영원히 SSL 보안 연결을 해제하지않을 계획이라서...
http로 다시 전환할 계획이 없어서 hsts preload 신청했습니다.
https://hstspreload.appspot.com/
요건 쉽게 말하면 웹브라우저에게 "영구적으로 오로지 https만 사용하겠습니다"라고 못박아두는 것입니다. 그럼으로써 HTTP에서 공격할 기회를 아예 주지않는 겁니다.
https://scotthelme.co.uk/hsts-preloading/
취소할 수도 있지만, 못을 빼낸 브라우저 업데이트가 나올때까지 기다려야하고, 모든 사용자에게 업데이트 적용이 될때까지 또 기다려야하기때문에 결론적으로 어렵습니다. 신중하게...
conory
Lv. 7
![1.png [File Size:9.0KB/Download:4]](/files/download/link/684480/7790ed4ed027b3ca5f105b90a2ac7601/1.png){kind=link}
댓글 13
https:// 이걸 다시 구글웹마스터도구에 등록하면 되는건가요?
HSTS가 서버헤더에 저장만 해놓으면 되는걸로 알고 있었는데 이 글에 적힌 주소는 뭐고 차이가 뭔지 궁금해요.
헤더만 지정하면 첫 방문자는 http로 접속할 수 있습니다. 첫 방문이므로 아직 헤더가 브라우저에 저장된 상태가 아니기 때문 입니다.
첫 방문자도 무조건 https로 접속되게 하려면 애초부터 브라우저에 도메인을 알려야 합니다. 그 절차가 hstspreload.org 입니다.
등록된 도메인 리스트는 브라우저 배포판에 포함됩니다. 등록되면 브라우저의 다음 버전부터 적용 됩니다.
취소도 할 수 있지만, 까다롭 습니다. 더군다나 취소도 다음버전 부터 적용됩니다. 즉, 이미 배포된 브라우저 배포판엔 그대로 남아 있어 업데이트를 하지 않는 다면 취소가 적용되지 않겠죠? 그러니, 신중해야 합니다.
HSTS나 hstspreload.org 두개 모두 신중에 신중을 기해야 되는군요!
답변 감사합니다. ^^