피드로 돌아가기
Dev.toSecurity
원문 읽기
TLS Handshake를 통한 Plain Text 데이터의 암호화 및 무결성 확보
HTTP vs HTTPS — What Actually Happens When You Visit a Website
AI 요약
Context
HTTP 기반 통신 시 모든 데이터가 Plain Text로 전송되는 구조적 취약점 노출. 중간자 공격(MITM)에 의한 패스워드 및 개인정보 탈취 위험이 존재하는 아키텍처적 한계 직면.
Technical Solution
- TLS(Transport Layer Security) 레이어 추가를 통한 HTTP 데이터 암호화 체계 구축
- Client Hello와 Server Hello 과정을 통한 지원 암호화 방식의 상호 합의
- CA(Certificate Authority) 인증서를 통한 서버 신원 검증 및 신뢰 체인 형성
- 대칭키 암호화 방식의 효율성을 위해 세션 키를 독립적으로 계산하는 Key Exchange 수행
- 전송 데이터 전체를 암호화하여 패킷 캡처 시에도 원문 판독이 불가능한 구조 설계
실천 포인트
- Let's Encrypt 등 자동화된 CA를 통한 SSL/TLS 인증서 적용 여부 확인 - Browser의 'Not Secure' 경고 및 SEO 순위 하락 방지를 위한 HTTPS 강제 전환 설정 - 서비스 성격에 맞는 인증서 갱신 주기 및 자동 갱신 파이프라인 구축 검토