HTTPS는 어떻게 안전합니까?

another post 에서 HTTP가 무엇인지 보았습니다. 이제 우리는 볼 것입니다
HTTPS 작동 방식.

HTTPS란 무엇입니까?

HTTPS는 하이퍼 텍스트 전송 프로토콜 보안을 의미합니다.

HTTPS가 필요한 이유는 무엇입니까?

데이터를 서버로 안전하게 전송하기 위해.

Alice에게 돈을 보낸다고 가정해 보겠습니다. 은행 웹 사이트의 양식에 Alice의 계좌 번호와 금액을 입력하고 제출 버튼을 클릭합니다. 하지만 만약 당신의 네트워크에 연결된 누군가가 당신의 요청을 가로채고 Alice의 계좌 번호를 자신의 계좌 번호로 변경한다면 어떻게 될까요?
은행 웹사이트에 HTTPS 프로토콜이 없으면 돈을 잃게 됩니다.

이러한 유형의 공격을 중개자 공격이라고 합니다. 이러한 유형의 공격을 방지하려면 데이터를 암호화하여 서버로 보내야 합니다. 그런 다음 서버는 데이터를 해독한 다음 사용합니다.
데이터의 이 암호화, 암호 해독 및 보호 무결성은 HTTPS에서 처리됩니다.

HTTPS는 데이터를 어떻게 보호합니까?

HTTPS는 TLS(전송 계층 보안) 프로토콜을 사용하여 데이터를 서버에 안전하게 보냅니다.

Factoid: Transport Layer Security is the successor protocol to SSL (Secure Sockets Layer).
SSL is now obsolete and TLS is the new name for SSL protocol. Almost all websites that use
HTTPS uses TLS but everyone knows/says it is SSL.

처음에 브라우저는 브라우저가 지원하는 TLS 버전, 암호화 알고리즘 및 "클라이언트 임의"라는 비밀 메시지가 포함된 핸드셰이크 메시지를 서버에 보냅니다.

핸드셰이크 서버를 수신하면 디지털 인증서 및 "서버 랜덤"이라는 임의의 비밀과 함께 승인을 다시 보냅니다. 이 디지털 인증서에는 서버로 전송되는 메시지를 암호화하는 데 사용할 수 있는 공개 키가 포함되어 있습니다.

클라이언트가 공개 키가 포함된 디지털 인증서를 받으면 디지털 인증서의 공개 키를 사용하여 암호화된 비밀 키(premaster_secret)를 보냅니다. 그런 다음 서버는 개인 키를 사용하여 메시지를 해독하고 비밀을 검색합니다. 이 클라이언트 랜덤, 서버 랜덤 및 premaster_secret을 사용하여 서버와 클라이언트 모두 마스터 시크릿이라는 시크릿을 생성할 수 있습니다. 이것으로 Handshake가 완료되었습니다. 이제 안전한 비밀 키가 있습니다.

이제 서버로 전송되는 양식 데이터는 마스터 키를 사용하여 암호화됩니다. 이 마스터 키는 브라우저와 서버에만 알려져 있습니다. 따라서 중개자는 비밀 없이 데이터를 해독할 수 없습니다.