[퍼옴] SSL, HTTPS에 대한 7가지 미신 정보
웹서버 [퍼옴] SSL, HTTPS에 대한 7가지 미신본문
2년쯤 전에 해외블로그에 소개된 내용인데, 각 항목의 제목과 요약만 그대로 옮기고
나머지는 그 동안 상황이 바뀐 것과 국내 실정에 맞추어 고쳤습니다.
원본: https://blog.httpwatch.com/2011/01/28/top-7-myths-about-https/
---------------------------------------------------------------------------------------------------
미신 #7: HTTPS는 캐싱이 되지 않는다
거짓입니다.
Cache-Control 헤더를 사용하면 HTTPS도 모든 브라우저에서 캐싱이 가능합니다.
오래된 익스플로러에서도 캐싱 잘만 됩니다.
---------------------------------------------------------------------------------------------------
미신 #6: SSL 인증서는 비싸다
거짓입니다.
SSL 인증서의 가격은 도메인 하나 등록하는 비용과 비슷하고,
StartSSL을 사용하면 무료로도 인증서를 받을 수 있습니다.
옮긴이 코멘트:
국내에서는 Comodo PositiveSSL이 3-4만원대에 거래되고 있는데, 이건 순 바가지입니다.
물론 해외 업체와 제휴해서 판매하시는 분들의 수고를 생각하면 어느정도 마진이 붙는 건 당연하지만,
해외에서 직접 구매할 경우 100% 동일한 PositiveSSL 인증서를 적게는 $3.95, 보통 $7~$9에 구입 가능하죠.
해외에서 구입하더라도 100% 동일한 제품이므로 kr 도메인 역시 100% 지원됩니다.
반면, StartSSL이 무료이긴 하지만 윈도우 XP에서는 업데이트를 어디까지 적용했는지에 따라
인식이 안 될 수도 있으니 주의하시기 바랍니다.
국산이라고 광고하는 KISA 인증서는 브라우저 지원이 엉망이므로 패스...
---------------------------------------------------------------------------------------------------
미신 #5: HTTPS 사이트는 각각 공인IP가 필요하다
거짓입니다.
와일드카드 인증서를 사용하거나 다른 포트를 사용하거나 SNI를 사용하면
공인IP 하나당 여러 개의 HTTPS 사이트를 사용 가능합니다.
옮긴이 코멘트:
카페24를 비롯한 대부분의 웹호스팅 업체들은 https://www.domain.co.kr:50123 이렇게
도메인 뒤에 포트를 붙이는 방법으로 공인IP 하나에 여러 HTTPS 사이트를 사용하고 있습니다.
포트 없이도 가능하도록 해주는 SNI 기술의 경우, 윈도우 XP 익스플로러를 지원하지 않기 때문에
국내에서는 당분간 도입이 어려울 것 같네요. (같은 익스8이라도 XP에서는 안되고 윈7에서만 됩니다.)
와일드카드 인증서는 쓸데없이 비싸므로 패스...
---------------------------------------------------------------------------------------------------
미신 #4: 서버를 옮기거나 증설하면 SSL 인증서를 새로 구입해야 한다
거짓입니다.
SSL 인증서는 다른 서버로 얼마든지 복사할 수 있습니다.
(원본글에는 IIS에서 인증서를 복사하는 스샷이 나옵니다.)
옮긴이 코멘트:
SSL 인증서는 특정 도메인과 연결되는 것이지, 특정 서버나 공인IP에 연결되는 것이 아니죠.
서버 옮길 때마다 인증서 새로 사라고 하는 사람이 있다면 사기꾼입니다.
---------------------------------------------------------------------------------------------------
미신 #3: HTTPS는 느리다
거짓입니다.
현대의 CPU에서 암호화를 수행하는 데 필요한 로드는 무시해도 좋을 만큼 적습니다.
그러나 최초 커넥션에 시간이 많이 걸리다는 것은 사실입니다.
자체 테스트에 따르면 첫 페이지 로드에 10% 정도 시간이 더 걸리지만,
keepalive를 사용할 경우 두 번째 페이지부터는 속도 차이를 거의 느낄 수 없습니다.
프록시 서버를 사용할 경우에는 프록시 설정에 따라 오히려 HTTPS가 더 빠른 경우도 있습니다.
