2017년경까지 인터넷에 있는 대다수의 웹사이트 는 웹사이트의 데이터를 방문자의 웹 브라우저로 전송하기 위해 엄격하게 HTTP (하이퍼텍스트 전송 프로토콜)를 사용했습니다.(HTTP)
그때까지 대부분의 브라우저는 보안 HTTP 콘텐츠를 완전히 수신할 수 있었지만 (HTTP)HTTPS 를 사용하여 웹사이트를 설정하는 데 귀찮은 사이트 소유자는 거의 없었습니다 .
HTTPS 란 무엇입니까 ? 하이퍼텍스트 전송 프로토콜 보안을 의미합니다. 그리고 오늘날 이 보안 버전의 HTTP 는 인터넷에 있는 대부분의 웹사이트가 콘텐츠를 브라우저로 전송하는 방식입니다.
HTTPS란 무엇입니까?
웹사이트 에서 HTTPS 를 사용하면 해당 웹사이트와 브라우저 간에 전송되는 모든 데이터가 암호화됩니다.
HTTPS 이전 에는 해커가 웹 호스트와 사용자 브라우저 간의 전송을 쉽게 가로채서 전송 중인 콘텐츠를 읽을 수 있었습니다. 콘텐츠가 HTML(HTML) 또는 일반 텍스트 로 전송되었기 때문 입니다. 많은 경우 에 이러한 전송에서 ID(IDs) 와 암호도 쉽게 추출할 수 있었습니다.
HTTPS 가 다른 이유는 무엇입니까 ? HTTPS 는 이전에 (HTTPS)SSL ( Secure Socket Layer )로 알려졌던 TLS ( 전송 계층 보안(Transport Layer Security) ) 라는 것을 사용합니다 .
TLS는 두 개의 보안 "키"를 사용하여 웹 호스트와 브라우저 간에 이동하는 데이터를 완전히 암호화합니다.
- 개인 키(Private key) : 원본 웹 서버에 저장된 키입니다. 공개적으로 액세스할 수 없으므로 실제 웹 서버에 저장된 이 개인 키만 전송을 해독할 수 있습니다.
- 공개 키(Public key) : 공개 키는 웹 사이트를 보유하고 있는 웹 서버와 통신하려는 모든 브라우저에서 사용합니다.
HTTPS 통신 작동 방식
통신 프로세스는 다음과 같이 작동합니다.
- 사용자가 브라우저를 열고 웹 페이지에 연결합니다.
- 웹사이트는 사용자의 브라우저 에 공개 키가 포함 된 SSL 인증서를 보냅니다. (SSL)브라우저는 사이트와의 초기 연결을 열기 위해 이 공개 키가 필요합니다.
- 이것은 클라이언트(브라우저)와 서버(웹사이트)가 암호 사용에 "동의"하고 사이트의 SSL 디지털 서명을 확인하고 현재 세션에 대한 새 세션 키를 생성 하는 " TLS 핸드셰이크"를 시작합니다.(TLS)
이 "세션"이 설정되면 브라우저와 웹 서버 사이의 어느 누구도 전송 중인 정보나 데이터를 쉽게 식별할 수 없습니다.
이는 브라우저로 전송되는 HTML 을 포함하여 모든 것이 암호화되기 때문입니다(본질적으로 의미 없는 텍스트와 기호로 뒤섞임). 웹 사이트와 초기 연결을 설정한 브라우저만 정보를 해독할 수 있으며 그 반대의 경우도 마찬가지입니다. 웹사이트만이 아이디(IDs) , 비밀번호 등 의 정보를 수신 하고 이를 해독하여 사용할 수 있습니다.
따라서 사이트가 안전하다는 것을 확인할 때마다 브라우저와 원격 사이트 간의 통신이 비공개이며 눈에 띄지 않게 안전하다는 확신을 가질 수 있습니다.
사이트에서 HTTPS를 사용하는지 확인하는 방법
2017년부터 Google 은 웹사이트 소유자에게 (Google)SSL 인증서를 웹 사이트에 통합하도록 압력을 가 했습니다. 그들은 HTTPS(HTTPS) 를 사용하지 않는 사이트를 방문할 때마다 사용자에게 " 안전(Secure) 하지 않음" 경고를 표시하는 최신 버전의 Chrome 에 새로운 기능을 통합하여 이를 수행 했습니다 .
최신 버전의 Chrome 브라우저를 실행 중이고 (Chrome)HTTPS 를 사용하는 보안 사이트를 방문 하면 URL 왼쪽에 작은 자물쇠 아이콘이 표시 됩니다.
