팁/튜토리얼

영원히 SSL 보안 연결을 해제하지않을 계획이라서...

2015.11.09 07:03
992
2

http로 다시 전환할 계획이 없어서 hsts preload 신청했습니다.

 

1.png

 

https://hstspreload.appspot.com/

 

요건 쉽게 말하면 웹브라우저에게 "영구적으로 오로지 https만 사용하겠습니다"라고 못박아두는 것입니다. 그럼으로써 HTTP에서 공격할 기회를 아예 주지않는 겁니다.

https://scotthelme.co.uk/hsts-preloading/

 

취소할 수도 있지만, 못을 빼낸 브라우저 업데이트가 나올때까지 기다려야하고, 모든 사용자에게 업데이트 적용이 될때까지 또 기다려야하기때문에 결론적으로 어렵습니다. 신중하게...

 

conory Lv. 7

댓글 13

  • 2015.11.09 07:07 #70226
    저는 이렇게까지는 못해도 SSL은 유지할 생각이에요. 구글 같은 제대로된 검색엔진에서는 https 를 사용하는 사이트에게 점수를 더 준다는 이야기를 듣고 그동안 귀찮아서 선택적SSL 사용을 했는데 바로 전환하게 되었네요 ㅋ
  • 2015.11.09 07:14 #70238
    네.. 구글이 SSL 적용 동기가 되었군요^^
  • 2015.11.11 10:38 #74828
    구글이 SSL 적용사이트를 좋아한다는말은

    https:// 이걸 다시 구글웹마스터도구에 등록하면 되는건가요?
  • 2015.11.11 10:41 #74858
    구글은 따로 등록이 안되더군요. 뭐 알아서 인식하겠죠.
  • 2015.11.09 07:53 #70273
    엇! 사이트 주인인지 확인하는 부분은 없네요! 남의 사이트 입력하면 어떻게 될까요?
  • 2015.11.09 07:57 #70278
    실제로 해당사이트에서 Strict-Transport-Security: preload 헤더를 사용하고 있지 않으면 등록이 되지 않습니다.
  • 2015.11.09 07:58 #70282
    아래 링크에 그런 설명이 있었네요 ㅋㅋㅋ
  • 2015.11.11 10:39 #74838
    SSL을 사용하면서 구글애드센스를 제외한 나머지 광고업체 (스폰서애드 , 클릭몬) 등의 광고가 나오게 할 방법은 없을까요?
  • 2015.11.11 11:13 #74935
    방법 없습니다. 해당 업체들이 ssl를 지원해야합니다.
  • 2015.11.14 15:23 #79288
    좋은글 감사합니다.
  • 2017.03.20 16:28 #537741
    코노리님 볼지는 모르겠지만 궁금해서 써보기는 합니다.
    HSTS가 서버헤더에 저장만 해놓으면 되는걸로 알고 있었는데 이 글에 적힌 주소는 뭐고 차이가 뭔지 궁금해요.
  • 2017.03.21 02:30 #538029

    헤더만 지정하면 첫 방문자는 http로 접속할 수 있습니다. 첫 방문이므로 아직 헤더가 브라우저에 저장된 상태가 아니기 때문 입니다.

    첫 방문자도 무조건 https로 접속되게 하려면 애초부터 브라우저에 도메인을 알려야 합니다. 그 절차가 hstspreload.org 입니다.

    등록된 도메인 리스트는 브라우저 배포판에 포함됩니다. 등록되면 브라우저의 다음 버전부터 적용 됩니다.

    취소도 할 수 있지만, 까다롭 습니다. 더군다나 취소도 다음버전 부터 적용됩니다. 즉, 이미 배포된 브라우저 배포판엔 그대로 남아 있어 업데이트를 하지 않는 다면 취소가 적용되지 않겠죠? 그러니, 신중해야 합니다.

  • 2017.03.21 03:58 #538165
    아~ 이해가 한번에 쏙 됩니다.
    HSTS나 hstspreload.org 두개 모두 신중에 신중을 기해야 되는군요!
    답변 감사합니다. ^^