"명품" vs "싸구려"
은행, 정부기관, 쇼핑몰, 제대로 된 회사는 명품이 좋겠지만... 솔직히 웹 개발자가 남의 사이트 벤치마킹 하려고 눌러보는 것 아니고서는, 일반 사용자가 인증서 확인하는 사람이 현실적으로 몇이나 될까요? (주의: 해킹될 경우 보상한도가 다를수 있습니다. 정부기관 및 방산업체등은 인증된 SSL사용해야 할 경우가 있습니다)
제일 싼 순서대로 아는 것을 적어보면,
1순위 : Let's Encrypt
장점 : 완전 공짜... Let's Encrypt DV SSL 입니다.
단점 : 3개월 유효기간. (3개월마다 자동 업데이트 스크립트 설정 가능)
참고 : 클라우드플레어 같은곳을 경유할때는, 추가설정을 해줘야지, 기본으로 설치하면 자동갱신 안됩니다.
2순위 : ionos.com
장점 : Digicert 와일드카드 DV SSL 1개를 무료로 제공 (제품군당 1개)
단점 : 공짜는 아니고, 뭔가 한가지 상품을 써야 줍니다.
참고 : 1인당 1개가 아니고, 제품군당 1개를 줍니다. 예를들면, 도메인 등록 10개, 웹호스팅 5개, 가상서버 1개, 서버 1개 이렇게 4가지 상품을 사용하면 4개 줍니다 (17개가 아니고 4개를 줌). 도메인 100개 등록해도 1개만 줍니다.
참고 : 도메인 등록비 1년에 $15 입니다 (.com 기준)
팁1 : (여러 이메일로) 여러 계좌를 오픈할수 있습니다. 각 계좌에 도메인 1개씩만 등록해도, 각 계좌마다 SSL 1개씩 줍니다.
팁2 : 계좌1에 등록된 도메인을 계좌2로 옮기면, domain transfer로 간주해서 도메인 갱신비 $10를 받습니다 (.com 기준).
3순위 : ssls.com
장점 : Sectigo DV SSL이 1년에 $3.5 (5년 등록 기준) 입니다 (Positive SSL이라고 이름 붙어있지만, Sectigo SSL 리셀러임)
단점 : 너무 쌉니다.
참고 : 이메일로 SSL을 받을수도 있습니다. 아무 이메일이나 안되고 webmaster, admin 이런 ID만 가능합니다 (예: [email protected]). 물론 DNS나 .well-known 디렉토리로도 됩니다.
위 웹사이트 FAQ에 이런말이 있네요 (이해하기 쉽게 살을 좀 붙였습니다)
Q: "명품과 싸구려 차이가 뭐냐?"
A: "로렉스 시계 차는 사람도 있고 길거리 만원짜리 시계 차는 사람도 있어. 그런데 너는, 만원짜리도 시간 잘 맞는데 왜 비싼 로렉스 차냐고 묻지 않잖아? 마찬가지야. 비싼 SSL 걸어놓는 사람들은, 그걸 걸어놓고 뿌듯해 하는거야".
여러분들은 어떤것 쓰나요? 좋은것 있으면 정보 나눠주세요.
HTTPS 인증서의 배상금은 인증서의 문제로 피해가 발생시 이용자에게 지급되는(즉 사이트 주인에게 주는건 아닙니다) 최대 금액입니다. 당연히 많을수록 좋을것 같지만 현실은 다릅니다.
대다수의 보안 사고는 비밀번호 관리 부실 등 이용자 과실로 인해 발생하며 침해사고 발생시에도 서버 취약점 등으로 인해 발생하지 인증서 자체에서 문제가 되는 일은 극히 드뭅니다.
즉 사실상 받을 일 없는 돈이라 생각하시는게 편합니다.