얼마 지나지 않아 Firefox , Safari 등을 포함한 다른 브라우저가 그 뒤를 이었습니다. Chrome 과 같은 잠금 아이콘이 모두 표시됩니다 .
웹 사이트를 방문하고 사이트가 HTTPS 를 사용하여 통신 하지 않는 경우 URL 왼쪽에 안전하지 않음 오류가 표시됩니다.(Not secure)
이것이 방문자를 웹사이트에서 멀리 떨어뜨릴 만큼 충분히 불쾌하지 않은 것처럼 Google 은 (Google)SSL 인증서를 사용하여 웹사이트가 검색 결과에서 더 높은 순위에 오르는 데 도움이 되는 정책도 제정했습니다 .
이 두 가지 이유는 대부분의 웹사이트 소유자가 마침내 SSL 인증서를 사용하고 (SSL)HTTPS 를 통해 방문자의 브라우저와 통신 하도록 사이트를 전환하기 시작한 이유 입니다.
HTTPS에 관심을 가져야 하는 이유
인터넷 사용자로서 사이트에서 HTTPS 를 사용하는지 여부에 대해 많은 관심을 기울여야 합니다 . 귀하가 방문하는 웹사이트나 인터넷에서 무엇을 하는지에 대해 아무도 관심을 갖지 않는다고 생각할 수도 있지만 매우 관심이 많은 해커 커뮤니티가 매우 많습니다.
웹사이트와의 브라우저 통신을 가로채서 해커는 다음 정보를 지속적으로 감시합니다.
- 귀하의 이메일 주소는 이메일 스패머에게 판매할 수 있습니다.
- 마케터에게 판매할 수 있도록 귀하의 전화번호와 실제 주소.
- 은행 계좌에 로그인하여 자금에 액세스할 때 사용하는 ID 및 비밀번호입니다.
- 귀하가 비용을 지불하지 않으면 친구 및 가족과 활동을 공유하겠다고 위협하는(threatening to share that activity with friends and family if you don’t pay up) 이메일을 보낼 수 있도록 귀하가 방문하는 모든 당혹스러운 사이트 .
- 컴퓨터의 직접 IP 주소 를 통해 시스템 해킹을 시도할(try to hack your system) 수 있습니다 .
실제로 HTTPS(HTTPS) 를 사용하는 사이트만 방문하도록 하는 것은 여러 가지 이유로 온라인에서 개인 정보와 보안을 보호하는 강력한 방법입니다.
웹사이트를 소유하고 있다면 SSL(SSL) 인증서 를 설치하고 HTTPS 를 활성화 해야 하는 더 많은 이유가 있습니다 .
- 더 많은 Google 검색 트래픽을 얻을 수 있습니다.
- 방문자는 귀하의 웹 사이트를 더 자주 방문하는 것이 안전하다고 느낄 것입니다.
- 고객은 당신에게서 제품을 구매하는 것이 더 안전하다고 느낄 것입니다.
- 해커는 귀하의 웹사이트를 쉽게 해킹할 수 있도록 하는 ID(IDs) 또는 비밀번호 를 얻을 가능성이 적습니다 .
요즘 인터넷을 사용하는 사람이 모든 웹 트랜잭션에 HTTPS 만 사용하지 않을 이유가 더 이상 없습니다 .
사이트에서 HTTPS를 사용하는 방법
웹사이트를 소유하고 있고 사람들이 사이트를 방문할 때 무서운 "안전하지 않음" 메시지를 제거하는 데 관심이 있다면 웹사이트에 SSL 인증서를 설치하는 것이 어렵지 않습니다.
사실, 웹사이트용 SSL 인증서를 얻는 방법과 설치 방법에 대한 전체 가이드를 게시했습니다(how to get your own SSL certificate for your website, and how to install it) .
간단한 단계는 다음과 같습니다.
- 웹 호스트가 웹사이트에 제공한 전용 IP 주소를 결정합니다.
- 웹사이트에서 제공하거나 SSL 인증서 서비스 에서 구입한 SSL 인증서를 설치 합니다.
- HTTPS(Force) 를 사용하도록 모든 연결을 변경하는 "다시 쓰기" 명령으로 .htaccess 파일을 편집하여 사이트를 방문할 때 모든 브라우저가 SSL 을 사용 (SSL)하도록(HTTPS) 합니다.
- 사이트에 설치한 모든 CDN(Make) 서비스 에 개인 SSL 인증서를 제공 해야 합니다.(CDN)
많은 웹 호스팅 서비스가 웹 사이트 소유자에게 웹 사이트 에 대한 SSL 인증서를 설치하기 위한 원 클릭 솔루션을 제공하기 때문에 이 프로세스는 최근에 더욱 간단해지고 있습니다.
