구글, 모질라에서 몇개월 전에 안전한 HTTPS(SSL설치)의 이용을 권장하고, HTTP(SSL미설치)를 이용시 여러가지 패널티를 부과하겠다고 발표했어요.

https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure

 

주요 변경이야기를 말하면

 

1.  앞으로 브라우저에 새로운 기능 추가/개선시에, HTTP에서만 작동가능하도록 하여, HTTP 사용시 이용하지 못하도록 패널티를 부과한다.

ex) brotli 압축, 브라우저푸시 ...

 

 

2. HTTPS를 기본으로 하고 HTTP로 접속시 '안전하지 않음'으로 표기한다

지금 : http를 기본으로 삼음(무표기), https를 안전하게 표시(초록색)

https-default.png

 

secure.png

 

예정 : http로 접속시 안전하지 않다고 표시, https를 기본으로(무표기)

nonsecure.png

 

https-default.png

 

 

변화가 매우 큰 만큼 아직 방향만 발표하고 구체적인 시행일(패널티 부과 시작일)은 발표하지 않았습니다. 아니 모질라는 슬슬 시작하고 있네요.

개인적으로는 지금은 당근(새로운 기능)만 제공하지만, 앞으로 2~4년 사이에 무시하지 못할 패널티 부과가 시작될거라고 바라보고 있습니다.

 

 

결론

HTTP 쓰지 말고 HTTPS 쓰세요. 두번쓰세요.

지금 HTTP 쓰고 있어도 언젠가는(얼마안가) HTTPS로 전환해야 할거에요.

나중에 허겁지겁 준비하지 말고, 미리 바꾸세요.

  • profile
    그렇군요 미리 전환하길 잘했다고 생각드네요..ㅎㅎ
  • ?
    ActiveX랑 비슷한 흐름으로 난리 한번 날거 같네요 ㅋㅋ
  • profile
    주변에서 SSL 설치하자고 난리던데 슬슬 본격화 되고있네요.
    그런데 솔직히 한국에서 파는 SSL은 가격이 너무 비싸 해외에서 직구하는걸 권해드리고 싶은데 알려드릴 방법이 없음 -_-;;

    와중에 익스플로러는 조용..
  • profile ?

    지금으로 부터 2주만 지나면 SSL은 무료로 바뀔거라, 이 부분은 시간이 해결해 줄것 같네요.

  • profile profile
    제가 쓰고 있는 곳이 dynadot.com 인데 간단해요 alphaSSL 쓰고 있어요
  • ? profile
    게다가 Let's Encrypt는 모질라에서 참여하는 컨소시엄이죠. 걔네들도 적극적인 대안을 마련해 놓고 차근차근 하겠다는 거지, 무턱대고 페널티 부과를 시작하진 않을 겁니다.

    남은 문제는 딱 하나예요. IE8을 죽여야 합니다. 서버를 공유하는 웹호스팅 환경에서 편하게 SSL을 사용하려면 SNI 기술을 사용해야 하는데, IE8은 SNI를 지원하지 않아서 보안경고가 뜨거나 포트번호를 붙여야 하거든요. (안드로이드 구버전도 같은 문제가 있지만, 우리나라는 워낙 핸드폰 교체주기가 짧아서 걱정하지 않아도 될 듯...)
  • profile
    SSL을 쓰고 싶지만. 기타 연결에서 SSL을 지원하지 않는 문제점이 너무많아 답이 없죠..(당장 자주쓰이는 채팅방인 Uchat만 하더라도..)
  • ?
    감사합니다. 좋은 정보 얻어 갑니다