HTTP

1. HTTP(HyperText Transfer Protocol)

1) 개념

웹 상에서 클라이언트와 서버 간에 요청/응답으로 자원을 주고받을 때 쓰는 프로토콜이다. 클라이언트인 웹브라우저와 서버는 주로 웹 페이지(HTML)인 텍스트 교환을 하는데, 누군가 네트워크에서 신호를 중간에 가로챈다면 내용이 노출되는 보안 이슈가 존재한다.

• 평문 통신이기 때문에 도청이 가능하다.
• 통신 상대를 확인하지 않기 때문에 위장이 가능하다.
• 완전성을 증명할 수 없기 때문에 변조가 가능하다.
• 80번 포트를 사용한다.

 

2) 특징

• 비연결형(Connectionless): 하나의 세션 안에서 클라이언트와 서버가 Request와 Response을 수행하면 세션이 끊어진다.
• 무상태성(Stateless): 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보는 유지하지 않는다.

 

2. HTTPS(HTTP Secure)

1) 개념

웹 통신 프로토콜인 HTTP에서 보안이 강화된 프로토콜이다. 소켓 통신에서 일반 텍스트를 이용하는 대신에 웹 상에서 정보를 암호화하는 SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화한다.

• 네트워크 상에서 열람, 수정이 불가능하므로 안전하다.
• 그러나 암호화하는 과정이 웹 서버에 부하를 주고 추가 비용이 발생한다.
• 442번 포트를 사용한다.

 

HTTP와 HTTPS

 

2) SSL(Secure Sockets Layer)

• 클라이언트가 서버에 접속한 후 서버는 클라이언트에게 SSL 인증서를 전달하고 클라이언트는 SSL 인증서를 보고 신뢰할 수 있는 사람인지 확인 후 데이터를 보내는 등의 절차를 수행한다.
• 전달되는 내용이 다른 사람에게 노출되는 것을 막을 수 있고 클라이언트가 접속하려는 서버가 신뢰할 수 있는 서버인지 알 수 있다.
• 대칭키 암호화와 공캐키 암호화 방식을 혼합한 암호 시스템을 사용한다. 대칭키를 공개키 암호화 방식으로 교환한 다음에 이후의 통신은 대칭키 암호화 방식을 사용한다.

 

SSL 통신 과정

1. 클라이언트가 서버에 접속하며 랜덤 데이터(Client hello)와 가능한 암호화 방식을 전송한다.
2. 서버가 Client hello에 대한 응답으로 인증서(with 공개키), 랜덤 데이터(Server hello), 암호화 방식을 전송한다.
3. 클라이언트의 브라우저에서 서버가 건네준 인증서가 CA에서 발급된 건지를 확인하고 공개키로 인증서를 복호화한다. 그리고 클라이언트와 서버의 랜덤 데이터를 조합하여 Pre Master Secret 키를 생성한다.
4. 클라이언트는 공개키를 이용하여 Pre Master Secret 키를 암호화하고 서버로 전송한다.
5. 서버는 Pre Master Secret 값을 자신의 비밀키로 복호화한다.
6. Pre Master Secret 값을 일련의 과정을 거쳐 Master Secret 값으로 만들고 이 값을 이용하여 Session Key를 만든다.
7. Session Key를 이용하여 서버와 클라이언트는 대칭키 방식으로 암호화 통신을 한다.

 

3) TLS(Transport Layer Security)

암호 프로토콜로 SSL 프로토콜에서 발전했다. 클라이언트/서버 응용 프로그램이 네트워크로 통신을 하는 과정에서 도청, 간섭, 위조를 방지하기 위해서 설계되었다.

 

3. HTTP의 Keep Alive

1) 개념

HTTP는 비연결형(Connectionless) 방식으로 연결을 매번 끊고 새로 생성하는 구조인데, 이는 Network 측면에서 최초 연결을 하기 위해 많은 비용을 소비한다. HTTP/1.1부터는 이미 연결되어 있는 TCP 연결을 재사용하는 Keep Alive라는 기능을 Default로 지원해서 TCP Handshake 과정이 생략되므로 성능이 향상될 수 있다.

 

연속적으로 생성되는 커넥션들과 지속 커넥션

 

• Keep Alive의 유지 시간은 연결된 Socket에 I/O Access가 마지막 종료된 시점부터 정의된 시간(Timeout)까지 세션을 유지하는 구조이다. 즉, 정의된 시간 내에 Access가 이루어진다면 계속 연결된 상태를 유지한다.
  • 서버와 연결을 할 수 있는 Socket은 한정적이기 때문에 접속을 계속 유지하는 것은 서버에 손실을 발생시킨다.
• 바쁜 서버 환경에서 Keep Alive 기능을 사용할 경우 모든 요청마다 연결을 유지해야 하기 때문에 프로세스 수가 기하급수적으로 늘어난다. 즉, 대량 접속 시 성능이 저하되고 효율이 떨어진다.

 

 

2) HTTP/1.1의 지속 커넥션

HTTP/1.0와 달리 HTTP/1.1의 지속 커넥션은 Default로 활성화되어 있다. 그래서 HTTP/1.1에서는 별도 설정을 하지 않는 한 모든 커넥션을 지속 커넥션으로 취급한다.

• HTTP/1.1 애플리케이션은 트랜잭션이 끝난 다음 커넥션을 끊으려면 Connection : close 헤더를 명시해야 한다. 만약 HTTP/1.1 클라이언트는 응답에 Connection : close 헤더가 없다면, 응답 후에도 HTTP/1.1 커넥션을 계속 유지하자는 것으로 생각한다.
• Connection : close 헤더를 보내지 않고 커넥션은 언제든지 끊길 수 있다. 그래서 하나의 사용자 클라이언트는 서버의 과부하를 방지하기 위해 넉넉잡아 2개의 지속 커넥션을 유지해야 한다.

 

4. HTTP2

HTTP1.1은 현재까지도 활발하게 쓰이는 HTTP 프로토콜 버전이지만 대부분의 웹 서버와 클라이언트가 HTTP 2.0으로 넘어오고 있다.

 

HTTP2의 특징은 전체 요청을 통해 지연시간을 줄이고 응답 다중화를 지원하며, 프로토콜 오버헤드를 최소화하고, 요청 우선순위 지정을 추가하며, 서버 푸시를 지원하는 것에 있다. 전송방식을 텍스트 방식을 바이너리 형식으로 바뀌어 양방향 전송이 가능해졌다.