HTTPS
Hypertext Transfer Protocol Secure.
— 국제 IETF 표준 명세서 RFC 2818에서 규정하는, 전통 HTTP 트래픽을 SSL/TLS 암호화 레이어로 감싸 전송 전면 기밀성을 확보하는 표준 설계 명세
주소창 왼쪽에 영롱하게 박힌 '초록색 안전 자물쇠' 마크 하나만으로 전 세계 결제 쇼핑 유저들의 마음을 안심시키는 자비로운 자물쇠. 하지만 개발용 로컬 호스트 가상 서버에 가짜 인증서 올렸다가 크롬 브라우저로부터 '주의 요함! 이 사이트는 안전하지 않습니다'라는 시뻘건 경고 경보 폭격을 맞게 만드는 주범(...)
1. 개요
보안 기능이 추가된 하이퍼텍스트 전송 프로토콜(Hypertext Transfer Protocol Secure)의 약자로, 평문 텍스트를 흘려보내 해커들이 중간에서 패킷을 엿듣고 변조할 수 있던 구형 HTTP의 통치 선로 위에, 암호학(cryptography)의 SSL/TLS 가상 보호막 터널을 씌워 데이터 전송 기밀성과 서버 무결성을 완벽하게 보장하는 웹 통신의 구세주 표준 규격이다.
2. 엿듣기 원천 방어: 대칭키와 비대칭키의 아름다운 악수(Handshake)
구형 HTTP는 카페 공용 와이파이 망에서 사악한 해커가 패킷 감청 툴(Wireshark 등)을 켜고 대기 타면, 유저가 입력해 보낸 사내 비밀번호와 카드 정보가 날것의 문자 그대로 노출되는 취약점을 안고 있었다. HTTPS는 이 경로를 암호화하기 위해 전설적인 SSL/TLS Handshake 통신 악수를 개시한다. 처음 교신할 때는 무겁지만 안전한 비대칭키(공개키/개인키) 공식을 동원해 서버가 진짜 신뢰할 수 있는 정품 가게가 맞는지 인증서 도장을 현미경 검증 수리하고, 검증이 끝나면 실제 전송 속도가 빠른 대칭키(비밀키)를 암호학적으로 안전하게 나눠 갖고 터널을 개설한다. 그 뒤로 오고 가는 모든 데이터 패킷은 해커가 중간에 가로채 뜯어봐도 의미 없는 외계어 암호문 텍스트 덩어리로만 보일 뿐이다.(...)
3. 관련 밈 및 드립
3.1. 구글 크롬의 HTTPS 강제 독재 저주
구글(google) 크롬 브라우저는 웹 생태계 보안을 높이겠다는 대의명분 하에, 주소창에 HTTPS가 적용되지 않은 구형 HTTP 사이트 주소를 타격해 들어가면 화면 가득 '공격자가 사용자의 정보를 도용할 수 있습니다'라는 시뻘건 핵폭탄급 경고창을 띄워 유입 사용자를 99% 쫓아내 폭사 시키는 삼엄한 강제 보안 독재를 실시하고 있다. 이 때문에 스타트업들은 단순 홍보용 1페이지 사이트를 론칭하더라도 무조건 돈을 내거나 갱신 봇을 깔아 HTTPS 자물쇠를 강제로 박아야만 하는 웃픈 숙명을 안게 되었다.
4. 여담
- 포트 번호의 이사 443: 평범한 구형 HTTP는 컴퓨터 네트워크 80번 통로 포트(port) 구멍으로 패킷을 흘려보내는 반면, 보안 자물쇠가 장착된 HTTPS는 오직 전용 통로인 443번 포트 구멍만을 사용해 통신한다. 이 때문에 방화벽 엔지니어들은 서버 세팅 시 443번 구멍을 필수로 뚫어두어야 한다.
- 무료 인증의 아버지, Let's Encrypt: 고대 HTTPS 인증서를 발급받으려면 대형 보안 인증 기업(Symantec 등)에 매년 수십 수백만 원의 무지막지한 수수료 임대 비용을 지불해야 해 중소기업들은 HTTPS 도입을 꺼렸다. 이에 빡친 비영리 재단들이 모여 전 세계 누구나 3초 만에 무상으로 유효한 진짜 보안 인증서를 무한 발급받을 수 있는 Let's Encrypt(렛츠 인크립트) 가상 발급망을 창조해 내 웹 암호화 보급률을 100% 가깝게 비약적으로 폭발시켰다.
- SEO 가산점 축복: 구글의 검색 노출 순위 알고리즘은 HTTPS 자물쇠가 달린 사이트를 기본 신뢰도가 높은 정품 사이트로 우대하여 검색 상단 노출 점수 가산점을 듬뿍 얹어주는 상벌 정책을 실시하고 있어, 마케팅 부서에서도 개발팀에게 HTTPS 이식을 제발 달아달라고 애원하고 있다.