Google Chrome Removes HTTPS Site "Safe" Mark.
세계 최대 웹 블라우저 크롬을 운영하는 구글이 오는 7월부터 보안 서버가 적용된 HTTPS 웹페이지는 '안전함'으로 표시하고 그렇지 않은 HTTP 사이트는 '안전하지 않다'는 경고 표시를 적용해야 한다고 발표했다. 국내는 HTTP가 적용된 웹 사이트 비중이 높아서 해킹 위험에 취약하다.
구글은 최근 블로그를 통해 '7월부터 크롬 브라우저의 모든 HTTP 웹에 안전하지 않음'이라는 보안 경고를 붙이기로 결정했다.웹 주소가 HTTP로 시작되는 사이트를 방문하며 주소창에 경고가 뜬다라고 발표했다. 위의 캡쳐는 크롬 브라우저가 HTTPS 웹사이트 주소를 표시하는 방식이고 2018년 5월 현재 초록색 안전한 글자와 자물쇠 그림을 보여준다.9월 이후 크롬 68버전부터 안전함 글자가 빠진다. 향후 저 자물쇠 그림마저 없어진다.모든 HTTP 사이트가 안전하지 않음을 알려주고,안전한 HTTPS의 도입을 위한 조치라고 설명했다.구글은 지금도 HTTP 웹사이트가 보안성 위험하므로 주의하라고 권하고 있지만, 적극적이지는 않는데 7월부터는 '안전하지 않음' 문구를 직접 표시하므로 사용자들의 경각심을 높을 수 있을 것으로 예상한다.또한 구글은 10월 배포될 크롬70 버전부터 HTTP 웹사이트 방문시 주소창의 '안전하지 않음' 경고를 강화한다. 그 이전에 크롬68 버전부터 적용될 경고 문자와 신호 색상은 회색이다.크롬70부터 방문자가 계정명과 PW같은 데이터를 입력시 주소창 경고가 빨강으로 바뀐다.
HTTP,HTTPS 둘의 차이는 데이터 암호화 여부다.HTTP가 데이터 신호를 암호화하지 않은 일반페이지라면,HTTPS는 서버와 브라우저가 주고받는 데이터 통신을 암호화해 처리한다. 또한 일반 텍스트 대신 SSL or TLS 프로토콜을 사용하여 세션 데이터를 암호화한다.때문에 HTTPS 웹은 해커가 개인정보 등 중요 정보를 중간에 훔쳐가도 암호화돼 있어 알기가 어렵고 변조하는 것도 불가능하다.즉 HTTP에 비해 보안성이 높다는 게 보편적 인식이다.사이트 운영자가 웹 서버에 유효한 TLS 인증서를 설치하면 HTTPS를 구현할 수 있다.유효한 TLS인증서는 전문 인증서 발급서비스 업체를 통해 판매된다.통상 유료로 제공되지만, 비영리단체 인터넷시큐리티서치크룹(ISRG)이 2015년 9월부터 운영 중인 렛츠인크립트 프로젝트는 TLS인증서를 무료로 발급하고 있다.
'#Security' 카테고리의 다른 글
| WAP. (0) | 2018.05.30 |
|---|---|
| TLS & WTLS. (0) | 2018.05.30 |
| GDPR. (0) | 2018.05.29 |
| ISO 27001. (0) | 2018.05.29 |
| ISMS + PIMS. (0) | 2018.05.29 |
