개요
최근 몇 년 동안 웹과 웹을 구동하는 다양한 산업 (예 : 브라우저, 검색 엔진 등)이 사용자 보안을 더욱 심각하게 생각하기 시작했습니다. 크롬은 이제 HTTP 웹 사이트에 대한 사용자 경고 더 많은 브라우저를 따라갈 준비가되었으며 Google 검색은 검색 엔진 순위가 HTTPS 웹 사이트.
이와 같은 개발로 인해 웹 사이트 소유자의 상당 부분이 서버를 이전의 안전하지 않은 HTTP에서보다 안전한 대체 HTTPS로 옮기도록 동기를 부여했습니다. (HTTPS는 대부분의 유형의 네트워크 공격으로부터 사용자를 보호하기위한 수단으로 SSL 인증서를 통해 서버를 인증해야하기 때문에보다 안전한 것으로 간주됩니다.)
그러나 대부분의 웹 사이트는 로그인 또는 POST 요청과 같은 가장 중요한 구성 요소에 대해서만 HTTPS를 구현했지만 다른 "중요하지 않은"기능에는 여전히 HTTP를 사용할 수 있습니다.
암호화 된 연결은 수행해야하기 때문에 계산 비용이 많이 들기 때문에 HTTPS 초기에 의미가있었습니다. 악수 모든 새로운 연결을 위해. 게다가 그 당시 널리 사용되는 많은 웹 개발 플랫폼, 라이브러리 및 환경은 HTTPS를 지원하지 않았습니다. 이로 인해 관리자와 개발자는 심야 애플리케이션 충돌 또는 모호한 런타임 오류의 형태로 끝없는 골칫거리를 겪었습니다.
물론 이것은 더 이상 사실이 아닙니다. 사실이 기사에서 주장 하듯이 지원 에 HTTPS 사용 모든 귀하의 웹 사이트 연결은 실제로 귀하의 비즈니스에 좋지 않습니다.
혼합 컨텐츠
HTTPS를 통해 모든 콘텐츠를 제공하지 않는 웹 사이트를 혼합 된 내용 웹 사이트. 학업 종이 2015 년에 발표 된 Alexa의 최상위 43 샘플 중 100,000 % 이상이 적어도 한 가지 유형의 혼합 컨텐츠를 제공했습니다.
이것이 큰 소리처럼 들리지는 않지만 혼합 콘텐츠는 사용자에게는 상당히 위험 할 수 있지만 웹 사이트에도 부정적인 영향을 줄 수 있습니다.
보안 문제
전체 웹 사이트에 HTTPS를 사용하는 가장 중요한 이유는 보안입니다. 보호되지 않은 단일 HTTP 연결은 모든 해커가 필요합니다. MITM (Man-in-the-Middle) 공격자 자격 증명 및 세션을 훔치거나 중요한 데이터를 얻거나 브라우저 악용을 시작하고 방문자의 컴퓨터에 맬웨어를 설치하기 위해 페이지의 모든 HTTP 콘텐츠를 바꿀 수 있습니다.
귀하의 웹 사이트가 침해를 당하면 사용자는 당연히 사용자를 불신하고 피하여 온라인 평판을 효과적으로 손상시킬 수 있습니다.
Firefox와 Chrome 모두 시작했다 기본적으로 혼합 컨텐츠를 차단하여 사용자가 HTTP를 통해 컨텐츠를 수동으로로드하도록 선택할 수 있습니다. 그럼에도 불구하고 혼합 컨텐츠는 보안 위험이 있으므로 두 브라우저 모두 사용자에게 혼합 컨텐츠 경고를 표시하여 웹 사이트의 평판에 부정적인 영향을 줄 수 있습니다.
성능 문제
보안뿐만 아니라 계속해서 채택 HTTP / 2 업계에서는 웹에 수많은 성능 및 보안 업그레이드를 제공했습니다.
HTTP / 2 이후로 성능 향상이 반 직관적 인 것처럼 보이지만 작동합니다 암호화 된 HTTPS 연결을 통해이 프로토콜을 사용하면 브라우저가 모든 통신에 HTTPS 웹 서버와 단일 암호화 된 연결을 사용할 수 있습니다.
