Https 및 SSL 인증서 : 웹 사이트를 안전하게 유지해야합니다 (그리고 그 이유는 무엇입니까)

연락처 정보, 로그인 자격 증명, 계정 정보, 위치 정보 또는 남용 될 수있는 기타 정보를 인터넷을 통해 개인 정보를 전송하는 경우 대중은 해커와 신원 도둑에 대해 완전히 편집증 적입니다. 그리고 정당하게도. 귀하의 정보가 도용, 변조 또는 잘못 사용될 수 있다는 두려움은 비이성적이지 않습니다. 지난 수십 년간 유출 및 보안 침해에 대한 헤드 라인이이를 입증합니다. 그러나 이러한 두려움에도 불구하고 사람들은 웹에서 뱅킹, 쇼핑, 저널링, 데이트, 사교 및 기타 개인 및 전문 비즈니스를 수행하기 위해 계속 로그온합니다. 그리고 그들에게 이것을 할 자신감을주는 작은 것이 있습니다. 나는 당신에게 그것을 보여줄 것입니다 :

모두가 작동 방식을 이해하는 것은 아니지만 주소 표시 줄의 작은 자물쇠는 웹 사용자에게 합법적 인 웹 사이트에 대한 신뢰할 수있는 연결이 있음을 나타냅니다. 방문자가 웹 사이트를 검색 할 때 검색 주소창에 표시되지 않으면 비즈니스를 시작하지 않아야합니다.

웹 사이트의 작은 주소 표시 줄 자물쇠를 얻으려면 SSL 인증서가 필요합니다. 어떻게 얻습니까? 알아 보려면 계속 읽으십시오.

기사 개요 :

SSL / TLS 란 무엇입니까?

웹에서 데이터는 하이퍼 텍스트 전송 프로토콜을 사용하여 전송됩니다. 이것이 바로 모든 웹 페이지 URL 앞에“http : //”또는“http s : //”가있는 이유입니다.

http와 https의 차이점은 무엇입니까? 그 작은 S는 보안에 큰 영향을 미칩니다.

설명하겠습니다.

HTTP는 컴퓨터와 서버가 서로 대화하는 데 사용하는 "언어"입니다. 이 언어는 보편적으로 이해되며 편리하지만 단점도 있습니다. 인터넷을 통해 사용자와 서버간에 데이터가 전달되면 최종 목적지에 도달하기 전에 도중에 중지됩니다. 이것은 세 가지 큰 위험을 초래합니다 :

• 누군가가 대화를 도청 할 수 있습니다 (디지털 도청과 같은 종류) 상대방이 상대방 중 하나 (또는 ​​둘 다)를 사칭 할 수 있으며, 누군가가 전송중인 메시지를 변조 할 수 있습니다.

해커와 멍청이는 위의 조합을 사용하여 피싱 공격, 중간자 (man-in-the-middle) 공격 및 훌륭한 구식 광고를 포함하여 여러 사기 및 습격에 사용합니다. 악의적 인 공격은 암호화되지 않은 쿠키를 가로 채어 (도청) Facebook 자격 증명을 스니핑하는 것만 큼 간단하거나 더 정교 할 수 있습니다. 예를 들어, 은행에“100 달러를 내 ISP로 이체하십시오”라고 말하고 있다고 생각할 수 있지만 중간에 누군가“100 달러를 내 시베리아의 ISP Peggy로 이체하십시오”(데이터 변조) 그리고 가장)).

이것이 HTTP의 문제입니다. 이러한 문제를 해결하기 위해 보안 프로토콜을 사용하여 HTTP를 계층화하여 HTTP 보안 (HTTPS)을 만들 수 있습니다. 가장 일반적으로 HTTPS의 S는 SSL (Secure Sockets Layer) 프로토콜 또는 최신 TLS (Transport Layer Security) 프로토콜에 의해 제공됩니다. 배포시 HTTPS는 도청 방지를위한 양방향 암호화, 서버 인증 (도용 방지) 및 메시지 인증 (데이터 변조 방지)을 제공합니다.

