http와 https의 차이

URL - http와 https의 차이

구글이나 네이버에서 검색을 하거나 웹사이트에 방문할 때 10년 전에는 인터넷 익스플로어를 사용하는 것이 일반적이였습니다. 그러나 구글이 계속해서 성장하며 웹브라우저인 크롬을 만든 이후에는 계속해서 크롬을 사용하고 있습니다. 지메일과도 연동이 쉽고 닥스와 같은 워드프로그램도 접근성이 좋으며 무엇보다 어느 컴퓨터에서 접속해도 북마크를 동일하게 사용할 수 있다는 장점이 계속해서 크롬에 머물게 하는 것 같습니다.

이런 크롬을 사용하고 있다보니 요새는 인터넷 주소를 볼 때 주소의 앞 부분인 http://www. 부분이 생략되고 naver.com 또는 google.com 등으로 심플하게 보여집니다. 그렇다 보니 http에 해당되는 웹사이트인지 https에 해당되는 웹사이트인지 언뜻 봐서는 알기 쉽지 않지만 해당 인터넷 주소를 한번 클릭하면 인터넷 주소가 선택되고 두번 클릭하면 앞부분까지 모두 확인 가능합니다.

 

네이버와 구글은 웹사이트의 정보가 보호되는 https를 사용하고 있습니다.

 

제가 운영했던 회사 Cor Media Design의 웹사이트는 http 상태에 있었습니다. (2022년 2월 26일 수정)
그러나 지금은 SSL을 설치하고 https 상태에 있는 것을 확인할 수 있습니다.
쇼핑몰이나 멤버쉽을 운영하고 있지 않더라도 최근에는 웹사이트의 신뢰도를 높이기 위해 SSL 설치가 필수적인 요소가 되었습니다. 또한 웹사이트 주소로 운영하는 비즈니스 이메일(예: info@cormda.ca) 을 사용하실 경우 이메일 정보를 보호를 위해서도 SSL을 설치해야 합니다. 

그렇다면 두 http와 https의 차이점은 무엇일까요?
먼저 http와 https가 무엇인지 살펴보겠습니다.

 

HTTP = Hyper Text Transfer Protocol

HTTP (Hyper Text Transfer Protocol)는 www(World WIde Web) 인터넷상에서 정보를 주고 받을 수 있는 프로토콜입니다. 프로토콜은 일종의 규약, 규칙으로 컴퓨터나 장비 사이에서 메세지를 주고 받는 양식과 규칙의 체계입니다. 모든 프로그램이 이 규칙에 맞추어 개발해서 서로 데이터를 교환할 수 있게 됩니다. 주로 웹페이지인 HTML(Hypertext Markup Language) 문서를 주고 받는데 사용되고 있습니다.

HTTP는 클라이언트와 서버 사이에 이루어지는 요청과 응답 프로토콜입니다. 예를 들어, 클라이언트인 웹브라우저가 HTTP를 통해 서버로 웹페이지(HTML)나 그림 정보를 요청하면, 서버는 이 요청에 응답하여 필요한 정보를 해당 사용자에게 전달하고 모니터와 같은 출력 장치를 통해 사용자에게 나타나게 됩니다.

HTTP를 통해 전달되는 자료는 http:// 로 시작하는 URL(인터넷 주소)로 조회할 수 있습니다.

 

HTTPS = Hyper Text Transfer Protocol over Secure Socket Layer

인터넷상의 통신 프로토콜인 HTTP의 보안이 강화된 버전입니다. HTTPS는 인증과 암호화를 위해 넷스케이프(Netscape Communications Corporation)가 개발했으며 전자상거래에서 많이 사용되고 있습니다.

HTTPS는 통신에서 일반 텍스트를 이용하는 대신에 SSL 이나 TLS 프로토콜을 통해 세션 데이터를 암호화해서 데이터의 보호를 보장하고 있습니다.  보호의 수준은 웹브라우저에서의 구현 정확도와 서버 소프트웨어, 지원하는 암호화 할고리즘에 따라 달라집니다.

HTTPS를 사용하는 웹페이지의 URL은 http:// 대신 https:// 로 시작합니다.

 

HTTP와 HTTPS의 차이점

HTTP의 보안 취약점을 해결하기 위한 프로토콜이 HTTPS 입니다. HTTPS 는 HTTP에  S(Secure Socket)을 추가한 것입니다. 기본 골격이나 사용 목적 등은 HTTP와 거의 동일하지만, 데이터를 주고 받는 과정에 '보안' 요소가 추가된다는 것이 가장 큰 차이점입니다.

 

HTTP, HTTPS 보안 서비스의 차이

 

반드시 HTTPS를 사용해야 할까요?

