HTTPS 및 SSL 인증서: 웹사이트를 안전하게 만드세요(그리고 왜 그래야 하는지)

연락처 정보, 로그인 자격 증명, 계정 정보, 위치 정보 또는 기타 남용될 수 있는 모든 정보를 인터넷을 통해 전송할 때 대중은 대체로 해커와 신원 도용에 대해 완전히 편집증적입니다. 그리고 당연히 그렇습니다. 귀하의 정보가 도난당하거나, 변조되거나, 남용될 수 있다는 두려움은 전혀 비합리적이지 않습니다. 지난 수십 년 동안 발생한 정보 유출 및 보안 침해에 대한 헤드라인이 이를 증명합니다. 그러나 이러한 두려움에도 불구하고 사람들은 웹에서 은행 업무, 쇼핑, 저널링, 데이트, 사교 활동 및 기타 개인적이고 전문적인 업무를 수행하기 위해 계속 로그인합니다. 그리고 그들이 이것을 할 수 있다는 자신감을 주는 작은 것이 하나 있습니다. 나는 그것을 당신에게 보여줄 것입니다 :

모든 사람이 작동 방식을 이해하는 것은 아니지만 주소 표시줄에 있는 작은 자물쇠는 웹 사용자에게 합법적인 웹 사이트에 대한 신뢰할 수 있는 연결이 있다는 신호를 보냅니다. 방문자가 귀하의 웹사이트를 열 때 주소 표시줄에서 해당 내용을 볼 수 없다면 귀하는 그들의 비즈니스를 얻을 수 없으며, 그래서도 안 됩니다.

웹사이트에 대한 작은 주소 표시줄 자물쇠를 얻으려면 SSL 인증서가 필요합니다. 어떻게 얻나요? 알아보려면 계속 읽어보세요.

기사 개요:

• SSL/TLS란 무엇입니까?
• HTTPS를 사용하는 방법?
• SSL 인증서란 무엇이며 어떻게 얻을 수 있나요?
• SSL 인증서 쇼핑 가이드
  • 인증 기관
  • 도메인 검증과 확장 검증
  • 공유 SSL과 개인 SSL
  • 신탁 인장
  • 와일드카드 SSL 인증서
  • 보증
  • 무료 SSL 인증서 및 자체 서명 SSL 인증서
• SSL 인증서 설치
• HTTPS의 장점과 단점

SSL/TLS란 무엇입니까?

웹에서는 Hypertext Transfer Protocol을 사용하여 데이터가 전송됩니다. 이것이 바로 모든 웹페이지 URL 앞에 "http://" 또는 "http s ://"가 붙는 이유입니다.

http와 https의 차이점은 무엇입니까? 그 여분의 작은 S는 보안이라는 큰 의미를 갖습니다.

설명하겠습니다.

HTTP는 컴퓨터와 서버가 서로 통신하는 데 사용하는 "언어"입니다. 이 언어는 보편적으로 이해되므로 편리하지만 단점도 있습니다. 데이터가 인터넷을 통해 사용자와 서버 사이에 전달되면 최종 목적지에 도달하기 전에 도중에 잠시 멈추게 됩니다. 이는 세 가지 큰 위험을 초래합니다.

• 누군가가 귀하의 대화를 도청 할 수도 있습니다 (디지털 도청과 비슷함).

• 누군가가 어느 한쪽에서 당사자 중 하나(또는 둘 다)를 가장 할 수 있습니다.

• 누군가가 전송되는 메시지를 변조 할 수도 있습니다.

해커와 저크는 피싱 계략, 중간자 공격, 구식 광고 등 다양한 사기 및 강도 행위에 위의 방법을 조합하여 사용합니다. 악의적인 공격은 암호화되지 않은 쿠키를 가로채서(도청) Facebook 자격 증명을 스니핑하는 것처럼 간단할 수도 있고 더 정교할 수도 있습니다. 예를 들어, 은행에 "100달러를 내 ISP로 이체해 주세요"라고 말하고 있다고 생각할 수 있지만, 중간에 있는 누군가가 메시지를 "시베리아에 있는 ISP Peggy에게 내 돈 전체로 100달러를 이체해 주세요"로 변경할 수 있습니다. 및 명의 도용).