HTTPS를 사용하는 방법

음성 언어와 마찬가지로 HTTPS는 두 당사자가 모두 말하기를 선택한 경우에만 작동합니다. 클라이언트 측에서 URL 앞에 브라우저 주소 표시 줄에 "https"를 입력하면 (예 : http://www.facebook.com을 입력하는 대신 https : // www) HTTPS를 사용할 수 있습니다. facebook.com) 또는 Firefox 및 Chrome 용 HTTPS Everywhere와 같이 HTTPS를 자동으로 강제 실행하는 확장 프로그램을 설치합니다. 웹 브라우저가 HTTPS를 사용하는 경우 자물쇠 아이콘, 녹색 브라우저 표시 줄, 엄지 손가락 또는 서버와의 연결이 안전하다는 다른 확인 표시가 나타납니다.

그러나 HTTPS를 사용하려면 웹 서버가 HTTPS를 지원해야합니다. 웹 마스터이고 웹 방문자에게 HTTPS를 제공하려면 SSL 인증서 또는 TLS 인증서가 필요합니다. SSL 또는 TLS 인증서는 어떻게 얻습니까? 계속 읽으세요.

SSL 인증서 란 무엇이며 어떻게 얻을 수 있습니까?

HTTPS를 사용하려면 웹 서버에 SSL 인증서 또는 TLS 인증서가 설치되어 있어야합니다. SSL / TLS 인증서는 웹 사이트의 사진 ID와 비슷합니다. HTTPS를 사용하는 브라우저가 웹 페이지에 액세스하면 클라이언트 컴퓨터가 SSL 인증서를 요청하는 "핸드 셰이크"를 수행합니다. 그런 다음 SSL 인증서는 신뢰할 수있는 인증 기관 (CA)에 의해 유효성이 검사되어 서버가 누구인지 확인합니다. 모든 것이 체크 아웃되면 웹 방문자는 안심 녹색 확인 표시 또는 잠금 아이콘을 얻습니다. 문제가 발생하면 웹 브라우저에서 서버의 신원을 확인할 수 없다는 경고 메시지가 표시됩니다.

SSL 인증서 쇼핑

웹 사이트에 SSL 인증서를 설치하는 경우 결정해야 할 많은 매개 변수가 있습니다. 가장 중요한 것을 살펴 보자.

인증 기관

인증 기관 (CA)은 SSL 인증서를 발급하는 회사이며 방문자가 웹 사이트를 방문 할 때마다 인증서를 확인하는 회사입니다. 각 SSL 인증서 공급자는 가격과 기능을 놓고 경쟁하지만 인증 기관을 심사 할 때 고려해야 할 첫 번째 사항은 가장 인기있는 웹 브라우저에 사전 설치된 인증서가 있는지 여부입니다. SSL 인증서를 발급하는 인증 기관이 해당 목록에 없으면 사이트의 보안 인증서를 신뢰할 수 없다는 경고 메시지가 표시됩니다. 물론 이것이 웹 사이트가 불법임을 의미하는 것은 아니며 CA가 아직 목록에없는 것을 의미합니다. 대부분의 사용자가 경고를 읽거나 인식 할 수없는 CA를 조사하지 않아도되므로 문제가됩니다. 클릭 만하면됩니다.

다행히도 주요 브라우저에 사전 설치된 CA 목록은 상당히 규모가 큽니다. 덜 유명하고 저렴한 CA뿐만 아니라 일부 큰 브랜드 이름도 포함됩니다. 세대 이름에는 Verisign, Go Daddy, Comodo, Thawte, Geotrust 및 Entrust가 있습니다.

자신의 브라우저 설정에서 어떤 인증 기관이 사전 설치되어 있는지 확인할 수도 있습니다.

