질문/공유팁 게시판

클라우드플레어 SEO에 악영향을 미치다 + SSL 보안에 아무런 효과가 없다!

루딩
조회 수 1519 추천 수 1
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

인터넷서핑중 우연히 어느분의 게시글을 보았습니다.

 

 

클라우드플레어 (비즈니스플랜이 아닌이상) SEO에 악영향을 주며

 

SSL은 보안에 거의 도움이 주지 않는다는 글을 보았어요

 

다른 분들도 한번 참고해보세요!

 

비교적 신뢰성 있는 게시글 같았습니다.

 

클라우드플레어 (CloudFlare) 를 쓰지 말아야 하는이유

 

- http://hackya.com/kr/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%ED%94%8C%EB%A0%88%EC%96%B4-cloudflare-%EB%A5%BC-%EC%93%B0%EC%A7%80-%EB%A7%90%EC%95%84%EC%95%BC-%ED%95%98%EB%8A%94%EC%9D%B4%EC%9C%A0/

 

워드프레스 HTTPS 무료 SSL/TLS 설치에 관해서

- (기진곰님에 의해 이 게시글은 부정확한 글이라는 의견이 나왔습니다.) 

 

- http://hackya.com/kr/%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-https-%EB%AC%B4%EB%A3%8C-ssl-tls-%EC%84%A4%EC%B9%98%EC%97%90-%EA%B4%80%ED%95%B4%EC%84%9C/

위로 아래로
댓글 5
  • profile
    위 내용 말고 무표플랜의 SSL 인증서가 검색봇이 해석하지 못하는 문제가 있어 SEO에 심각한 문제가 발생할 수 있습니다. 네이버는 문제가 되는 것을 저는 확인하고 클라우드플레어 사용시 pro플랜으로 사용한 적이 있습니다.
  • profile

    국내에서는 클플을 사용하면 많이 느려지는 것이 맞습니다. 심지어 200달러 비즈니스 플랜을 써도 회선 사정에 따라 해외로 연결되는 일이 종종 있더군요. 무료 플랜의 SSL 인증서도 어정쩡하고요.

     

    그러나 두 번째 링크는 순전히 헛소리입니다.

     

    현재 SSL 방식은 여러가지 취약점이 존재합니다. SSL 의 최종버전인 SSLv3 의 경우에도 man in the middle 방식의 공격에 (대표적으로 POODLE) 대응하지 못합니다.

     

    요즘 SSL이라고 하면 당연히 TLS를 의미합니다. SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2, 현재 개발이 거의 완료된 TLSv1.3 등 모든 버전을 통칭해서 SSL이라고 부르는 것 뿐입니다. 클플을 비롯하여 SSL을 지원하는 서비스들은 엄밀히 말하면 SSL이 아니라 TLS를 지원하는 것이고요. SSLv3은 치명적인 보안 취약점이 발견된 2014년 가을 이후 대부분 꺼둔 상태이고. 이제 SSLv3을 사용하면 크롬이나 파이어폭스에서는 접속조차 되지 않습니다. 접속이 되는 사이트는 모두 TLSv1 이상입니다.

     

    TLS 얘기하는데 SSL 구 버전의 보안취약점을 들먹이는 것은 윈도우10 얘기하는데 윈도우Me 시절의 단점을 들먹이는 것과 마찬가지지요. (SSLv3는 윈도우Me보다 더 오래된 물건입니다.) 그냥 안티구나 생각하시면 됩니다.

     

    SSL 이나 TLS 나 사이트를 해킹의 위협에서 보호해 주는 것 이 아닙니다. 단지 각 방문자가 사이트에 접속을 할때, 그 연결 (connection) 을 대칭키 비교와 토큰 binding 을 통해 (TLS 의 경우), 실제 사이트에 접속했는지, 아니면 URL spoofing 을 하는 가짜 사이트에 접속이 된건지 확인이 가능하다는 것 뿐 입니다. 다시말해 사이트 피싱 방식의 해킹만을 막아주는 protocol 인 것 입니다.

     

    SSL(TLS)은 피싱을 막아주지 않습니다. xetown.com이 아닌 xet0wn.com에 접속하는 것을 막아주지도 않습니다. 원래 그런 목적으로 만들어진 기술이 아니니까요.