이것이 바로 HTTP의 문제입니다. 이러한 문제를 해결하기 위해 HTTP를 보안 프로토콜과 계층화하여 HTTP 보안(HTTPS)을 구현할 수 있습니다. 가장 일반적으로 HTTPS의 S는 SSL(Secure Sockets Layer) 프로토콜 또는 최신 TLS(Transport Layer Security) 프로토콜에 의해 제공됩니다. 배포 시 HTTPS는 양방향 암호화 (도청 방지), 서버 인증 (가장 방지) 및 메시지 인증 (데이터 변조 방지)을 제공합니다.

HTTPS를 사용하는 방법

음성 언어와 마찬가지로 HTTPS는 양측이 모두 말하기로 선택한 경우에만 작동합니다. 클라이언트 측에서는 브라우저 주소 표시줄의 URL 앞에 "https"를 입력하여 HTTPS를 사용하도록 선택할 수 있습니다(예: http://www.facebook.com을 입력하는 대신 https://www.facebook을 입력). .com) 또는 Firefox 및 Chrome 용 HTTPS Everywhere와 같이 자동으로 HTTPS를 강제하는 확장 프로그램을 설치하면 됩니다 . 웹 브라우저가 HTTPS를 사용하는 경우 자물쇠 아이콘, 녹색 브라우저 표시줄, 엄지손가락 또는 서버와의 연결이 안전하다는 것을 확인시켜 주는 기타 신호가 표시됩니다.

단, HTTPS를 사용하려면 웹서버가 이를 지원해야 합니다. 귀하가 웹마스터이고 웹 방문자에게 HTTPS를 제공하려는 경우 SSL 인증서 또는 TLS 인증서가 필요합니다. SSL 또는 TLS 인증서를 어떻게 얻나요? 계속 읽으세요.

추가 자료: 일부 인기 있는 웹 앱에서는 사용자 설정에서 HTTPS를 선택할 수 있습니다. Facebook , Gmail , Twitter 에서 우리의 글을 읽어보세요 .

SSL 인증서란 무엇이며 어떻게 얻을 수 있나요?

HTTPS를 사용하려면 웹 서버에 SSL 인증서 또는 TLS 인증서가 설치되어 있어야 합니다. SSL/TLS 인증서는 웹사이트의 사진 ID와 비슷합니다. HTTPS를 사용하는 브라우저가 웹페이지에 액세스하면 클라이언트 컴퓨터가 SSL 인증서를 요청하는 동안 "핸드셰이크"를 수행합니다. 그런 다음 SSL 인증서는 신뢰할 수 있는 인증 기관(CA)에 의해 검증되어 서버가 서버인지 확인합니다. 모든 사항이 확인되면 웹 방문자에게 안심할 수 있는 녹색 확인 표시 또는 자물쇠 아이콘이 표시됩니다. 문제가 발생하면 웹 브라우저에서 서버의 신원을 확인할 수 없다는 경고가 표시됩니다.

SSL 인증서 쇼핑

웹사이트에 SSL 인증서를 설치할 때 결정해야 할 수많은 매개변수가 있습니다. 가장 중요한 사항을 살펴보겠습니다.

인증 기관

CA(인증 기관)는 SSL 인증서를 발급하는 회사이며 방문자가 웹 사이트를 방문할 때마다 인증서의 유효성을 검사하는 회사입니다. 각 SSL 인증서 제공업체는 가격과 기능을 두고 경쟁하지만, 인증 기관을 조사할 때 가장 먼저 고려해야 할 사항은 가장 널리 사용되는 웹 브라우저에 사전 설치된 인증서가 있는지 여부입니다. SSL 인증서를 발급한 인증 기관이 해당 목록에 없으면 해당 사이트의 보안 인증서를 신뢰할 수 없다는 경고 메시지가 사용자에게 표시됩니다. 물론 이것이 귀하의 웹사이트가 불법이라는 것을 의미하는 것은 아닙니다. 단지 귀하의 CA가 (아직) 목록에 없다는 것을 의미할 뿐입니다. 이는 대부분의 사용자가 경고를 읽거나 인식할 수 없는 CA를 조사하지 않기 때문에 문제가 됩니다. 그들은 아마 그냥 클릭할 것입니다.

