HTTP 및 HTTPS
HTTPS 웹 서버와 안전하게 통신하기 위해 브라우저가 사용하는 네트워크 프로토콜입니다. HTTPS는 Hyper Text Transfer Protocol 또는 HTTP라는 훨씬 오래된 프로토콜에 대한 안전한 대안입니다. HTTPS는 모든 교환 된 웹 (또는 HTTP) 데이터가 암호화 프로토콜 (암호화 프로토콜)을 통해 암호화되어야하기 때문에 사용자를 보호 할 수 있습니다. TLS (HTTPS는 말 그대로 * HTTP *입니다. *TLS,
비밀 키를 사용하여 웹 데이터 암호화 TLS 공격자가 전송중인 원본 콘텐츠를 읽거나 변경하지 못하게하여 사용자 보안을 향상시킵니다. 이러한 네트워크 공격은 MITM (Man-in-the-Middle) 공격. 연구원들은 MITM 공격자들이 본질적으로 사용자가 모르는 사이에 HTTP 트래픽을 읽거나 수정할 수 있음을 반복적으로 입증했습니다.
추가 된 보안 기능으로 HTTPS는 중요한 데이터를 처리하는 웹 응용 프로그램에 이상적이며 대부분의 서버 (예 : 은행 또는 전자 메일 서버)는 이미 업그레이드되었습니다. 불행하게도 대역폭 증가, 레거시 문제 등과 같은 다양한 운영 제한으로 인해 모든 웹 서버가 지원하지는 않습니다. 잠재적 인 위험이 있으므로 우려되는 사용자는 안전하지 않은 연결을 통해 탐색하는지 여부를 알아야합니다.
보안 지표 입력
브라우저는 주소 표시 줄에 표시되는 그래픽 형식 (예 :이 기사의 URL 앞에있는 잠금 아이콘)으로 웹 연결의 보안 상태를 사용자에게 알려줍니다. 이들 보안 지표 둘 중 하나 일 수 있습니다 부정 사용자에게 잠재적 인 위험에 대해 경고하거나 긍정적인, 연결을 확실히하기 위해 연결이 안전합니다.
보안 표시기는 웹 연결의 두 가지 측면을 전달하는 데 사용됩니다. 연결 보안 그리고 정품 원격 웹 서버의
암호화를 통한 연결 보안
표시기는 다음을 구별하여 연결 보안에 대해 알려줍니다. 암호화, 암호화되지 않은 과 혼합 된 내용 사이. 암호화 및 암호화되지 않은 사이트는 컨텐츠를 모두 보호하거나 보호하지 않습니다. 혼합 컨텐츠는 암호화되지 않은 채널을 통해 그렇지 않으면 암호화 된 웹 사이트의 일부 구성 요소를 검색 함을 의미합니다.
페이지의 내용을 수정할 수있는 구성 요소 (예 : 스크립트 또는 벡터)를 호출합니다 활성 컨텐츠. 고정 이미지 (정적 이미지 또는 글꼴 등)가있는 구성 요소를 수동 콘텐츠.
완전히 암호화 된 웹 연결은 안전한 것으로 들리지만 이것이 웹 사이트를 탐색하는 것이 안전하다는 의미는 아닙니다.
서버 인증 및 디지털 인증서
공격자는 암호화 된 연결을 통해서도 웹 사이트의 내용을 복사하고 자신의 악성 서버로 네트워크 트래픽을 리디렉션 할 수 있습니다. 그들의 서버는 다른 알려진 것만 제시하면됩니다. TLS 원래 비밀 대신 키. 연결의 적법성을 의심 할 이유가 없다면, 의심하지 않는 사용자는 로그인하거나 다른 민감한 정보를 공개하도록 설득 할 수 있습니다.
이에 대한 응답으로 브라우저는 합법적 인 웹 서버 소유자의 자격 증명을 각 서버가 제공하는 고유 한 암호화 키와 연관시켜 서버를 인증합니다. 이렇게하면 브라우저가이 자격 증명 확인을 제 XNUMX 자에게 위임합니다. 인증 기관 (CA에). 주요 브라우저는 루트 프로그램을 유지 관리하여 자체 CA 신뢰를 관리합니다. 브라우저는 신뢰할 수있는 엄격한 표준 및 감사 요구 사항을 준수해야합니다.
SSL.com과 같은 신뢰할 수있는 CA에서 인증서를 요청하는 웹 서버 소유자는 유효한 공개 키를 제시하고 도메인 이름과 해당 서버를 제어 함을 증명해야합니다. 이러한 확인에 성공하면 CA는 소유자에게 디지털 인증서를 발급하며, 소유자는이를 사용하여 사이트에 대한 연결을 암호화하고 인증합니다.
인증서는 서버를 소유 한 개인이나 조직에 대한 정보를 포함하는 디지털 ID입니다. CA는 왁스 씰과 유사한 무결성 메커니즘 인 디지털 서명을 사용하여 각 인증서에 암호화 방식으로 서명합니다. 공격자는 서명을 복제 할 수 없으며 콘텐츠를 수정하기 전에이를 무효화해야합니다. HTTPS를 사용하려면 웹 서버가 해당 서버의 유효한 인증서를 사용하여 브라우저에 연결해야합니다. 그런 다음 브라우저는 인증서를 확인합니다. 신뢰할 수있는 CA에서 서명 한 경우 연결이 진행될 수 있습니다. (서버가 다른 인증서, 해지되었거나 유효하지 않은 인증서를 제공하는 경우 브라우저는 연결을 종료하거나 허용하지 않고 향후 기사에서 자세히 살펴볼 오류 메시지를 사용하여 사용자에게 경고합니다).