옮긴이 코멘트:
정말인지 테스트해 보았습니다. 다음 글을 봐주세요.
---------------------------------------------------------------------------------------------------
미신 #2: HTTPS를 사용할 때는 보안이 잘 되므로 아무거나 쿠키에 막 넣어서 보내도 된다
거짓입니다.
HTTPS를 사용하면 스니핑을 할 수 없을 뿐이지,
그 밖의 방법으로 세션을 가로챌 경우 동일한 보안 취약점이 발생할 수 있습니다.
URL도 마찬가지입니다. 해커가 URL을 훔쳐볼 수는 없지만, 다른 곳에 로그가 남을 수 있으니
아무리 HTTPS를 사용하더라도 중요한 정보를 URL에 넣어서 전송하는 것은 안됩니다.
옮긴이 코멘트:
예를 들어 XSS 취약점이 있다면 쿠키를 훔치는 건 전혀 어렵지 않지요.
---------------------------------------------------------------------------------------------------
미신 #1: 로그인 페이지에만 HTTPS를 사용하면 된다
거짓입니다.
로그인하고 나서 HTTP로 돌아온다면 세션 쿠키를 얼마든지 훔칠 수 있으니
쿠키를 훔쳐서 해당 사용자의 계정에 얼마든지 접근할 수 있습니다.
굳이 ID와 비번을 훔칠 필요도 없지요.
옮긴이 코멘트:
바로 이 문제 때문에 2-3년 전부터 Gmail, Twitter, Github 등 상당수의 해외 사이트들이
로그인 페이지뿐만 아니라 웹사이트 전체를 HTTPS로 전환했습니다.
HTTPS 안 쓰고 끝까지 버티던 페이스북도 어느 순간 슬그머니 HTTPS를 적용하기 시작했죠.
국내의 네이버, 다음 등은 이런 부분에 전혀 신경쓰지 않고 로그인 보안만 강조한다는 점이 아쉽네요.
재작년쯤 국회에서 어떤 분이 옆자리에 앉은 분의 포털 세션을 가로채는 시범을 보였는데,
뉴스에 반짝 나왔을 뿐, 아무도 반성의 기미를 보이지 않고 있습니다.
참고: 6년 전 송효진님 글 http://www.phpschool.com/link/tipntech/57717
나머지는 그 동안 상황이 바뀐 것과 국내 실정에 맞추어 고쳤습니다.
원본: https://blog.httpwatch.com/2011/01/28/top-7-myths-about-https/
---------------------------------------------------------------------------------------------------
미신 #7: HTTPS는 캐싱이 되지 않는다
거짓입니다.
Cache-Control 헤더를 사용하면 HTTPS도 모든 브라우저에서 캐싱이 가능합니다.
오래된 익스플로러에서도 캐싱 잘만 됩니다.
---------------------------------------------------------------------------------------------------
미신 #6: SSL 인증서는 비싸다
거짓입니다.
SSL 인증서의 가격은 도메인 하나 등록하는 비용과 비슷하고,
StartSSL을 사용하면 무료로도 인증서를 받을 수 있습니다.
옮긴이 코멘트:
국내에서는 Comodo PositiveSSL이 3-4만원대에 거래되고 있는데, 이건 순 바가지입니다.
물론 해외 업체와 제휴해서 판매하시는 분들의 수고를 생각하면 어느정도 마진이 붙는 건 당연하지만,
해외에서 직접 구매할 경우 100% 동일한 PositiveSSL 인증서를 적게는 $3.95, 보통 $7~$9에 구입 가능하죠.
해외에서 구입하더라도 100% 동일한 제품이므로 kr 도메인 역시 100% 지원됩니다.
반면, StartSSL이 무료이긴 하지만 윈도우 XP에서는 업데이트를 어디까지 적용했는지에 따라
인식이 안 될 수도 있으니 주의하시기 바랍니다.
국산이라고 광고하는 KISA 인증서는 브라우저 지원이 엉망이므로 패스...
---------------------------------------------------------------------------------------------------
미신 #5: HTTPS 사이트는 각각 공인IP가 필요하다
거짓입니다.
와일드카드 인증서를 사용하거나 다른 포트를 사용하거나 SNI를 사용하면
공인IP 하나당 여러 개의 HTTPS 사이트를 사용 가능합니다.