회원의 상세한 정보, 결제 정보까지 모두 노출될 위험이 있는 온라인 스토어의 경우에는 HTTPS가 반드시 필요합니다. 하지만 개인 웹사이트의 경우에는 홍보를 위해 많은 사람들에게 일부러 노출을 시키려고 하는 경우이기 때문에 반드시 HTTPS 가 필요하지는 않습니다. 실제로 HTTPS를 사용하기 위해서는 일반적으로 도메인 회사에서 SSL(secure sockets layer) Certificate을 구입해서 보안이 되는 웹사이트를 만듭니다. SSL을 구입할 때는 한번에 그치는 것이 아니라 매년 적지 않은 비용을 계속해서 내게 되므로 일반 홍보용 웹사이트는 굳이 SSL비용을 추가하시라고 권하고 싶지 않습니다. 다만 회원가입을 유도하거나 결제가 이루어 지는 웹사이트 등 중요한 정보들이 들어간다면 반드시 HTTPS를 사용하시길 바랍니다. 또한 HTTP를 이용하는 경우에는 해킹이나 공격에 취약하다는 단점이 있으므로 웹사이트 내용을 따로 저장을 잘 해두어서 문제가 발생했을 때 바로 업데이트 할 수 있는 준비가 필요합니다.

웹디자이너로 일하면서 온라인 스토어는 https로 이용하도록 진행해 드리고 고객의 요청이 특별히 있지 않는한 일반 웹사이트는 http로 세팅을 해드렸습니다. 그러나 앞으로 점점 https를 요구하는 웹환경이 늘어난다면 제공하는 서비스도 달라져야 한다고 생각합니다. SSL을 구입하는 추가 금액이 들어가더라도 웹사이트를 노출하기 위한 다양한 미디어에서 https를 요구한다면 더이상 추가적으로 들어가는 금액이 아니라 웹사이트 제작시에 필수적인 지출이 될 것 같습니다.

* 2024년 업데이트
SSL 인증서 설치는 웹사이트 사용에서 꼭 필요하게 되었습니다. 2024년 1월 SSL 인증서 설치 필요한 이유를 추가하여 작성하였습니다.

2024.01.21 - [기술] - SSL 인증서 필요한 이유

 

HTTP를 HTTPS로 변경하려면?

http를 https로 변경은 언제가 가능하며 도메인을 구입한 곳에서 보통 SSL을 구입할 수 있습니다.
구입한 보안인증서를 서버에 설치한 후 적용할 웹페이지에 소스들을 수정하여 적용시킵니다.
도메인을 처음 구입하는 경우에는 구입하는 과정에서 체크버튼으로 선택해서 도메인과 함께 주문할 수 있습니다.
다음은 각 다른 도메인 회사에서 SSL Certificate을 제공하는 정보들입니다. (화면 캡처일: 2020년 11월 27일)

 

gabia.com/ 가비아에서 제공하는 SSL 보안서버 정보와 가격

 

ca.godaddy.com/ 고대디에서 제공하는 SSL 보안서비스 종류와 가격 - 캐나다 달러 금액입니다.

 

canspace.ca/ 캔스페이스에서 제공하는 SSL 보안 서비스 종류와 금액

 

웹페이지에 인증서 소스 적용의 예

사이트의 해당 페이지에 https 프로토콜을 적용해야 합니다. 일반적으로 개인 정보를 입력하는 로그인, 회원 가입, 결제, 주문 등 보안이 필요한 곳에 인증서를 적용합니다.
[사용 예 : 로그인 페이지]
SSL로 암호화된 폼 전송을 하려면 아래와 같이 action URL의 'http' 대신 'https'를 쓰고, 도메인 명 뒤에 Port 번호를 넣어 줍니다.
<!--기존 : 일반 통신 http:// 을 이용한 폼 전송-->
<form name="login" method="post" action="http://www. yourdomain.com/login_ok.php">
<!--SSL적용 : 암호화 통신 https:// 을 이용한 폼 전송-->
<form name="login" method="post" action="https://www.yourdomain.com:512/login_ok.php">
고객님 인증서가 설치된 PORT

 

 

DV, OV, IV 및 EV 인증서의 차이점은 무엇일까요?

모든 X.509 인증서는 암호화, 인증 및 데이터들을 안전하게 보장하기 위해 유사한 방법을 사용하지만 보안하는 ID에 대해 포함하는 정보가 크게 다릅니다. 인증서를 분류하는 유용한 방법은 인증 기관 (CA)에서 인증서에 포함된 주체 정보의 유효성을 검사하는데 사용하는 방법입니다.

• DV (Domain Validation)는 가장 낮은 수준의 유효성 검사이며 인증서를 요청하는 사람이 보호하는 도메인을 제어하는지 확인합니다.
• OV (Organization Validation)는 인증서 신청자의 조직 (예 : 기업, 비영리 또는 정부 조직)의 신원을 확인합니다.
• IV (Individual Validation)는 인증서를 요청하는 개인의 신원을 확인합니다.
• Extended Validation (EV)는 OV와 마찬가지로 조직의 신원을 확인합니다.OV보다 더 높은 신뢰 표준을 나타내며 CA/Browser Forum의 Extend 표준을 충족하려면 보다 엄격한 유효성 검사가 필요합니다.