다행히 주요 브라우저에 사전 설치된 CA 목록은 상당히 많습니다. 여기에는 유명 브랜드 이름뿐만 아니라 덜 알려지고 저렴한 CA도 포함됩니다. 세대 이름에는 Verisign , Go Daddy , Comodo, Thawte, Geotrust 및 Entrust가 포함됩니다.

또한 브라우저 설정에서 어떤 인증 기관이 사전 설치되어 있는지 확인할 수도 있습니다.

• Chrome의 경우 설정 –> 고급 설정 표시… –> 인증서 관리로 이동하세요.
• Firefox의 경우 옵션 –> 고급 –> 인증서 보기를 수행하세요.
• IE의 경우 인터넷 옵션 –> 콘텐츠 –> 인증서.
• Safari의 경우 Finder로 이동하여 이동 –> 유틸리티 –> 키체인 액세스를 선택한 후 시스템을 클릭하세요.

도메인 검증과 확장 검증

SSL 인증서는 귀하가 정보를 보내는 웹사이트의 신원을 증명하기 위한 것입니다. 사람들이 정당하게 제어하지 않는 도메인에 대해 가짜 SSL 인증서를 가져가지 않도록 하기 위해 인증 기관은 인증서를 요청하는 사람이 실제로 도메인 이름의 소유자인지 확인합니다. 일반적으로 이는 웹사이트에서 계정 확인 링크가 포함된 이메일을 보낼 때와 유사한 빠른 이메일 또는 전화 통화 확인을 통해 수행됩니다. 이를 도메인 검증 SSL 인증서라고 합니다. 이것의 이점은 SSL 인증서가 거의 즉시 발급될 수 있다는 것입니다. 이 블로그 게시물을 읽는 데 걸리는 시간보다 더 짧은 시간에 도메인 검증 SSL 인증서를 얻을 수 있을 것입니다. 도메인 검증 SSL 인증서를 사용하면 자물쇠를 사용할 수 있고 웹사이트 트래픽을 암호화할 수 있습니다.

도메인 검증 SSL 인증서의 장점은 빠르고 쉽고 저렴하게 얻을 수 있다는 것입니다. 이것은 또한 그들의 단점입니다. 상상할 수 있듯이, 살아있는 인간이 운영하는 시스템보다 자동화된 시스템을 속이는 것이 더 쉽습니다. 이는 마치 어떤 고등학생이 자신이 버락 오바마라고 DMV에 들어와서 정부 발급 신분증을 받고 싶다고 말하는 것과 비슷합니다. 책상에 있는 사람은 그를 한 번 보고 Feds(또는 미친 쓰레기통)에 전화를 걸었습니다. 그러나 그것이 사진 ID 키오스크를 작동하는 로봇이라면 운이 좋을 수도 있습니다. 비슷한 방식으로 피셔는 도메인 확인 시스템을 속여 Paypal, Amazon 또는 Facebook과 같은 웹사이트의 "가짜 ID"를 얻을 수 있습니다. 2009년에 Dan Kaminsky는 피싱 웹사이트를 안전하고 합법적인 연결인 것처럼 보이게 만드는 인증서를 얻기 위해 CA를 속이는 방법의 예를 발표했습니다. 사람이 보기에 이러한 사기 행위는 쉽게 발견될 수 있습니다. 그러나 당시 자동화된 도메인 유효성 검사에는 이와 같은 것을 방지하는 데 필요한 검사가 부족했습니다.

SSL 및 도메인 검증 SSL 인증서의 취약점에 대응하여 업계에서는 확장 검증 인증서를 도입했습니다. EV SSL 인증서를 얻으려면 귀하의 회사 또는 조직이 정부와 양호한 관계를 유지하고 귀하가 신청하는 도메인을 정당하게 제어하는지 확인하기 위해 엄격한 심사를 거쳐야 합니다. 무엇보다도 이러한 점검에는 인적 요소가 필요하므로 시간이 더 오래 걸리고 비용도 더 많이 듭니다.