What Is HTTPS and Why You Should Care
Up until around 2017, a large majority of websites on the internet used strictly hypertext transfer protocol (HTTP) for the transmission of a website’s datа to a visitor’s web browser.
Until then, most browsers were fully capable of receiving secure HTTP content, but few site owners bothered to set up their websites using HTTPS.
What is HTTPS? It stands for hypertext transfer protocol secure. And today, this secure version of HTTP is how the majority of websites on the internet transmit their content to browsers.
What Is HTTPS?
When a website uses HTTPS, it means that all of the data being transmitted between that website and your browser is encrypted.
Before HTTPS, a hacker could easily intercept the transmission between the web host and the user’s browser, and read the content being transmitted. This is because the content was transmitted in HTML or plain text. In many cases even IDs and passwords were easy to extract from these transmissions.
What makes HTTPS different? HTTPS uses what’s called Transport Layer Security (TLS), formerly known as Secure Socket Layer (SSL).
TLS uses two security “keys” to fully encrypt the data going between the web host and your browser.
- Private key: This is a key stored on the originating web server. It isn’t accessible to the public, so only this private key stored on the real web server can decrypt transmissions.
- Public key: The public key is used by any browser that wants to communicate with the web server that holds the website.
How HTTPS Communication Works
The communication process works as follows.
- A user opens a browser and connects to a web page.
- The website sends the user’s browser an SSL certificate that contains the public key. The browser needs this public key in order to open the initial connection with the site.
- This initiates what’s called a “TLS handshake” where the client (browser) and the server (website) “agree” on the cipher to use, verify the site’s SSL digital signature, and generate new session keys for the current session.
Once this “session” is established, no one between the browser and the web server will be able to easily identify the information or data being transferred.
This is because everything, even the HTML transmitted to the browser, gets encrypted (essentially scrambled into nonsense text and symbols). Only the browser that established the initial connection with the website can decipher the information, and vice versa. Only the website can receive things like IDs and passwords and decipher them for use.
So, whenever you see that a site is secure, you can rest assured that the communications between your browser and the remote site are private and safe from prying eyes.
How to Know if a Site Uses HTTPS
Starting in 2017, Google put the pressure on website owners to incorporate SSL certificates into their websites. They did this by integrating a new feature into the latest version of Chrome that displayed a “Not Secure” warning to users whenever they visited a site that didn’t use HTTPS.
If you’re running the latest version of the Chrome browser and you visit a secure site that uses HTTPS, you’ll see a small lock icon to the left of the URL.
Not long after, other browsers started following suit, including Firefox, Safari, and more. They will all display a lock icon like Chrome does.
If you visit a website and the site isn’t using HTTPS to communicate, then you’ll see a Not secure error to the left of the URL.
As though this isn’t off-putting enough to keep visitors away from a website, Google also instituted a policy where use of SSL certificates would help websites rank higher in search results.
These two reasons are why most website owners finally started transitioning their sites to use SSL certificates and communicate with visitors’ browsers via HTTPS.
Why Should You Care About HTTPS?
As a user of the internet, you should care a great deal about whether or not a site uses HTTPS. You may not think anyone cares about what websites you visit or what you’re doing on the internet, but there are very large communities of hackers out there who are very interested.
By intercepting your browser communications with websites, hackers are constantly on the lookout for any of the following information:
In fact, making sure you only visit sites that use HTTPS is a powerful way to protect your privacy and security online, for many reasons.
If you own a website, there are even more reasons you should care about installing SSL certificates and enabling HTTPS.
- You’ll get more Google search traffic.
- Visitors will feel safe to visit your website more frequently.
- Customers will feel more secure buying products from you.
- Hackers will be less likely to obtain IDs or passwords that make it easier for them to hack your website.
There are no longer any good reasons for anyone using the internet these days not to be using only HTTPS for all web transactions.
How to Use HTTPS on Your Site
If you own a website and you’re interested in getting rid of that scary “Not Secure” message when people visit your site, it’s not difficult to install SSL certificates for your website.
In fact, we’ve published a full guide on how to get your own SSL certificate for your website, and how to install it.
The simple steps are as follows:
- Determine the dedicated IP address your web host has provided to your website.
- Install the SSL certificate either provided by your website, or one you’ve purchased from an SSL certificate service.
- Force all browsers to use SSL when visiting your site by editing the .htaccess file with a “rewrite” command that changes all connections to use HTTPS.
- Make sure to provide your private SSL certificate to any CDN services you’ve installed on your site.
This process is getting even simpler lately, since many web hosting services are providing website owners with one-click solutions to install SSL certificates for their website.