• Chrome의 경우 설정 –> 고급 설정 표시… –> 인증서 관리로 이동하십시오. Firefox의 경우 옵션 –> 고급 –> 인증서보기를 수행하십시오. IE의 경우 인터넷 옵션 –> 컨텐츠 –> 인증서. Safari의 경우 Finder로 이동하여 선택하십시오. –> 유틸리티 –> KeyChain 액세스로 이동하여 시스템을 클릭하십시오.

빠른 참조를 위해이 스레드를 확인하십시오.이 스레드에는 Google Checkout에 허용되는 SSL 인증서가 나열되어 있습니다.

도메인 유효성 검사 및 확장 유효성 검사

	일반적인 발급 시간	비용	주소창
도메인 검증	거의 즉시	낮은	일반 HTTPS (자물쇠 아이콘)
조직 검증	몇 일	중순	일반 HTTPS (자물쇠 아이콘)
확장 검증	일주일 이상	높은	녹색 주소 표시 줄, 회사 ID 확인 정보

SSL 인증서는 정보를 보내는 웹 사이트의 신원을 증명하기위한 것입니다. 사람들이 정당하게 제어하지 않는 도메인에 대해 가짜 SSL 인증서를 가져 오지 않도록하기 위해 인증 기관은 인증서를 요청하는 사람이 실제로 도메인 이름의 소유자인지 확인합니다. 일반적으로 이는 웹 사이트에서 계정 확인 링크가 포함 된 이메일을 보내는 경우와 유사한 빠른 이메일 또는 전화 통화 확인을 통해 수행됩니다. 이것을 도메인 검증 SSL 인증서라고합니다. 이것의 장점은 SSL 인증서를 거의 즉시 발행 할 수 있다는 것입니다. 이 블로그 게시물을 읽는 데 걸리는 시간보다 짧은 시간 내에 도메인 검증 SSL 인증서를받을 수 있습니다. 도메인 확인 SSL 인증서를 사용하면 자물쇠와 웹 사이트 트래픽을 암호화 할 수 있습니다.

도메인 검증 SSL 인증서의 장점은 빠르고 쉽고 저렴하다는 것입니다. 이것은 또한 그들의 단점입니다. 당신이 상상할 수 있듯이, 살아있는 인간이 운영하는 것보다 자동화 된 시스템을 두들겨주는 것이 더 쉽습니다. 고등학생이 DMV에 들어와 버락 오바마라고 말하고 정부에서 발급 한 신분증을 받고 싶었던 것과 같습니다. 책상에있는 사람은 그를 한 번보고 Feds (또는 Loony Bin)에 전화합니다. 그러나 사진 ID 키오스크를 작동하는 로봇이라면 운이 좋을 것입니다. 비슷한 방식으로 피셔는 도메인 확인 시스템을 속여 Paypal, Amazon 또는 Facebook과 같은 웹 사이트에 대한 "가짜 ID"를 얻을 수 있습니다. 2009 년 Dan Kaminsky는 피싱 웹 사이트를 안전하고 합법적 인 연결처럼 보이게하는 인증서를 얻기 위해 CA를 사기위한 방법의 예를 발표했습니다. 인간에게는이 사기가 쉽게 발견 될 수 있습니다. 그러나 당시 자동 도메인 유효성 검사에는 이와 같은 것을 방지하기위한 필수 검사가 없었습니다.

SSL 및 도메인 검증 SSL 인증서의 취약성에 대응하여 업계에서는 확장 검증 인증서를 도입했습니다. EV SSL 인증서를 받으려면 회사 나 조직에서 정부와의 상태가 양호하고 신청중인 도메인을 올바르게 제어 할 수 있도록 엄격한 심사를 받아야합니다. 이러한 검사에는 특히 사람 요소가 필요하므로 더 오래 걸리고 더 비쌉니다.

