비보안 비밀번호 모음으로 인해 Chrome 56에 ... 경고가 표시됩니다.

4 Comments

간밤에 아래와 같은 이메일을 구글로부터 받았습니다.

비보안 비밀번호 모음으로 인해 Chrome 56에 http://www.example.com/ 경고가 표시됩니다.

그리고 이메일 본문에는:

2017년 1월부터 Chrome(버전 56 이상)에서는 페이지가 HTTPS로 제공되지 않는 경우 비밀번호나 신용카드 세부정보를 수집하는 페이지를 '안전하지 않음'으로 표시합니다.

다음 URL에는 비밀번호나 신용카드 세부정보를 수집하는 입력란이 포함되어 있으며, 이로 인해 새로운 Chrome 경고가 표시됩니다. 다음의 예를 검토하여 이 경고가 어디에 표시되는지 확인하고 사용자의 데이터를 보호하기 위한 조치를 취하시기 바랍니다. 이 목록은 일부일 뿐 전체 목록이 아닙니다.

페이지 주소

새로운 경고는 암호화되지 않은 HTTP 프로토콜을 통해 제공되는 모든 페이지를 '안전하지 않음'으로 표시하기 위한 장기 계획의 첫 번째 단계입니다.

문제 해결 방법:
민감한 정보는 HTTPS 페이지를 사용하여 수집

Chrome 사용자가 사이트를 방문할 때 '안전하지 않음' 알림이 표시되지 않게 하려면 비밀번호 및 신용카드 입력란 모음을 HTTPS 프로토콜을 사용하여 제공되는 페이지로 이동하시기 바랍니다.

2017년 1월부터 Chrome(버전 56 이상)에서는 페이지가 HTTPS로 제공되지 않는 경우 비밀번호나 신용카드 세부정보를 수집하는 페이지를 '안전하지 않음'으로 표시한다는 내용 같습니다. (하지만 경고를 받은 게시글은 비밀번호나 신용카드 같은 민감한 정보를 받지 않는 평범한 글입니다.)

이 문제가 새해부터 적용된다는 것을 작년에 알고 있었습니다. 그래서 SSL을 적용해야 하나 고민도 했습니다. (SSL이 적용된 사이트는 구글에서 우선적으로 검색이 되도록 하겠다는 정책도 본 적이 있습니다. 실제로 이 정책이 시행되고 있는지는 잘 모르겠습니다.) 하지만 몇몇 개인 블로그를 살펴보니 SSL을 적용하는 경우는 드문 것 같습니다. 사실 현재 사용 중인 Bluehost VPS의 경우 SSL이 무료로 제공되는 것으로 알고 있습니다. 이 문제를 블루호스트에 문의한 적이 있는데 가능하다라는 답변만 듣고 구체적인 방법은 듣지 못했습니다. (추가: 이와 관련하여 조금 검색해보니 공유호스팅의 경우 무료 공유 SSL을 제공하고, VPS의 경우 cpanel 내에서 SSL을 구입할 수 있도록 되어 있는 것 같습니다. 이전에 무료 옵션이 있었던 것으로 기억하는데, 지금 확인해보니 무료로 제공되는 SSL은 보이지 않네요.)

별 문제가 없으면 당분간 현재 상태로 사용하려고 계획하고 있습니다. 재미있는 것은 이 블로그는 https://www.thewordcracker.com/ 대신 https://www.thewordcracker.com/으로도 접속이 가능하다는 점입니다. 이 때문인지 구글에서 이 블로그의 일부 글이 http://... 대신 https://...로 등록되어 있습니다. (혹시나 싶어 다른 사이트도 http://와 https://가 함께 사용 가능한지 테스트해보니 대부분은 그렇지 않네요.)

추가: 블루호스트의 경우 공유 호스팅(저가형 호스팅)의 경우 무료 공유 SSL 인증서(free shared SSL Certificate)를 제공한다고 하네요. Standard와 Pro 계정의 경우 하나의 전용 IP(Dedicated IP)와 하나의 SSL 인증서만을 가질 수 있다고 합니다. VPS, 전용 및 리셀러 계정의 경우 여러 개의 전용 IP와 SSL 인증서를 가질 수 있다고 하네요.

현재 사용 중인 블루호스트 VPS에서 cpanel > SSL을 클릭해보니 SSL을 cpanel 내에서 구입할 수 있는 옵션을 제공하네요.

블루호스트 SSL

월 4.17달러부터 시작되네요. 예전에 카페24에서 운영되는 사이트에 SSL을 적용하기 위해 해외에서 무료로 제공되는 SSL 인증서를 발급받아서 사용하려고 시도한 적이 있었는데(하지만 카페24에서는 443 포트를 제공하지 않습니다ㅠㅠ), 이와 같이 무료SSL 인증서를 발급받아 사용하는 것도 한 방법 같습니다. 구글 검색을 해보니 "StartSSL 무료 인증서 발급받기"라는 글이 검색되네요. 참고하면 좋을 듯 합니다.

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

4개 댓글

  1. 저도 워드프레스를 하면서 SSL을 설치해야 되나 망설였는데요 워드프레스를 하면서 SSL을 설치하는 분이 많지는 않은 듯 해요..
    한번은 인터넷진흥원에 전화를해서 워드프레스를 하는데 댓글만 허용하는데도 꼭 SSL 설치해야 되냐고 문의를 한 적이 있는 것 같으데요 그때는 안해도 된다고 답변을 들었는 것 같아요..!!

    응답

    1. 쇼핑몰을 운영한다든지 혹은 개인정보를 취급하는 사이트를 운영하지 않으면 SSL을 설치할 의무는 없을 것 같습니다(이 부분은 확인이 필요한 부분입니다ㅎㅎ).

      응답

    1. SSL을 적용하니까 지연이 발생하네요. OCSP Stapling을 활성화해야 하는데 방법이 조금 까다로워서 SSL 인증서를 제거했습니다ㅠㅠ

      응답

댓글 남기기

* 이메일 정보는 공개되지 않습니다.