즐겨 사용하는 서비스인 왓챠의 페이지는 C라고 나왔다.
사실은 당연한 일이다.

별 필요가 없다

치명적인 개인정보를 왓챠를 통해 전달할 일이 없다. OAuth를 사용한다면 아이디와 암호 전송 자체가 새어나갈 일이 없다. 왓챠를 통해 전달하는 것은 대부분이 영화 점수 별찍기인데 이는 프로그래밍 실습시 처음 하는 별찍기와 가치가 상당히 유사하다.¹ 누가 이걸 채갈껀데?

더 손해다

프로토콜과 Cipher Suite를 선택적으로 사용하게 되면 브라우저 / 기기의 지원 폭이 좁아지게 된다. 왓챠의 경우는 쪽수가 상당히 중요하므로 최대한 넓은 사용자폭을 유지하려는 것이 당연하다. 어차피 IE6과 같은 똥망 브라우저를 아직도 쓴다면 뭔 짓을 해도 마찬가지다.  클라이언트 측 renegotiation의 DoS 공격은 충분히 다른 방법으로 막을 수 있다. 모든 컨텐츠를 https로 전송하는건 부하가 커서 손해.² 등등.

그럼 없는게 낫지 않나

API로 연동하는데엔 https를 통해 접속하는 것이 당연하다. 그러니까, 얘네들 SSL의 목적은 클라이언트-서버 쪽이 아니라 서버-서버다. 중요한 정보가 오가는 통신은 이 부분일 테고 자기네가 연결한다. 결국 ssllab에서 클라이언트와의 연결에서 취약점이라고 하는건 별 상관이 없는 것이다. 접속시 로그인 파트나 연동 부분이 있는 등 웹페이지는 https를 지원하는 것이 구성이 더 명료하다. 비용이 낮다면 수준이 낮은 암호화라도 지원하는 것이 흐름이다.³

그러니 걱정을 할 필요가 없다는 것이 결론.⁴