HTTPS를 "암호화된 HTTP" 정도로 알고 있는지, 아니면 인증서 검증·세션 키 합의·대칭/비대칭 키의 역할 분담까지 자기 언어로 풀 수 있는지를 가른다.
HTTPS는 HTTP 메시지를 TLS 위에 얹어 도청·변조·신원 위조를 막는 통신 방식이다. 핵심은 핸드셰이크다. 클라이언트가 서버 인증서를 받아 체인을 검증해 "이 서버가 진짜인지"부터 확인하고, 비대칭 키로 안전하게 세션 키를 합의한 뒤, 실제 데이터는 빠른 대칭 키 암호화로 주고받는다. 결과적으로 HTTPS가 보장하는 것은 "기밀성·무결성·서버 인증"이고, 인증서가 만료되거나 체인이 깨지면 이 세 가지가 한꺼번에 무너진다.
인증서 만료로 서비스가 멈춘 사고를 겪고 자동 갱신·모니터링을 도입한 경험이 있다면 "HTTPS는 운영 책임"으로 풀어낼 수 있다
TLS 핸드셰이크 비용을 줄이려 세션 재사용·HTTP/2를 도입한 경험이 있다면 보안과 성능의 균형 이야기로 이어갈 수 있다
리버스 프록시에서 TLS를 종료하는 구성을 운영한 경험이 있다면 "어디서 종료하느냐가 신뢰 경계다"는 관점으로 일반화할 수 있다
아직 공개된 답변이 없어요. 첫 공개 답변을 남겨보세요.