HTTP vs HTTPS — SSL/TLS 정리
HTTPS의 암호화 계층, SSL과 TLS의 역사와 차이를 한눈에 정리
HTTP vs HTTPS
| HTTP | HTTPS | |
|---|---|---|
| 암호화 | 없음 (평문 전송) | 있음 (TLS 계층 추가) |
| 포트 | 80 | 443 |
| 보안 | 도청·변조 위험 | 기밀성·무결성 보장 |
암호화 계층의 역사
SSL (Secure Sockets Layer)
Netscape가 1990년대에 개발한 최초의 암호화 통신 프로토콜.
| 버전 | 연도 | 현재 상태 | 비고 |
|---|---|---|---|
| SSL 1.0 | - | - | 공개되지 않음 |
| SSL 2.0 | 1995 | 사용 금지 | 구조적 결함, TLS에서 협상 금지 (RFC 6176) |
| SSL 3.0 | 1996 | 사용 금지 | POODLE 공격(2014)으로 폐기 (RFC 7568) |
TLS (Transport Layer Security)
SSL의 후속 표준. IETF가 관리. 현재 유일하게 사용되는 프로토콜.
| 버전 | 연도 | RFC | 현재 상태 | 핵심 변경점 |
|---|---|---|---|---|
| TLS 1.0 | 1999 | RFC 2246 | 2021년 폐기 | SSL 3.0 표준화. BEAST 공격(2011)으로 퇴출 |
| TLS 1.1 | 2006 | RFC 4346 | 2021년 폐기 | CBC에 명시적 IV 도입. RFC 8996으로 폐기 |
| TLS 1.2 | 2008 | RFC 5246 | 현역 (1.3 권장) | AEAD(AES-GCM) 등 현대 암호 도입 |
| TLS 1.3 | 2018 | RFC 8446 | 최신 권장 | 핸드셰이크 간소화(1-RTT), RSA 키교환·CBC 제거 |
타임라인 요약
2021년 RFC 8996으로 TLS 1.0 / 1.1이 공식 폐기됨
핵심 정리
- SSL은 사라진 옛 프로토콜 — SSL 2.0/3.0 모두 사용 금지
- TLS만 현재 유효 — 그중에서도 TLS 1.2 / TLS 1.3만 써야 함
- “SSL 인증서”는 관행적 명칭 — 실제로는 TLS 인증서가 맞는 말
TLS 1.3의 주요 개선점
- 핸드셰이크가 1-RTT로 단순화 → 연결 속도 향상
- Forward Secrecy(FS)가 기본 적용
- 취약한 암호 방식 제거: RSA 키교환, CBC 모드, RC4
- 0-RTT 재개 지원 (단, 재생 공격 주의)