일부 산업에서는 EV 인증서가 필요합니다. 그러나 다른 사람들에게는 혜택이 방문자가 인식 할 수있는 범위까지만 제공됩니다. 일상적인 웹 방문자에게는 차이가 미묘합니다. 자물쇠 아이콘 외에도 주소 표시 줄이 녹색으로 바뀌고 회사 이름이 표시됩니다. 자세한 정보를 클릭하면 웹 사이트뿐만 아니라 회사의 신원이 확인 된 것입니다.

일반적인 HTTPS 사이트의 예는 다음과 같습니다.

다음은 EV 인증서 HTTPS 사이트의 예입니다.

업종에 따라 EV 인증서는 그만한 가치가 없을 수 있습니다. 또한 비즈니스 또는 조직이어야합니다. 대기업이 EV 인증을 지향하고 있지만 대부분의 HTTPS 사이트는 여전히 EV가 아닌 맛을 자랑합니다. Google, Facebook 및 Dropbox에 충분하다면 충분할 것입니다.

한 가지 더 : 조직 검증 또는 비즈니스 검증 인증이라는 중간 옵션이 있습니다. 이는 자동화 된 도메인 유효성 검사보다 철저한 검토이지만 확장 유효성 검사 인증서에 대한 업계 규정을 충족하는 한은 아닙니다 (확장 유효성 검사는 어떻게 대문자 화되고 "조직 유효성 검사"가 아닌지에 유의하십시오). OV 또는 비즈니스 검증 인증 비용은 더 비싸고 오래 걸리지 만 녹색 주소 표시 줄과 회사 신원 확인 정보는 제공하지 않습니다. 솔직히, 나는 OV 인증서를 지불 해야하는 이유를 생각할 수 없습니다. 당신이 하나를 생각할 수 있다면, 의견에 나를 밝히십시오.

공유 SSL 대 개인 SSL

일부 웹 호스트는 개인 SSL보다 저렴한 공유 SSL 서비스를 제공합니다. 가격 외에, 공유 SSL의 이점은 개인 IP 주소 나 전용 호스트를 얻을 필요가 없다는 것입니다. 단점은 자신의 도메인 이름을 사용할 수 없다는 것입니다. 대신 사이트의 보안 부분은 다음과 같습니다.

개인 SSL 주소와 대조하십시오.

전자 상거래 사이트 및 소셜 네트워킹 사이트와 같은 공개 사이트의 경우 기본 사이트에서 리디렉션 된 것처럼 보이기 때문에 이는 당연한 일입니다. 그러나 일반적으로 메일 시스템이나 관리자 영역의 내부와 같이 일반인이 보지 않는 영역의 경우 공유 SSL이 적합 할 수 있습니다.

트러스트 씰

많은 인증 기관에서 인증서 중 하나에 가입 한 후 웹 페이지에 신뢰를 부여 할 수 있습니다. 이것은 브라우저 창에서 자물쇠를 클릭하는 것과 거의 동일한 정보를 제공하지만 가시성이 높습니다. 트러스트 씰을 포함 할 필요는 없으며 보안을 강화할 필요는 없지만 SSL 인증서를 발급 한 사람을 방문자에게 알리는 경우에는 반드시이를 폐기하십시오.

와일드 카드 SSL 인증서

SSL 인증서는 한 도메인의 ID를 확인합니다. 따라서 groovypost.com, mail.groovypost.com 및 answers.groovypost.com과 같은 여러 하위 도메인에 HTTPS를 사용하려면 세 가지 다른 SSL 인증서를 구매해야합니다. 특정 시점에서 와일드 카드 SSL 인증서는보다 경제적입니다. 즉, 하나의 도메인과 모든 하위 도메인 (예 : * .groovypost.com)을 포함하는 하나의 인증서입니다.

보증

회사의 평판이 아무리 오래 지속 되더라도 취약점이 있습니다. 2010 년에보고되지 않은 VeriSign의 위반으로 인해 신뢰할 수있는 CA도 해커가 대상으로 삼을 수 있습니다. 또한 2011 년 DigiNotar snafu에서 보았 듯이 신뢰할 수있는 목록에 대한 CA의 상태를 신속하게 취소 할 수 있습니다. .

