HTTPS Everywhere란 무엇입니까?
HTTPS Everywhere는 온라인 위협으로부터 전체 사용자 경험을 보호하는 웹사이트에서 사용하는 모범적인 보안 조치입니다. HTTPS Everywhere는 선택적인 적용이 아닌, 전체 웹사이트에서 TLS/SSL로 활성화된 보안 웹 프로토콜인 HTTPS를 적용하는 것을 의미합니다. 이렇게 하면 사이트의 모든 페이지가 TLS/SSL 암호화로 보호되며, 안전하지 않은 웹 브라우저로 표시되지 않습니다.
HTTPS는 웹사이트의 ID, 연결, 데이터 무결성을 인증하고 웹사이트와 사용자 간에 공유된 모든 정보(교환된 쿠키 포함)를 암호화하여 데이터가 무단으로 보이거나, 변조되거나, 오용되지 않도록 보호합니다. 고급 스푸핑, 주입, 중간자 공격으로부터 사용자를 안전하게 보호하려면 전체 검색 세션에 대한 보안 연결을 유지해야 합니다.
HTTPS용 푸시 및 브라우저
더 이상 일부 사용자 연결만 보호하는 것은 충분하지 않습니다. 웹사이트에서 간헐적으로 HTTPS를 사용하면 일부 페이지만 TLS/SSL의 암호화 및 보안으로 보호되며, 다른 페이지는 데이터 도난, 콘텐츠 주입/수정, 인터넷 감시로 인한 개인 정보 침해에 취약해집니다. TLS/SSL의 간헐적인 배포는 사용자의 보안 기대치와 권리를 충족하지 못할 뿐 아니라 브라우저 및 OS 플랫폼의 요건도 만족시키지 못합니다.
Google, Mozilla, Apple을 비롯한 주요 브라우저에서는 HTTPS Everywhere의 채택을 장려하기 위한 노력의 일환으로 수년 동안 HTTP만 사용하는 모든 웹사이트에 부정적인 경고 레이블을 띄워 HTTP만 사용하는 것을 지양하도록 권장했으며, 동시에 안전한 HTTPS의 사용을 추천했습니다.
HTTPS Everywhere로 웹사이트 보안에 신경 써야 하는 이유
신뢰는 인터넷 경제의 초석입니다. 신뢰를 쌓으려면 로그인 페이지와 장바구니뿐만 아니라 사용자가 방문하는 모든 웹 페이지를 보호하는 엔드 투 엔드 보안이 필요합니다. 새로운 인터넷 표준과 웹 브라우저의 변화는 또한 HTTPS로 전환한 웹사이트를 지원하고 HTTP를 그대로 사용하는 안전하지 않은 사이트를 적극적으로 제한하고 있습니다. 예를 들어, Google은 2014년부터 HTTPS를 통해 제공되는 페이지를 검색 결과 상위에 노출시키고 있습니다. 또한 HTTPS 페이지의 주소창에 ‘보안’ 레이블을 표시하기도 했습니다. Google Chrome은 2018년 7월에 HTTP만을 사용하는 모든 페이지에 경고 레이블을 표시하기 시작했습니다.
Chrome은 모든 HTTP 페이지에 경고 표시를 추가 최초의 주요 브라우저였으며, 인터넷이 ‘Secure by Default’ 표준을 따르게 되면서 다른 브라우저도 그 뒤를 이었습니다. 또한, 많은 새로운 웹 기술과 브라우저 기능에는 HTTPS가 필요합니다. 여기에는 웹사이트 성능을 크게 향상할 수 있는 웹 통신 프로토콜의 근본적인 개선 사항인 HTTP/2는 물론 지리 위치, 알림, 서비스 워커, Google의 AMP 모바일 표준, 최신 압축 방법 등을 비롯한 브라우저 기능이 포함됩니다. 간단히 말해 HTTPS를 사용하지 않으면 앞으로 웹사이트를 효과적으로 사용할 수 없습니다.
HTTPS Everywhere로 전환하는 3가지 팁
1. ‘혼합 콘텐츠’ 문제를 방지하려면 사이트에서 실행 중인 광고나 분석 서비스와 같은 타사 서비스를 HTTPS를 통해 사용할 수 있는지 확인합니다.
2. 웹사이트의 일부가 다른 서버 또는 도메인에서 실행되는 경우 추가 TLS/SSL 인증서를 구입합니다.
3. 모든 웹 페이지를 새로운 HTTPS 페이지로 리디렉션하고 Google 웹마스터 도구를 업데이트합니다. HTTPS Everywhere로 전환하면 SEO 표시가 나타납니다. Google을 비롯한 여러 검색 엔진은 이를 새 도메인 이름으로 이동하는 것과 마찬가지인 웹사이트 전환으로 간주합니다.
