도메인이나 홈페이지, 블로그의 HTTP 주소를 SSL 보안이 적용된 HTTPS로 변경해야 할까? ssl 보안 속도 검색결과 등에 대한 간단 설명
1. 기본적으로 주어지는 주소는 http 인데 이 주소를 꼭 https 로 시작하도록 변경해야 할까?
http가 아니라 https 로 시작하는 주소를 ssl 보안이 되었다고 말한다. 왜 보안이 되었냐고 말하는가는… 일반 http 로 시작하는 주소에서는 서버와 오고가는 내용이 암호화된 채로 오고가는게 아니어서 마음만 먹으면 쉽게 가로챌 수 있다고 한다. 다시 말해 비밀번호나 아이디와 같은 것들이 암호화되지 않은 채로 그대로 전송되고 전송받기 때문에 누군가 웹 상에 몰래 들어와 있으면 내 보안정보를 그대로 가로채 갈 수 있다는 의미로 이해했다.
그런데 ssl 보안이 적용된 https로 시작되는 주소는 ‘암호화된 상태로’ 송수신이 된다고 한다. 따라서 누군가 몰래 접속해 있어도 암호화된 패키지를 가로채봤자 내용을 볼 수 없으니 무용지물인 셈이다.
따라서 온라인 상점이나 어떤 기관이라면 반드시 https로 된 주소가 적용되어야 한다고 보면 될 것이다.
여기에는 128비트, 256비트 등의 암호화가 적용된다.
2. 구글이나 네이버 등 검색엔진에서는 http와 https 주소를 완전히 다른 주소로 인식하고 있었지만! 요즘은 자동으로 하나로 결합해 인식하는 추세다.
오랜 기간 http 였던 도메인 주소를 시험삼아 https로 변경했더니 문제가 생겼다. 앞에 http만 https로 바뀌는 것일 뿐이고 기존 홈페이지와 블로그 주소는 그대로이니까 보안성만 좋아진 것이라 생각했다. 그러나 구글 검색엔진에서 다른 사이트로 인식했고 https를 ‘새’ 블로그로 인식해 받아들였다.
그래서 문제가 되었던게 ‘똑같은 글의 중복’ 문제였다. 기존에 있던 글들과 똑같은 글이 새로 바뀐(???) 주소에도 있으니까 구글에서는 똑같은 글로 판단했다. 그래서 혹시 이것 때문에 복사된 블로그와 같은 나쁜 평가를 받아 검색이 안되는게 아닐까 염려했다.
하지만 시간이 지나자 구글은 자동으로 한 개의 블로그로 통합해 인식하기 시작했다.
다시 말해 처음에는 https를 새로운 블로그로 인식했지만 시간과 함께 http와 https를 한 개로 알아서 통합인식하면서 중복 문제가 사라졌고 마찬가지로 블로그에 대한 평가도 기존의 http의 것을 그대로 이어받았다.
네이버도 마찬가지였다. 새로 바뀐 주소로 변경되어 인식되는데 시간이 오래 걸렸을 뿐, 이 때문에 큰 문제가 발생하지는 않았다. 하지만 다른 사람들의 글들을 보면 문제가 발생한게 꽤 있어 보이는데 나와 다른 경험이라 이해는 못하고 있는 중이다. 시간이 지나면 결국 하나로 통합될 것 같은데 그런 블로그는 뭐가 문제인지 모르겠다.
3. 티스토리는 무료라 상관없지만 개인 블로그나 개인 홈페이지라면 유료라는게 흠이다. 게다가 비싸서 문제다.
무료 ssl 도 있다. 그런데 아무것도 모르는 사람이 하기에는 어려움이 있고 그 과정에서 짜증도 많이 난다. 웹호스팅을 유료로 이용하면 ssl이 적용된 https 주소도 같이 주면 좋으련만 국내 웹호스팅 업체는 그런 곳이 적었다. 반면 해외 웹호스팅은 let’s encrypt 를 이용해 무료로 ssl을 해 주는 곳이 많았다.
ssl은 128비트, 256 비트… 이런 암호화가 들어가 있기 때문에 여러 회사에서 유료로 서비스를 제공해 주고 있다. 다시 말해 똑같이 https 로 시작하는 주소지만 사용하는 회사는 다르다. 그리고 각 회사마다 가격 차이가 있다.