일부 산업에서는 EV 인증서가 필요합니다. 그러나 다른 사람들에게는 방문자가 인식하는 정도까지만 혜택이 적용됩니다. 일상적인 웹 방문자에게는 그 차이가 미묘합니다. 자물쇠 아이콘과 함께 주소 표시줄이 녹색으로 바뀌고 회사 이름이 표시됩니다. 자세한 내용을 클릭하시면 홈페이지 뿐만 아니라 회사의 신원도 확인된 것을 보실 수 있습니다.

다음은 일반적인 HTTPS 사이트의 예입니다.

다음은 EV 인증서 HTTPS 사이트의 예입니다.

업계에 따라 EV 인증서가 가치가 없을 수도 있습니다. 또한 이를 얻으려면 기업이나 조직이어야 합니다. 대기업이 EV 인증을 지향하는 경향이 있지만 대부분의 HTTPS 사이트는 여전히 EV가 아닌 특성을 자랑하고 있습니다. Google, Facebook, Dropbox에 충분하다면 아마도 귀하에게도 충분할 것입니다.

한 가지 더: 조직 검증 또는 비즈니스 검증 인증 이라는 중간 옵션이 있습니다 . 이는 자동화된 도메인 검증보다 더 철저한 검사이지만 확장 검증 인증서에 대한 업계 규정을 충족하지는 않습니다(확장 검증은 어떻게 대문자로 표기되고 "조직 검증"은 그렇지 않습니까?). OV 또는 비즈니스 검증 인증은 비용과 시간이 더 많이 들지만 녹색 주소 표시줄과 회사 신원 확인 정보를 제공하지 않습니다. 솔직히 OV 인증서 비용을 지불할 이유가 생각나지 않습니다. 혹시 생각나는 것이 있으시면 댓글로 알려주시기 바랍니다.

공유 SSL과 개인 SSL

일부 웹 호스트는 개인 SSL보다 가격이 더 저렴한 공유 SSL 서비스를 제공합니다. 가격 외에도 공유 SSL의 이점은 개인 IP 주소나 전용 호스트를 얻을 필요가 없다는 것입니다. 단점은 자신의 도메인 이름을 사용할 수 없다는 것입니다. 대신 사이트의 보안 부분은 다음과 같습니다.

https://www.hostgator.com/~yourdomain/secure.php

이를 개인 SSL 주소와 대조해 보세요.

https://www.yourdomain.com/secure.php

전자상거래 사이트나 소셜 네트워킹 사이트와 같은 공개 사이트의 경우 기본 사이트에서 리디렉션된 것처럼 보이기 때문에 이는 확실히 문제가 됩니다. 그러나 메일 시스템 내부나 관리자 영역과 같이 일반적으로 일반 대중이 볼 수 없는 영역의 경우 공유 SSL이 좋은 거래일 수 있습니다.

신탁 인장

많은 인증 기관에서는 해당 인증서 중 하나에 등록한 후 웹페이지에 신뢰 도장을 찍을 수 있도록 허용합니다. 이는 브라우저 창에서 자물쇠를 클릭하는 것과 거의 동일한 정보를 제공하지만 가시성은 더 높습니다. 신뢰 도장을 포함하는 것은 필수도 아니고 보안을 강화하지도 않지만 방문자에게 SSL 인증서를 발행한 사람이 누구인지 알 수 있는 따뜻한 정보를 제공한다면 꼭 거기에 올려두십시오.

와일드카드 SSL 인증서

SSL 인증서는 한 도메인의 신원을 확인합니다. 따라서 여러 하위 도메인(예: groovypost.com, mail.groovypost.com 및 forum.groovypost.com ) 에서 HTTPS를 사용하려면 세 가지 다른 SSL 인증서를 구입해야 합니다. 특정 시점이 되면 와일드카드 SSL 인증서가 더욱 경제적이 됩니다. 즉, 하나의 도메인과 모든 하위 도메인(예: *.groovypost.com)을 포괄하는 하나의 인증서입니다.