검증 수준
모든 인증서가 동일한 수준의 보안을 제공하는 것은 아니며 보안 표시기는 다른 수준의 유효성 검사를 위해 발급 된 서로 다른 인증서 유형을 구분할 수 있습니다.
CA 문제 도메인 확인 (DV) DNS 도메인에 대한 제어 권한을 입증 한 고객에게 인증서를 제공합니다. 조직 인증 됨 (OV) 인증서는 도메인 제어뿐만 아니라 조직이 법인임을 인증하기 위해 심사됩니다. 드디어, 확장 검증 (EV) 인증서 (브라우저 표시 줄 자체에 회사 정보를 표시 할 수 있음)는 OV 및 DV뿐만 아니라 여러 독립적 인 확인 검사 (인간 접촉, 적격 한 데이터베이스 참조 및 후속 검토 포함)를 통과 한 고객을 위해 예약됩니다. 수준 단계.
지표 현황
인터넷 초창기에는 HTTP가 표준이었으며 HTTPS는 가장 보안이 강화 된 옵션으로 소개되었습니다. 결과적으로 대부분의 브라우저는 긍정적인 표시기, 즉 HTTPS 연결을 표시하는 잠금 및 해당 연결에 EV 인증서 사용 여부가 표시됩니다. 오늘날 보안 의식을보다 광범위하게 홍보하기 위해 Chrome 및 Firefox 및 Safari는 다음의 사용을 채택하기 시작했습니다. 부정 암호화되지 않거나 혼합 된 활성 컨텐츠 페이지가있는 페이지의 사용자에게 경고를 표시합니다. 다음 표는 브라우저의 일반적인 보안 표시기 상태에 대한 요약입니다. HTTP를 시작하면 (안전하지 않은) 목록을 따라 각 항목이 이전 항목보다 더 안전합니다.
(이미지를 클릭하면 확대됩니다)
향후 변경 및 향후 계획
Chrome의 사용 가능한 보안 팀은 신청 이 브라우저 동작을 변경합니다. 그들은 모든 브라우저가 부정적인 표시기를 가진 안전하지 않은 HTTP (또는 혼합 콘텐츠 HTTPS) 웹 사이트에 대해 사용자에게 적극적으로 경고하기 시작하고 HTTPS 웹 사이트에서 긍정적 인 보안 표시기를 모두 제거하려고 시도해야한다고 제안합니다.
그들은 연구에 근거하여 결정을 내렸다 2007에 게시, 긍정적 인 보안 지표는 더 심각하게 인식되는 부정적 지표와 달리 사용자가 무시한다고 말합니다. Chrome은 또한 원래 제안에서 "사용자는 웹이 기본적으로 안전하다고 기대해야하며 문제가있을 때 경고를받을 것"이라고 주장했습니다.
이 아이디어를 구독 한 2018 년 69 월부터 최신 Chrome 버전 (XNUMX 이상)은 모든 HTTP 웹 사이트에 '안전하지 않음'부정적인 표시를 표시하고 HTTPS에 대한 '보안'긍정적 인 표시를 표시하지 않습니다.
Mozilla의 Firefox (버전 58 이상부터)는 부정적인 보안 표시기를 채택한 다른 두 브라우저 중 하나이지만 활성 콘텐츠가 혼합 된 사이트에만 해당됩니다. 또한 공식 블로그 게시물, 그들은 Firefox의 UI 보안 표시기에 대한 향후 계획을 발표했습니다. "Firefox는 궁극적으로 HTTPS를 사용하지 않는 모든 페이지에 대한 잠금 아이콘을 표시하여 안전하지 않음을 분명히합니다."
Apple의 Safari (기술 릴리스 46+)는 향후 보안 지표에 대한 계획에 대해 공개적으로 발표하지 않았지만 액티브 콘텐츠가 혼합 된 웹 사이트에 대해 부정적인 지표를 사용하는 나머지 브라우저입니다.
Microsoft의 Edge 및 Opera 브라우저는 UI 보안 표시기에 대한 계획을 공개적으로 발표하지 않았습니다.
결론
인터넷에서 안전 영상을 안전하지 않은 HTTP 연결에 대한 활성 브라우저 경고는 일부 레거시 웹 서버 소유자가 사이트와 방문자의 보안에주의를 기울 이도록 큰 동기를 부여 할 수 있습니다. 또한 HTTPS 웹 사이트에서 "보안"표시기를 제거하는 것은 HTTPS를 예상 표준으로 만드는 단계입니다. 긍정적 지표를 완전히 제거하는 한 EV 지표와 같은 일부 지표는 일부 상황에서 여전히 vistors에게 중요한 보증을 제공 할 수 있습니다. 미래가 어떠하든, 글로벌 HTTPS 사용이 증가함에 따라 몇 가지 흥미로운 변화와 과제가있을 수 있습니다. 따라서 이러한 주제와 기타 보안 주제에 대한 향후 정보를 계속 확인하십시오.
언제나 그렇듯이 SSL.com에서이 단어를 읽어 주셔서 감사합니다. 안전 인터넷은 더 인터넷.
