HTTPS 톺아보기

#네트워크/웹

이번에는 HTTPS 서버를 직접 띄워보고, 그 구조를 살펴보는 시간을 가져본다.

HTTPS는 기본적으로 HTTP의 보안 취약점을 보완하고자 생겨난 프로토콜인데,

이렇게 안전하다고 뜨면 HTTPS가 잘 적용된 것이다.

HTTP의 문제

HTTP는 정말 잘 동작했고, 웹 세계를 열어주는데 크나큰 역할을 해줬지만, 여러모로 단점도 많았다.
여기서 가장 큰 보안취약점 중 하나는 네트워크 패킷이 감청될 수 있다는 것이다. 그냥 데이터가 평문으로만 왔다갔다 하기 때문에 중간에서 패킷을 가로채면 바로 볼 수 있다...

"스니핑" 등으로 대표되는 보안 공격들이 이런 허술한 부분들을 노린 것이다.

TLS (SSL)

HTTPS는 기본적으로 HTTP 1.1 위에 TLS라는 레이어를 추가로 올린 형태로 동작한다.

https://velog.io/@moonyoung/HTTPS%EC%9D%98-%EC%9B%90%EB%A6%AC
TLS가 뭐냐 하면, 평문으로 보내지던 데이터를 암호화해서 보내주는 역할을 하는 것이다.

여기서 알아둬야 하는 부분은 Private Key하나로 암호화와 복호화를 전부 수행하는 게 아니라는 것이다.

공개키 알고리즘이라는 것을 사용하는데, 이건 암호화할때 사용되는 키와 복호화할때 사용되는 키가 다르다.

암호화할때 사용되는 키를 publicKey라고 해서 모두가 사용할 수 있게 공개하고, 복호화할때 사용되는 키를 privateKey라고 해서 해당 사이트의 주인만 갖고 있게 한다.
그래서 다음과 같은 과정을 거쳐 암호화된 패킷을 주고받을 수 있게 하는 것이다.

https://gaeko-security-hack.tistory.com/123
평문이 아니기 때문에 이걸 가로채더라도 공격자는 이걸 어떻게 써먹을 수가 없다.

CA와 인증서

TLS는 공개키를 통해서 누구나 암호화를 할 수 있다고 했었다.
그러면 공개키는 누가 들고있고 누가 주는걸까?

아무도 없이 이걸 해줄 수는 없으니 인증서 발급기관(Certificate Authority:CA)이 따로 필요하다.
보통은 돈주고 써야하는데, 요새 Cloudflare나 AWS 같은 메이저한 발급기관에서는 도메인을 사면 별도 비용없이 인증서까지 제공을 해준다.

믿을만한 인증서 발급기관은 다 정해져있으며, 브라우저마다 신뢰하는 인증서 발급기관이 조금씩 다를 수 있다.
그래서 좀 비싸더라도 대중적이고 믿을만한 발급처를 쓰는게 좋다. 안그러면 SSL 잘 붙여놓고도 브라우저에 위험하다고 뜰 수 있다.

예를 들어 디스코드 사이트에 접속해보면

이렇게 cloudflare를 통해서 TLS 인증을 하고 있는 것을 볼 수 있다.
저게 CA가 해주는 역할이다.

인증서 발급받기 (Cloudflare)

우선 인증서와 privatekey 쌍이 필요하다.
나는 cloudflare를 이미 쓰고 있기때문에, cloudflare로 해보겠다.

적당히 이렇게 발급받아서

파일로 저장해둔다.

그리고 cloudflare용 공용 인증서 체인을 또 파일로 저장해둔다.

이건 cloudflare 내에서만 유효한 전용 인증서라서, 브라우저에서는 받아주지 않는다.

HTTPS 적용해보기 (Express.js + Cloudflare)

저것들을 가져다가 HTTPS 서버를 만들어보자.

아래는 그에 대한 간단한 예시 코드다.

const Express = require('express');
const https = require('https'); 
const fs = require('fs');

var sslOptions = {
    ca: fs.readFileSync('chain'),
    key: fs.readFileSync('privatekey'),
    cert: fs.readFileSync('certificate'),
  };

const app = Express()
app.get('/', (req, res)=>{
    res.json('OK')
});

app.listen(80, ()=>{
    console.log('HTTP Server is running')
})

https.createServer(sslOptions, app, (req, res) => {})
    .listen(443, () => {
        console.log('HTTPS Server is running')
    });

기존 HTTP 서버는 HTTP 서버대로 띄우고, https 모듈을 이용해서 HTTPS 서버도 띄웠다.

그리고 cloudflare 도메인 관리에서 저 IP로 레코드를 추가하고, "프록싱" 모드로 해준다.

이 경우에는 프록싱 모드로 해줘야만 cloudflare 트래픽을 타서 인증서 체인을 제대로 처리할 수 있다.

저렇게 해서 들어가보면

잘 될 것이고

잘 될 것이다.

여기에서는 간단한 테스트를 위해서 express에 직접 붙였지만, 좋은 패턴은 아니다.
실제로는 로드밸런서 등에 붙여서 쓸 일이 더 많을 것이다.

참조
https://www.cryptomathic.com/news-events/blog/encryption-https-attack-on-authentication-in-remote-banking-services-a-russian-perspective
https://community.cloudflare.com/t/https-certificate-not-trusted/3610/11
https://devonperoutky.super.site/blog-posts/mediocre-engineers-guide-to-https