옮긴이 코멘트:
카페24를 비롯한 대부분의 웹호스팅 업체들은 https://www.domain.co.kr:50123 이렇게
도메인 뒤에 포트를 붙이는 방법으로 공인IP 하나에 여러 HTTPS 사이트를 사용하고 있습니다.
포트 없이도 가능하도록 해주는 SNI 기술의 경우, 윈도우 XP 익스플로러를 지원하지 않기 때문에
국내에서는 당분간 도입이 어려울 것 같네요. (같은 익스8이라도 XP에서는 안되고 윈7에서만 됩니다.)
와일드카드 인증서는 쓸데없이 비싸므로 패스...
---------------------------------------------------------------------------------------------------
미신 #4: 서버를 옮기거나 증설하면 SSL 인증서를 새로 구입해야 한다
거짓입니다.
SSL 인증서는 다른 서버로 얼마든지 복사할 수 있습니다.
(원본글에는 IIS에서 인증서를 복사하는 스샷이 나옵니다.)
옮긴이 코멘트:
SSL 인증서는 특정 도메인과 연결되는 것이지, 특정 서버나 공인IP에 연결되는 것이 아니죠.
서버 옮길 때마다 인증서 새로 사라고 하는 사람이 있다면 사기꾼입니다.
---------------------------------------------------------------------------------------------------
미신 #3: HTTPS는 느리다
거짓입니다.
현대의 CPU에서 암호화를 수행하는 데 필요한 로드는 무시해도 좋을 만큼 적습니다.
그러나 최초 커넥션에 시간이 많이 걸리다는 것은 사실입니다.
자체 테스트에 따르면 첫 페이지 로드에 10% 정도 시간이 더 걸리지만,
keepalive를 사용할 경우 두 번째 페이지부터는 속도 차이를 거의 느낄 수 없습니다.
프록시 서버를 사용할 경우에는 프록시 설정에 따라 오히려 HTTPS가 더 빠른 경우도 있습니다.
옮긴이 코멘트:
정말인지 테스트해 보았습니다. 다음 글을 봐주세요.
---------------------------------------------------------------------------------------------------
미신 #2: HTTPS를 사용할 때는 보안이 잘 되므로 아무거나 쿠키에 막 넣어서 보내도 된다
거짓입니다.
HTTPS를 사용하면 스니핑을 할 수 없을 뿐이지,
그 밖의 방법으로 세션을 가로챌 경우 동일한 보안 취약점이 발생할 수 있습니다.
URL도 마찬가지입니다. 해커가 URL을 훔쳐볼 수는 없지만, 다른 곳에 로그가 남을 수 있으니
아무리 HTTPS를 사용하더라도 중요한 정보를 URL에 넣어서 전송하는 것은 안됩니다.
옮긴이 코멘트:
예를 들어 XSS 취약점이 있다면 쿠키를 훔치는 건 전혀 어렵지 않지요.
---------------------------------------------------------------------------------------------------
미신 #1: 로그인 페이지에만 HTTPS를 사용하면 된다
거짓입니다.
로그인하고 나서 HTTP로 돌아온다면 세션 쿠키를 얼마든지 훔칠 수 있으니
쿠키를 훔쳐서 해당 사용자의 계정에 얼마든지 접근할 수 있습니다.
굳이 ID와 비번을 훔칠 필요도 없지요.
옮긴이 코멘트:
바로 이 문제 때문에 2-3년 전부터 Gmail, Twitter, Github 등 상당수의 해외 사이트들이
로그인 페이지뿐만 아니라 웹사이트 전체를 HTTPS로 전환했습니다.
HTTPS 안 쓰고 끝까지 버티던 페이스북도 어느 순간 슬그머니 HTTPS를 적용하기 시작했죠.
국내의 네이버, 다음 등은 이런 부분에 전혀 신경쓰지 않고 로그인 보안만 강조한다는 점이 아쉽네요.
재작년쯤 국회에서 어떤 분이 옆자리에 앉은 분의 포털 세션을 가로채는 시범을 보였는데,
뉴스에 반짝 나왔을 뿐, 아무도 반성의 기미를 보이지 않고 있습니다.
참고: 6년 전 송효진님 글 http://www.phpschool.com/link/tipntech/57717
추천
2
2
댓글 0개