1년에 5만원 미만인 곳도 있고 그 이상인 곳도 있었다.
4. 확인되지 않았지만 구글 검색에서 ssl이 적용된 주소를 검색 우선순위로 올려준다고 한다.
똑같은 상황이라면 ssl이 적용된 도메인 주소가 검색결과에서 더 상위에 노출될 가능성이 높다고 한다.
실제 구글로 뭔가를 검색해보면 처음 몇 페이지에는 거의 다 ssl이 적용된 주소였다.
하지만 이게 정말 ssl이 적용된 주소라 그렇게 나온 것인지, 아니면 워낙 그 사이트들은 그런 것에 민감하거나 유명한 곳이어서 안전하게 ssl을 적용시킨 것 뿐인지는 알 수 없었다.
그렇다면 거꾸로… ssl이 적용되지 않은 경우 상단에 노출되지 않을까? 라는 생각도 해 봤다.
이게 더 정확한 검색결과 체크방법일 것 같아서 여러개의 키워드로 검색을 했는데 ssl이 적용된 주소에 플러스를 주는 것 같은 결과가 대부분이었다. 물론 ssl이 없는 그냥 http 주소임에도 상단에 검색되는 블로그들 또한 여럿 있었지만 말이다.
5. https의 ssl 보안이 적용된 주소의 홈페이지나 블로그는 로딩 속도가 더 느려질까?
ssl이 적용되었기에 암호화가 적용된 것이니까 그만큼 더 느려진다는 이야기가 있었는데 체감상으로는 느껴지지 않았다. 전혀.
6. 백신 프로그램에서 ssl이 적용되지 않은 블로그는 안전하다는 녹색 표시를 주지 않을까?
비트디펜더와 같은 유명 해외 백신들은 웹서핑 결과에 대해 녹색 표시로써 안전한 사이트와 그렇지 않은 사이트를 구분해 표시해주는 기능이 있다.
여기에 한 번 테스트해봤는데 http인 블로그임에도 안전한 녹색 마크가 찍혀있었다. 따라서 녹색 표시를 주지 않거나 그런건 내용에 따른 것이지 ssl 연결 때문에 안 주거나 하지는 않는게 아닌가 혼자 추측해 봤다. (비트디펜더만 테스트해봄)
!!! 내용 보충. 요즘에는 https가 아니면 여러 백신 프로그램에서 경고 표시를 주고 있다.
따라서 자신의 블로그에 사람들이 오기를 원한다면 https 적용을 해 주는게 좋다. 블로그에 들어오려고 했더니 창이 바뀌면서 위험할 수 있는 곳인데 들어가겠냐는 경고표시가 뜬다면, 상당히 많은 사람들이 들어오지 않고 나갈 것이기 때문이다.
7. 전체적인 추세
추세는 ssl 적용으로 가고 있다. 그러나 국내 웹호스팅사를 이용할 때는 추가 비용이 몇 만원 이상 붙는 곳이 대부분이다. 무료 ssl 적용이 불편하거나 수작업으로 해야 하거나 안 되는 곳도 많았다.
세계적으로는 대부분 https 로 바꾸는 추세이고 티스토리도 흐름에 동참한지 오래다.
8. 만료 기간 챙겨야 되서 불편
ssl은 만료기간이 있다. 무료나 유료 모두 그렇다. 따라서 기간을 잘 챙겨 갱신해줘야 되는 번거로움이 동반되고 짜증 좀 난다. 하지만 ‘자동갱신’이 되니까 그나마 다행이다. 수동으로 자동갱신이 되도록 설정해 줘야 하지만 말이다.
9. 선택은 알아서 해야 할 듯
결론은 이렇다. 아직까지는 큰 문제가 없다. 하지만 점점 바뀌고 있는 추세인 것 같다.
다음과 네이버에서도 검색 결과에 ssl 을 적용한 것과 그렇지 않은 것에 차이를 두게 될 날이 오지 않을까 생각한다.
하지만 무엇보다 해킹 시도는 점점 더 광범위해지고 교묘해지기 때문에 가장 기본적인 방어 수단 중 하나인 https ssl 보안은 이미 필수 작업이 아닐까 생각한다.