xetown도 startssl 적용되었나요? 저도 이거 적용시켰는데
여기도 노란색 삼각형이에요 ㅠㅠ 이거 완전히 설치된건 아닌거죠??
검색해보니 초록색 자물쇠가 잠겨져야 제대로된거라는데
1. 어떻게 해야 초록색 자물쇠가 잠겨질까요? ...
지금은 sha1을 기반으로 어쪼고 나오는데 이 메세지는 xetown에서도 똑같이 나오네요
2. 그런데 연결 밑에 부분에 나온 부분은 저도 똑같은 startssl인데 제 꺼는 tls1.0 연결이라고 하면서 더이상 사용되지 않는 방식이라고 적혀나오네요,,
xetown은 tls1.2연결인데........왜죠?? ㅠㅠ
1. SSL 인증서의 서명 방식에는 두 가지가 있습니다. SHA-1은 오래된 방식이고, SHA-256은 새로운 방식이죠. SHA-1도 현재 알려진 문제는 없지만, SHA-256보다 약해서 "멀지 않은 미래에 해킹당할 우려가 있다"는 이유로 대부분의 브라우저들은 2017년부터 SHA-256만 지원할 계획입니다.
SHA-1을 사용하는 사이트는 미리 알고 준비하라고 노란 삼각형을 표시해 주는 거고요. 이건 2017년 이전에 SHA-256으로 준비하라는 의미일 뿐, 당장 SSL에 문제가 있거나 보안이 약하다는 뜻은 아닙니다.
StartSSL에서 구입한 인증서는 정상적으로 SHA-256 서명이 되어 있지만, 그 인증서를 보증하는 "중간 인증서"가 여전히 SHA-1이기 때문에 노란 삼각형이 나오는 것입니다. 중간 인증서는 교체 주기가 길기 때문에 아직 일부 업체들은 SHA-1이 남아있을 수 있으며, 보안상 문제가 되지는 않습니다. 어차피 xetown의 인증서는 내년에 만료되니까 그 때 가서 갱신할 때 SHA-256으로 다시 발급받으면 그만입니다.
2. SSL에 몇 차례 버그와 보안취약점이 발견되어 버전업이 이루어졌습니다. 제일 오래 전에 쓰던 버전이 SSLv2이고, 그 다음에 나온 것이 SSLv3이고, 그 다음이 TLSv1, TLSv1.1, TLSv1.2 순입니다. (현재 TLSv1.3도 개발되고 있습니다.)
이 중에서 SSLv2와 SSLv3는 치명적인 보안 취약점 때문에 사용하면 안되고, TLSv1도 위험할 수 있다는 지적이 있어 점차 사용하지 않는 추세입니다. 크롬이나 파폭, 엣지 등 대부분의 최신 브라우저들은 보안이 강화된 TLSv1.2를 지원하지요. 그러나 서버에 설치된 아파치 버전이나 보안관련 라이브러리 버전이 낮으면 (또는 최신 버전을 사용하더라도 옛날 버전의 설정을 복사해다 붙인 경우) TLSv1까지밖에 지원하지 않기도 합니다. 이런 경우에는 크롬에서 안내 메시지가 표시될 수도 있습니다. "슬슬 서버 업그레이드 좀 하지 그래?" 라는 뜻이죠.
즉, 노란 삼각형은 에러는 아니지만 가까운 미래에 문제가 될 소지가 있으므로 미리 대비하라는 일종의 안내문입니다. 당장 심각하게 여길 필요는 없으나, 늦어도 2016년 말까지는 SHA-256, TLSv1.2로 전환하시는 것이 좋아요.