이러한 임의의 SSL 방탕 행위에 대한 가능성에 대해 불안을 느끼기 위해 많은 CA가 이제 보증을 제공합니다. 적용 범위는 수천 달러에서 백만 달러 이상이며, 인증서 오용 또는 기타 사고로 인한 손실을 포함합니다. 이러한 보증이 실제로 가치를 더하는지 아닌지, 또는 누군가가 성공적으로 클레임을 얻은 것인지 전혀 모르겠습니다. 그러나 그들은 당신의 고려를 위해 있습니다.

무료 SSL 인증서 및 자체 서명 된 SSL 인증서

사용 가능한 두 종류의 무료 SSL 인증서가 있습니다. 자체 서명, 주로 개인 인증 및 유효한 인증 기관에서 발급 한 완전한 SSL 인증 인증서에 사용됩니다. 좋은 소식은 2018 년에 SSL for Free 또는 Let 's Encrypt에서 100 % 무료로 유효한 90 일 SSL 인증서를 얻는 몇 가지 옵션이 있다는 것입니다. SSL for Free는 주로 Let 's Encrypt API의 GUI입니다. 무료 사이트 용 SSL의 장점은 멋진 GUI가 있기 때문에 사용하기 쉽다는 것입니다. 그러나 Let 's Encrypt는 SSL 인증서 요청을 완전히 자동화 할 수 있기 때문에 좋습니다. 여러 웹 사이트 / 서버에 SSL 인증서가 필요한 경우에 이상적입니다.

자체 서명 된 SSL 인증서는 영원히 무료입니다. 자체 서명 된 인증서를 사용하면 자신의 CA입니다. 그러나 웹 브라우저에 내장 된 신뢰할 수있는 CA에 속하지 않기 때문에 방문자는 운영 체제에서 권한을 인식하지 못한다는 경고를 받게됩니다. 따라서, 당신이 당신이 누구인지에 대해 확신 할 수는 없습니다 (사진 ID를 발행하고 주류 판매점에서 전달하려고하는 것과 같습니다). 그러나 자체 서명 된 SSL 인증서의 장점은 웹 트래픽의 암호화가 가능하다는 것입니다. 내부에서 사용하는 것이 좋을 수 있습니다. 여기서 직원이 신뢰할 수있는 CA로 조직을 추가하여 경고 메시지를 제거하고 인터넷을 통한 안전한 연결 작업을 수행 할 수 있습니다.

자체 서명 SSL 인증서 설정에 대한 지시 사항은 OpenSSL 문서를 확인하십시오. (또는 수요가 충분하면 튜토리얼을 작성하겠습니다.)

SSL 인증서 설치

SSL 인증서를 구매하면 웹 사이트에 설치해야합니다. 좋은 웹 호스트가 당신을 위해 이것을 제공 할 것입니다. 일부는 심지어 당신을 위해 그것을 구입까지 갈 수 있습니다. 종종 청구를 단순화하고 웹 서버에 올바르게 설정되도록하기 때문에이 방법이 최선의 방법입니다.

그래도 항상 직접 구매 한 SSL 인증서를 설치하는 옵션이 있습니다. 그렇게하는 경우 웹 호스트의 기술 자료에 문의하거나 헬프 데스크 티켓을 열어서 시작할 수 있습니다. SSL 인증서 설치를위한 최상의 지침을 제공합니다. 또한 CA에서 제공 한 지침을 참조해야합니다. 이것들은 내가 여기서 당신에게 줄 수있는 일반적인 조언보다 더 나은 지침을 줄 것입니다.

SSL 인증서 설치에 대한 다음 지시 사항을 확인하십시오.