보증

회사의 좋은 평판이 아무리 오래 지속되더라도 취약점은 있습니다. 2010년에 보고되지 않은 VeriSign 침해 사건에서 알 수 있듯이 신뢰할 수 있는 CA라도 해커의 표적이 될 수 있습니다. 또한 2011년 DigiNotar snafu 에서 본 것처럼 신뢰할 수 있는 목록에 있는 CA의 상태가 빠르게 취소될 수 있습니다. .

이러한 임의적인 SSL 방탕 행위의 가능성에 대한 불안감을 해소하기 위해 현재 많은 CA가 보증을 제공하고 있습니다. 보장 범위는 수천 달러에서 백만 달러 이상이며 인증서 오용이나 기타 사고로 인한 손실이 포함됩니다. 이러한 보증이 실제로 가치를 더하는지, 또는 누군가가 성공적으로 청구에서 승리했는지는 전혀 알 수 없습니다. 하지만 그들은 당신의 고려를 위해 거기에 있습니다.

무료 SSL 인증서 및 자체 서명 SSL 인증서

무료 SSL 인증서에는 두 가지 종류가 있습니다. 유효한 인증 기관에서 발급한 비공개 테스트 및 본격적인 공개 SSL 인증서에 주로 사용되는 자체 서명된 인증서입니다. 좋은 소식은 2018년에는 SSL for Free 또는 Let's Encrypt 에서 100% 무료로 유효한 90일 SSL 인증서를 얻을 수 있는 몇 가지 옵션이 있다는 것입니다 . 무료 SSL은 주로 Let's Encrypt API용 GUI입니다. 무료 SSL 사이트의 장점은 멋진 GUI가 있어 사용이 간편하다는 것입니다. 그러나 Let's Encrypt는 SSL 인증서 요청을 완전히 자동화할 수 있다는 점에서 좋습니다. 여러 웹사이트/서버에 SSL 인증서가 필요한 경우 이상적입니다.

자체 서명된 SSL 인증서는 영원히 무료입니다. 자체 서명된 인증서를 사용하면 자체 CA가 됩니다. 그러나 웹 브라우저에 내장된 신뢰할 수 있는 CA가 아니기 때문에 방문자는 운영 체제에서 해당 권한을 인식하지 못한다는 경고를 받게 됩니다. 따라서 자신이 누구인지에 대한 확신은 전혀 없습니다. (이는 사진이 부착된 신분증을 발급하고 주류 판매점에서 이를 전달하려는 것과 같습니다.) 그러나 자체 서명된 SSL 인증서의 이점은 웹 트래픽에 대한 암호화를 활성화한다는 것입니다. 직원이 조직을 신뢰할 수 있는 CA로 추가하여 경고 메시지를 제거하고 인터넷을 통한 보안 연결 작업을 수행하도록 할 수 있는 내부 용도로 유용할 수 있습니다.

자체 서명 SSL 인증서 설정에 대한 지침은 OpenSSL 설명서를 확인하세요. (또는 수요가 충분하면 튜토리얼을 작성하겠습니다.)

SSL 인증서 설치

SSL 인증서를 구매한 후에는 웹사이트에 설치해야 합니다. 좋은 웹 호스트가 당신을 위해 이 작업을 제안할 것입니다. 어떤 사람들은 당신을 위해 그것을 사러 갈 수도 있습니다. 종종 이는 청구를 단순화하고 웹 서버에 맞게 설정되도록 보장하기 때문에 가장 좋은 방법입니다.

하지만 언제든지 직접 구매한 SSL 인증서를 설치할 수 있는 옵션이 있습니다. 그렇게 하려면 웹 호스트의 지식 기반을 참조하거나 헬프데스크 티켓을 개설하여 시작하는 것이 좋습니다. SSL 인증서 설치에 대한 최상의 지침을 안내해 드립니다. 또한 CA에서 제공하는 지침을 참조해야 합니다. 이는 제가 여기서 드릴 수 있는 일반적인 조언보다 더 나은 지침을 제공할 것입니다.

SSL 인증서 설치에 대한 다음 지침을 확인해 볼 수도 있습니다.