동일한 연결을 재사용하면 새로운 연결을 반복해서 설정함으로써 부과되는 오버 헤드가 제거됩니다 (즉, 해당 핸드 셰이크 다시). 이는 콘텐츠가 혼합 된 사이트에서 암호화 된 HTTPS 연결에서 암호화되지 않은 HTTP로 점프하는 것이 단일 HTTPS 연결을 사용하여 완전히 보호 된 사이트를 방문하는 것보다 실제로 더 느리고 더 많은 리소스를 요구한다는 것을 의미합니다.
HTTP / 2는 또한 0-RTT 세션 재개 모드를 사용하면 브라우저가 전체 핸드 셰이크 대신 단일 요청 만 사용하여 이전에 방문한 HTTPS 웹 사이트로 일시 중지 된 세션을 재개 할 수 있습니다. 따라서 HTTP / 2의 재개는 암호화되지 않은 HTTP 연결만큼이나 빠르지 만 HTTPS의 모든 이점을 계속 제공합니다. 혼합 된 콘텐츠를 제공한다는 것은 웹 사이트가이 기능이나 다른 HTTP / 2 기능을 충분히 활용할 수 없다는 것을 의미합니다.
이 두 경우 모두 HTTP / 2는 방문자의 사이트 연결 속도를 향상시키고 속도가 중요합니다. 연구 지난 몇 년 동안 응답 성과 페이지로드 속도가 중요한 사용자 인터페이스 디자인 요구 사항임을 보여주었습니다. 웹 사이트의 응답 시간이 느릴수록 사용자의 참여가 적어지고 사용자 참여는 웹 사이트의 사용자 경험 (및 결과적으로 전환율)에 직접적인 영향을 미칩니다.
혼합 컨텐츠는 웹 사이트에서 사용되는 기본 웹 기술 수준의 성능에도 영향을 줄 수 있습니다. 브라우저 자바 스크립트 기능 제한 악의적 인 목적으로 해커가 악용 할 수 있기 때문에 서비스 작업자 및 푸시 알림과 같은 컨텍스트 만 보호합니다. 다시 말해, 혼합 콘텐츠를 제공 할 때 웹 사이트에서 이러한 기술을 활용할 수 없습니다.
SEO 문제
검색 엔진 최적화 (SEO)는 온라인 비즈니스 마케팅 담당자의 빵과 버터입니다. SEO는 웹 사이트에서 웹 사이트의 순위를 높이는 관행을 말합니다. 검색 엔진 결과 페이지 웹 사이트 트래픽의 양에 직접 영향을주는 (SERP).
Google은 검색 결과 순위 알고리즘이 HTTPS를 통해 제공되는 웹 사이트에 약간의 순위 상승을 제공한다는 것을 확인했습니다. 부스트는 실시간이며 URL별로 이루어지기 때문에 HTTPS를 통해 전체 웹 사이트를 제공하면 전체 웹 사이트에 대한 SEO 부스트가 발생합니다 (HTTPS를 통해 제공되는 URL 대신). 물론,이 순위 신호 상승은 양질의 콘텐츠 나 사용자 트래픽과 같은 다른 것들에 비해 상당히 가볍지 만 여전히 혼합 콘텐츠 제거에 대한 투자에 대한 보상입니다.
구글도 최근에 발표 순위를 결정할 때 해당 페이지로드 속도와 일반적인 웹 사이트 성능이 크게 고려됩니다. 즉, HTTP / 2의 성능 최적화와 혼합 컨텐츠 제거는 웹에서 웹 사이트의 가시성을 높이기 위해 함께 작동 할 수 있습니다.
마지막으로 웹 사이트의 SEO에서 SSL을 최대한 활용하려면 다음을 고려하십시오. SSL.com의 EV 인증서, 보안 표시기 (브라우저의 녹색 막대와 같은)를 통해 방문자에게 가장 높은 보장을 제공하여 방문자를 안전하게 유지하고 귀하의 콘텐츠에 참여하며, 더 오래 방문할수록 더 높은 순위가됩니다.
브라우저 혼합 컨텐츠 경고
SSL로 보호되는 사이트 방문자는 원활한 보호를 기대합니다. 사이트가 모든 콘텐츠를 완전히 보호하지 않으면 브라우저에 "혼합 콘텐츠"경고가 표시됩니다. 고객에게이 경고가 표시되면 두 가지 방법 중 하나에 반응 할 수 있습니다. 만약 그들이 하지 보안을 진지하게 받아들이면 무시하고 클릭하여 모든 것이 정상이라고 가정합니다. 만약 그들이 do 보안을 진지하게 받아들이면 사이트에 귀를 기울이고 당신 보안을 심각하게 생각하지 마십시오 (심지어 더 나쁩니다).
