🌐 HTTPS 를 강제하는 HTST 기술

브라우저를 통해 웹페이지에 접속할 때 접속하는 주소를 보면 HTTPS 로 시작되고 혹여 HTTP 로 시작되는 페이지를 접속하게 되면 HTTPS 주소로 리다이렉트 되거나 브라우저에서 위험성이 있다는 의미의 경고 페이지를 보여주는걸 보실 수 있습니다. 이런 이유는 브라우저에서 HTTP 통신에 대한 보안을 강화하고자 과거에는 선택적으로 적용해도 됬던 HTTPS 를 강제에 가깝게 정책을 바꾸었기 때문입니다. 그렇지만 여전히 HTTP 로 접근하는 주소는 많이 있습니다. 과거에 기록했던 링크이거나 사용자가 HTTP 주소로 북마크 했을 경우 등으로 HTTP 로 접근하게 되는 케이스가 흔한데요, 이럴경우 HTTPS 를 지원하는 서비스에서는 다음과 같은 절차를 진행하게 됩니다. 1️⃣ 사용자가 HTTP 주소로 웹서버에 요청을 보냅니다. 2️⃣ 요청을 받은 웹서버는 301 혹은 302 응답을 내려서 사용자가 HTTPS 주소로 리다이렉트 하도록 유도합니다. 3️⃣ 사용자는 응답받은 리다이렉트 주소로 요청하여 HTTPS 를 사용합니다. 하지만 이때 한가지 문제가 있습니다. 바로 1번 과정에서 사용자가 HTTP 로 웹서버에 요청을 했기 때문에 이때 사용자의 중요한 정보가 있다면 그대로 해커에게 노출될 수 있습니다. 이러한 문제를 해결하기 위해 만들어진 기술이 바로 HTST(HTTP Strict Transport Security)입니다. HTST 는 최신 브라우저에서는 대부분 지원하는 기능인데요, 위에서 설명드렸던 동작을 HTST 가 적용된 브라우저로 다시 해보면 다음과 같이 동작하게 됩니다. 1️⃣ 사용자가 HTTP 주소로 요청을 보냅니다. 2️⃣ 브라우저에서 해당 주소의 도메인이 HTST 를 지원하는 도메인일 경우 307 Internal Redirect 를 통해 HTTPS 로 주소를 변경합니다. 3️⃣ 사용자는 브라우저에서 변경한 HTTPS 주소로 웹서버에 요청하여 HTTPS 를 사용합니다. 즉, 기존에 문제가 되었던 HTTP 요청을 웹서버의 리다이렉트가 아닌 브라우저단에서 리다이렉트 함으로써 보안 문제를 해결한게 HTST 기술이라고 이해하시면 됩니다. HTST 를 적용하기 위해서는 웹서버에서도 몇가지 작업이 필요한데요, 이에 대한 자세한 설명은 공유드린 링크에 있으니 궁금하신 분들께서는 참고하시면 좋겠습니다. 📚 함께보면 좋은글 ✔️ HTTPS 의 작동 원리 : https://careerly.co.kr/comments/75626?utm_campaign=self-share