple.TV 2세대 스트리밍 DVR 및 Version 2.0 인터페이스 공개

• Chrome Beta: 숨겨진 자동 재생 오디오 탭 식별 기능

• W3C 웹 결제 표준 개발 그룹 결성

• 만화로 보는 DNS over HTTPS (DoH) 소개

• Web Directions Code: REST에 대해 모든 개발자가 알아야 할 사항

• IETF 94 ICNRG 회의 요약

• Samba 개발 과정: 프로토콜 역공학 기법

• IETF 85 PPSP WG 회의 요약 (D1S1)

• IETF 94 NFVRG 회의 요약

• IETF 85 ECRIT WG 회의 요약

• IETF 94 WebPush WG 회의 요약

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• MPLS(Multiprotocol Label Switching) 개요

• IETF 85 RTCWEB WG 회의 요약 (2차)

• IETF 94 RTCWEB WG 회의 요약 (JSEP 초안 논의)

• IETF 85 ICNRG 회의 요약: ICN의 공정성 및 아키텍처 논의

• IETF 85 회의 - CORE WG 논의 사항

• Web Speech API 소개 및 구현 가이드

• MQTT V3.1 프로토콜 사양 (IBM)

• IETF 94 참석 및 작업 정리 계획

• S2S 논문 전개 개요

• 2012년 1,2월 브라우저 기술 동향

• Chromecast 의 설계상 보안 한계

• Mobile Backend Starter (MBS) 개요

• 분산 웹 UI 및 모바일 클라우드 컴퓨팅 연구 개요

• IETF 85 CoRE WG 회의 요약

• 한국데이터사이언스학회 창립기념 심포지엄 개요

• Play Framework 개요

• Developers don’t understand CORS

• PyTorch를 이용한 딥러닝 모델의 분산 학습 개요

• 타다(Tada) 시스템 아키텍처 개요

• IETF 94 CoRE WG 회의 요약

• ECMAScript 6 Generator 개요 및 Node.js 활용

• JavaScript 성능 향상을 위한 Thread-level Speculation (TLS)