또한 모든 최신 브라우저는 더 많은 악성 유형의 혼합 콘텐츠를 차단하므로 사이트가 손상 될 수 있습니다.
물론 가장 좋은 해결책은 보안 콘텐츠 만 제공하도록 사이트를 올바르게 구성하여 이러한 경고 및 / 또는 차단이 처음에 발생하지 않도록하는 것입니다.
왜이 경고가 표시됩니까?
혼합 컨텐츠 경고는 보안 및 보안되지 않은 요소가 모두 완전히 암호화되어야하는 페이지에 제공되고 있음을 의미합니다. HTTPS 주소를 사용하는 모든 페이지에는 보안 소스에서 오는 모든 컨텐츠가 있어야합니다. HTTP 리소스로 연결되는 모든 페이지는 안전하지 않은 것으로 간주되며 브라우저에서 보안 위험으로 플래그가 지정됩니다.
혼합 컨텐츠 경고는 두 가지 범주로 분류됩니다. 혼합 수동 컨텐츠 과 혼합 활성 콘텐츠.
혼합 수동 콘텐츠
패시브 콘텐츠는 그래픽이나 사진과 같이 페이지의 다른 부분을 변경할 수는 없지만 교체하거나 변경할 수있는 항목을 말합니다. 모든 혼합 콘텐츠 경고의 가장 일반적인 원인은 (이론적으로) 보안 사이트가 보안되지 않은 소스에서 이미지를 가져 오도록 구성된 경우입니다.
수동 HTTP 요청은 다음 태그를 통해 제공됩니다.<audio>(src 속성)<img> (src 속성)<video> (src 속성)<object> 하위 자원 ( <object> HTTP 요청을 수행합니다)
혼합 활성 콘텐츠
액티브 콘텐츠는 웹 페이지 자체를 변경할 수 있습니다. man-in-the-middle 공격은 HTTPS 페이지의 HTTP 콘텐츠 요청을 가로 채거나 다시 작성하도록 허용 할 수 있습니다. 이로 인해 악성 액티브 콘텐츠가 매우 위험 해집니다. 사용자 자격 증명과 민감한 데이터가 도난 당하거나 사용자 시스템에 맬웨어가 설치 될 수 있습니다. 예를 들어, 사용자가 임의의 암호를 생성 할 수 있도록 설계된 계정 생성 페이지의 약간의 JavaScript는 임의의 것처럼 보이지만 미리 생성 된 암호를 제공하는 코드로 대체되거나 다른 보안 암호를 제 XNUMX 자에게 비밀리에 제공 할 수 있습니다. .
활성 혼합 컨텐츠는 민감한 개인 데이터를 손상시키기 위해 악용 될 수 있지만, 무해한 것으로 보이는 공개 웹 페이지조차도 여전히 위험한 사이트로 방문자를 리디렉션하거나, 원치 않는 컨텐츠를 제공하거나, 악용 쿠키를 훔칠 수 있습니다.
<script> (src 속성)<link> (href 속성) (CSS 스타일 시트 포함)XMLHttpRequest 객체 요청<iframe> (src 속성)URL 값이 사용되는 CSS의 모든 경우 (
@font-face, cursor, background-image등)<object> (data 속성)모든 최신 브라우저는 기본적으로 활성 혼합 콘텐츠를 차단합니다 (잘못된 구성 사이트를 손상시킬 수 있음)
혼합 컨텐츠 경고를 수정하는 이유 및 방법
웹 사이트를 보호하면 방문자가 귀하를 신뢰할 수 있으며 이는 매우 중요합니다. 그러나 사이트에서 안전하지 않은 모든 콘텐츠를 제거하면 잘못된 긍정 경고를 제거 할 수있는 더 큰 이점이 있습니다. 올바르게 구성된 사이트가 손상되면 공격자가 삽입 한 안전하지 않은 요소가 혼합 콘텐츠 경고를 트리거하여 탐지 할 추가 트립 와이어를 제공합니다. 이러한 문제를 해결합니다.