     

    SSL(TLS)의 주 목적은 서버와 클라이언트 사이에서 전송되는 정보를 제3자가 도·감청하거나 위·변조하는 것을 막는 것입니다. SSL(TLS)을 제대로 사용하면 누가 별도의 악성코드를 심지 않는 한 국정원이 여러분의 인터넷 방문 기록을 뒤져보기도 귀찮아지고, 통신사에서 무단으로 광고를 삽입할 수도 없고, 커피숍 건너편에 앉아 있는 사람이 여러분의 아이디와 비번을 볼 수도 없게 됩니다.

     

    구글, 페이스북, 트위터 같은 회사들이 과연 할 일이 그렇게 없어서 사이트 전체에 SSL(TLS)을 적용했을까요?

     

    그러니 웹사이트가 https 가 설치되어 있더라도, 방문자의 브라우져가 IE11 이하라면 웹사이트가 작동도 되지 않게 되는 것 입니다.

     

    SSL(TLS)이 설치된 사이트도 IE11 이하에서 접속 잘 되기만 합니다. HTTP2가 지원되지 않으니까 살짝 느리게 접속될 뿐... (TLSv1은 IE7부터 호환됩니다.) 게다가 SSL(TLS)을 사용하면 구글에서 가산점을 주기 때문에 속도 저하에 따른 페널티가 있더라도 충분히 상쇄될 겁니다.

     

    이 HTTPS 인증이 매년 갱신되어야 합니다. (개귀찮습니다.)

     

    인증서 갱신하기 귀찮다는 분이 도메인은 꼬박꼬박 잘 갱신하시네요 ㅋㅋ

     

    무료 HTTPS 인증을 제공하는 Let’s Encrypt 의 경우, 90일마다 갱신이 되어야 합니다. ㅋㅋㅋ 켁.

     

    자동으로 갱신해 주는 프로그램이 널렸습니다.

     

    HTTPS 는 두번에 걸쳐 handshake (확인과정) 을 거치기 때문에 사이트 로딩속도가 최소 0.5초에서 그 이상으로 느려질 수 있습니다.

     

    국내 서버 기준으로 SSL(TLS) handshake에 소요되는 시간은 대개 0.05초 이하입니다. 수도권이라면 그것보다 더 빠를 가능성이 높습니다.

     

    HTTP2 가 모든 브라우져에서 작동할때까지 HTTPS 는 설치를 하지 않는게 좋다.

     

    국정원이 이 글을 좋아합니다^^

     

    오래된 정보, 불완전한 정보, 국내 사정을 고려하지 않고 해외에서 무작정 퍼온 정보는 득보다 실이 더 많습니다. 보안과 관련된 문제라면 더욱 그렇고요. 이 분이 예전부터 좀 오버하시던 분이긴 하지만, 적어도 보안에 관한 내용을 쓸 때는 이 글의 제목을 다시 한 번 되새겨 봐야 하지 않을까 싶습니다 ㅎㅎ

     

    결론: 이상한 글 퍼오지 마세요 ㅠㅠ

  • profile
    오래전에 xe 공홈에서 어쩌다 저 블로그로 흘러들어가 몇 개 읽어보고 그냥 닫았어요.
    그냥 xe를 싫어하고 wp를 참 좋아하는 사람 같아요.

    클라우드플레어 관련은 잘 모르겠고, 두 번째 글은 전문가가 아니라도 조금만 알아보면 알 수 있는 것을 참 이상하게 써 놨어요.
    1년에 한번 갱신하는 것도 개귀찮다 하고, Let's Encrypt 인증서를 90일마다 갱신하는 걸 까면서 왜 Let's Encrypt 설치를 소개하는지(...)
    저 글이 작성됐을 당시에도 Let's Encrypt 자동갱신 하는 방법은 많이 있었죠.
  • profile ?
    아 그렇군요 다른건 안보고 저 두개글만 봤는데..

    비전문가입장이라서 정확한 정보가 아닌 게시물인지 몰랐네요.
  • profile
    링크의 쥔장님은 
    어디가나 튀는 사람이 있죠. 그런분들중 한분 일겁니다.....^^;;