• IIS(Windows Server)에서 SSL을 구현하는 방법
• Apache SSL/TLS 암호화

이러한 모든 지침에는 SSL 인증서 서명 요청(CSR) 생성이 포함됩니다. 실제로 SSL 인증서를 발급받으려면 CSR이 필요합니다. 다시 한번 말씀드리지만, 귀하의 웹 호스트가 이에 대해 도움을 드릴 수 있습니다. CSR 생성에 대한 보다 구체적인 DIY 정보는 DigiCert 의 이 글을 확인하세요 .

HTTPS의 장점과 단점

우리는 이미 보안, 보안, 보안이라는 HTTPS의 장점을 확고히 확립했습니다. 이는 데이터 유출 위험을 완화할 뿐만 아니라 웹사이트에 신뢰를 심어주고 평판을 높여줍니다. 능숙한 고객은 로그인 페이지에 "http://"가 표시되면 가입조차 하지 않을 수 있습니다.

그러나 HTTPS에는 몇 가지 단점이 있습니다. 특정 유형의 웹 사이트에 HTTPS가 필요하다는 점을 고려하면 이를 부정적인 점보다는 "고려 사항"으로 생각하는 것이 더 합리적입니다 .

• HTTPS에는 비용이 듭니다 . 우선, 매년 유효성을 보장하기 위해 SSL 인증서를 구입하고 갱신하는 데 비용이 듭니다. 그러나 공유 호스팅 패키지보다 비용이 더 많이 들 수 있는 전용 IP 주소 또는 전용 호스팅 계획과 같은 HTTPS에 대한 특정 "시스템 요구 사항"도 있습니다.
• HTTPS는 서버 응답을 느리게 할 수 있습니다. 페이지 로드 속도를 저하시킬 수 있는 SSL/TLS와 관련된 두 가지 문제가 있습니다. 먼저, 처음으로 웹사이트와 통신을 시작하려면 사용자의 브라우저가 인증서 확인을 위해 인증 기관의 웹사이트로 되돌아오는 핸드셰이크 프로세스를 거쳐야 합니다. CA의 웹 서버가 느린 경우 페이지 로드가 지연됩니다. 이는 귀하가 통제할 수 없는 일입니다. 둘째, HTTPS는 암호화를 사용하므로 더 많은 처리 능력이 필요합니다. 이 문제는 대역폭에 맞게 콘텐츠를 최적화하고 서버의 하드웨어를 업그레이드하여 해결할 수 있습니다. CloudFare 에는 SSL이 웹 사이트 속도를 저하시키는 방법과 이유에 대한 좋은 블로그 게시물이 있습니다.
• HTTPS는 SEO 노력에 영향을 미칠 수 있습니다. HTTP에서 HTTPS로 전환하는 경우 새로운 웹사이트로 이동 중입니다. 예를 들어 http://www.groovypost.com은 https://www.groovypost.com 과 동일하지 않습니다 . 귀중한 링크 주스의 손실을 방지하려면 이전 링크를 리디렉션하고 서버 내부에 적절한 규칙을 작성했는지 확인하는 것이 중요합니다.
• 혼합된 콘텐츠는 노란색 플래그를 표시할 수 있습니다 . 일부 브라우저의 경우 웹페이지의 주요 부분이 HTTPS에서 로드되었지만 이미지 및 기타 요소(예: 스타일시트 또는 스크립트)가 HTTP URL에서 로드된 경우 페이지에 비보안 콘텐츠가 포함되어 있다는 경고 팝업이 나타날 수 있습니다. . 물론 안전한 콘텐츠가 있는 것이 아무것도 없는 것보다 낫습니다. 비록 후자의 경우 팝업이 표시되지 않더라도 마찬가지입니다. 그러나 페이지에 "혼합 콘텐츠"가 없는지 확인하는 것이 좋습니다.
• 때로는 제3자 결제 처리업체를 이용하는 것이 더 쉽습니다 . Google Checkout, Paypal 또는 Checkout by Amazon이 결제를 처리하도록 하는 것은 부끄러운 일이 아닙니다. 위의 모든 사항이 너무 복잡해 보인다면 고객이 Paypal의 보안 사이트나 Google의 보안 사이트에서 결제 정보를 교환하도록 하여 문제를 피할 수 있습니다.

HTTPS 및 SSL/TLS 인증서에 대해 다른 질문이나 의견이 있습니까? 댓글로 들어보시죠.