혼합 콘텐츠 문제를 피하는 가장 좋은 방법은 HTTP 대신 HTTPS를 통해 모든 콘텐츠를 제공하는 것입니다.
자체 도메인의 경우 모든 콘텐츠를 HTTPS로 제공하고 링크를 수정하세요. 종종 콘텐츠의 HTTPS 버전이 이미 존재하며 링크에 "s"를 추가하면됩니다. http:// 에 https://.
다른 도메인의 경우 가능한 경우 사이트의 HTTPS 버전을 사용합니다. HTTPS를 사용할 수없는 경우 도메인에 연락하여 HTTPS를 통해 콘텐츠를 제공 할 수 있는지 물어볼 수 있습니다.
또는 "상대 URL"을 사용하면 사용자가 사용하는 프로토콜에 따라 브라우저가 자동으로 HTTP 또는 HTTPS를 선택할 수 있습니다. 예를 들어 "절대 경로"가 다음과 같은 링크를 사용하여 이미지에 링크하는 대신
사이트는 상대 경로를 사용할 수 있습니다.
이것은 브라우저가 자동으로 http: or https: 필요에 따라 URL의 시작 부분에 링크 된 사이트는 상대 URL이 작동하려면 HTTP 및 HTTPS를 통해 리소스를 제공해야합니다.
첫 번째 요청 문제
지금까지는이 기사가 혼합 컨텐츠에 대해 몇 가지 좋은 논거를 제시했으면합니다. 비록 웹 사이트를 완전히 HTTPS로 마이그레이션하기로 결정하더라도 여전히 개선 할 수있는 부분이 있습니다.
사용자가 브라우저에 웹 사이트의 URL을 입력하면 일반적으로 프로토콜 이름을 완전히 입력하지 않습니다 (예 : https://). 당연히 브라우저는 웹 사이트가 제공되는 프로토콜을 모르며 기본적으로 HTTP로 설정됩니다.
웹 사이트가 올바르게 구성되어 있으면 HTTP 301/302 응답을 통해 브라우저를 HTTPS 인스턴스로 리디렉션합니다. 그러나 이는 브라우저가 처음 웹 사이트를 방문 할 때 단일 HTTPS 요청 대신 두 개의 요청을 수행해야 함을 의미합니다.
사용자가 지연을 인식하여 사이트에 대한 첫인상이 나빠질 수 있기 때문에 문제가 될 수 있습니다. 따라서, 방문자 수가 줄어드는 결과를 초래할 가능성이 줄어 듭니다.
또한 해커는 서버에 도달하기 전에 첫 번째 HTTP 요청을 가로 채서 읽거나 수정할 수 있습니다. 이러한 유형의 경우 일반적으로 발생하는 네트워크 공격은 SSL 스트리핑 공격자가 HTTPS 연결을 보호되지 않은 HTTP 연결로 교체 할 수 있습니다.
구조에 대한 HTTP 엄격한 전송 보안
HTTP 엄격한 전송 보안 or HSTS 이 문제를 해결하려는 시도입니다. RFC 6797의 IETF (Internet Engineering Task Force)에서 구현 한 HSTS는 웹 서버가 응답에 포함 할 수있는 HTTPS 헤더입니다. 이 헤더는 호환 브라우저가 웹 사이트를 방문 할 때 항상 HTTPS를 사용하도록 지시합니다. HSTS는 이미지, CSS 스타일 시트 및 기타 웹 리소스를 포함한 모든 요청에 적용됩니다.
아시다시피, 브라우저는 먼저 참조 HSTS 헤더를 준수하기 위해 HSTS 헤더는 공격자가 첫 번째 HTTP 요청을 가로 챌 수없는 공격자에 의존한다는 것을 의미합니다. 결과적으로 HSTS 자체는 완전한 솔루션이 아니라 SSL 스트리핑에 대한 간단한 해결 방법입니다.
HSTS 예압
다행히 Chromium 프로젝트는 그들이 명명 한 솔루션을 생각해 냈습니다. HSTS 예압HSTS 사전로드 기능을 요청한 공개 웹 사이트 목록을 유지하는 것으로 구성됩니다. 웹 사이트를 방문 할 때 Chromium 브라우저는 목록을 참조하여 사이트가 발견되면 이전 기록이나 사용자 입력에 관계없이 HTTPS (첫 번째 요청 포함)를 통해 해당 사이트와 통신을 진행합니다.