이 모든 지침에는 SSL 인증서 서명 요청 (CSR) 작성이 포함됩니다. 실제로 SSL 인증서를 발급 받으려면 CSR이 필요합니다. 다시 말하지만, 웹 호스트가이를 도와 줄 수 있습니다. CSR 작성에 대한보다 구체적인 DIY 정보는 DigiCert에서 작성한 문서를 확인하십시오.

HTTPS의 장단점

우리는 이미 HTTPS의 장점 인 보안, 보안, 보안을 확고히 확립했습니다. 이를 통해 데이터 유출의 위험을 줄일 수있을뿐만 아니라 신뢰를 심어주고 웹 사이트에 평판을 높일 수 있습니다. 잘 아는 고객은 로그인 페이지에 "http : //"가 표시되면 가입을 방해하지 않을 수도 있습니다.

그러나 HTTPS에는 몇 가지 단점이 있습니다. 특정 유형의 웹 사이트에 HTTPS가 필요하다는 점을 감안할 때 이러한 웹 사이트는 부정적인 것이 아니라“고려”라고 생각하는 것이 더 합리적입니다.

• HTTPS는 비용이 듭니다 . 우선 SSL 인증서를 구매하고 갱신하는 비용이 해마다 유효합니다. 그러나 전용 IP 주소 또는 전용 호스팅 계획과 같은 HTTPS에 대한 특정 "시스템 요구 사항"도 있습니다. 공유 호스팅 패키지보다 비용이 많이 듭니다. HTTPS는 서버 응답을 느리게 할 수 있습니다. SSL / TLS와 관련하여 페이지로드 속도가 느려질 수있는 두 가지 문제가 있습니다. 먼저, 웹 사이트와 처음으로 통신을 시작하려면 사용자의 브라우저가 핸드 셰이크 프로세스를 거쳐 인증 기관의 웹 사이트로 되돌아가 인증서를 확인해야합니다. CA 웹 서버가 느리면 페이지로드가 지연됩니다. 이것은 당신이 통제 할 수없는 것입니다. 둘째, HTTPS는 암호화를 사용하므로 더 많은 처리 능력이 필요합니다. 대역폭에 맞게 컨텐츠를 최적화하고 서버의 하드웨어를 업그레이드하면이 문제를 해결할 수 있습니다. CloudFare에는 SSL이 어떻게 웹 사이트 속도를 늦출 수 있는지에 대한 좋은 블로그 게시물이 있습니다. HTTP에서 HTTPS로 전환 할 때 HTTPS가 SEO 노력에 영향을 줄 수 있습니다 . 당신은 새로운 웹 사이트로 이동하고 있습니다. 예를 들어 https://www.groovypost.com은 http://www.groovypost.com과 같지 않습니다. 귀중한 링크 주스가 손실되지 않도록 이전 링크를 리디렉션하고 서버 후드 아래에 올바른 규칙을 작성했는지 확인하는 것이 중요합니다. 혼합 된 컨텐츠는 노란색 플래그를 던질 수 있습니다 . 일부 브라우저의 경우 HTTPS에서로드 된 웹 페이지의 주요 부분이 있지만 HTTP URL에서로드 된 이미지 및 기타 요소 (예 : 스타일 시트 또는 스크립트)가있는 경우 페이지에 보안되지 않은 컨텐츠가 포함되어 있다는 경고 팝업이 나타날 수 있습니다. 물론, 보안 컨텐츠가없는 경우에는 컨텐츠가없는 것보다 보안 컨텐츠가 더 좋습니다. 그러나 여전히 페이지에 "혼합 콘텐츠"가 없는지 확인하는 것이 좋습니다. 때로는 타사 결제 프로세서를 얻는 것이 더 쉽습니다 . Google Checkout, Paypal 또는 Checkout by Amazon이 결제를 처리하게하는 것은 부끄러운 일이 아닙니다. 위의 모든 사항이 너무 복잡해 보이는 경우 고객이 Paypal의 보안 사이트 또는 Google의 보안 사이트에서 결제 정보를 교환하도록하여 문제를 해결할 수 있습니다.