결과적으로 사전로드는 초기 HTTP 요청을 제거하여 웹 사이트의 성능과 보안을 모두 향상시킬 수 있습니다. 또한 사이트의 SERP 순위 및 사용자 경험을 간접적으로 향상시킬 수 있습니다.
모든 주요 브라우저 (Google의 Chrome, Microsoft의 IE / Edge, Apple의 Safari, Mozilla의 Firefox 및 Opera)도 Chromium의 HSTS 사전로드 목록을 참조합니다. 즉,이 목록에 가입하면 방문자가 사용중인 브라우저에 상관없이 사전로드 이점이 제공됩니다.
그러나 HSTS 사전로드 목록 솔루션의 확장성에 대한 우려가 있다는 사실을 언급하지 않았다면 우리는 기각 할 것입니다. 실제 크기와 계산 복잡성으로 인해 인터넷의 모든 웹 사이트를 포함 할 수 없으며 결과적으로 입력이 점점 더 어려워 질 수 있습니다. 시간이 지남에 따라 HSTS 사전로드가 더 광범위하게 채택됩니다.
어떻게 가입 할 수 있습니까?
HSTS 사전로드 목록에 참여하려면 웹 사이트가 특정 규칙을 따라야합니다. Chromium 프로젝트는 프로젝트 웹 사이트에 참여하려는 웹 사이트에 대한 제출 요구 사항 목록을 게시했습니다. 요구 사항은 다음 목록에 그대로 포함되어 있지만 HSTS에서 자세한 내용을 찾을 수 있습니다. RFC 6797.
HSTS 사전로드 목록에 허용 되려면 웹 사이트가 다음을 충족해야합니다.
- 유효한 인증서를 제공하십시오.
- 포트 80에서 수신 대기중인 경우 동일한 호스트에서 HTTP에서 HTTPS로 리디렉션하십시오.
- HTTPS를 통해 모든 하위 도메인을 제공합니다. 특히,
www해당 하위 도메인의 DNS 레코드가 존재하는 경우 하위 도메인. - HTTPS 요청을 위해 기본 도메인에서 RFC 6797 호환 HSTS 헤더를 제공하십시오.
-
max-age31536000 초 (1 년) 이상이어야합니다. -
includeSubDomains지시어를 지정해야합니다. -
preload지시어를 지정해야합니다.
-
- HTTPS 사이트에서 추가 리디렉션을 제공하는 경우 해당 리디렉션은 또한 준수하는 HSTS 헤더가 있어야합니다 (페이지를 리디렉션하는 페이지와 동일).
다음은 유효한 HSTS 헤더의 예입니다.
엄격한 운송 보안 : max-age = 63072000; includeSubDomains; 예압
사전로드 목록 웹 사이트를 방문하고 입력 상자에 도메인을 입력하여 웹 사이트 자격을 테스트 할 수 있습니다. 웹 응용 프로그램은 어떤 문제를 해결해야하는지 지적합니다.
불행히도 현대 웹 사이트의 복잡성으로 인해이 기사에 포함시킬 HSTS 사전로드를위한 모든 규모의 서버 구성을 만들 수는 없습니다. 개별적으로 해결해야하는 타사 또는 기타 사용자 지정 구성 요소에 런타임 문제가있을 수 있습니다.
Chromium 프로젝트에는 사전로드 웹 사이트에 일부 배포 권장 사항이 포함되어 있지만 고객의 통신 보안 향상을 위해 항상 기꺼이 도와드립니다. 우리에게 이메일을 보내 support@ssl.com 전문가가 보안 요구에 가장 적합한 경로를 기꺼이 논의 할 것입니다.
결론
HTTPS는 기본 웹 통신 프로토콜이되었으며이를 완전히 커밋하면 사이트 소유자와 방문자에게만 긍정적 인 영향을 줄 수 있습니다. 불필요한 문제 (및 불행한 사용자)를 피하기 위해 웹 사이트에서 혼합 컨텐츠를 제거하는 것이 좋습니다.
언제나 그렇듯이 선택해 주셔서 감사합니다 SSL.com안전한 인터넷이 더 나은 인터넷이라고 생각합니다.
