Tag Archives: SSL

ssllab은 watcha.net의 ssl이 C라고 한다

즐겨 사용하는 서비스인 왓챠의 페이지는 C라고 나왔다.
사실은 당연한 일이다.

별 필요가 없다

치명적인 개인정보를 왓챠를 통해 전달할 일이 없다. OAuth를 사용한다면 아이디와 암호 전송 자체가 새어나갈 일이 없다. 왓챠를 통해 전달하는 것은 대부분이 영화 점수 별찍기인데 이는 프로그래밍 실습시 처음 하는 별찍기와 가치가 상당히 유사하다.1 누가 이걸 채갈껀데?

더 손해다

프로토콜과 Cipher Suite를 선택적으로 사용하게 되면 브라우저 / 기기의 지원 폭이 좁아지게 된다. 왓챠의 경우는 쪽수가 상당히 중요하므로 최대한 넓은 사용자폭을 유지하려는 것이 당연하다. 어차피 IE6과 같은 똥망 브라우저를 아직도 쓴다면 뭔 짓을 해도 마찬가지다.  클라이언트 측 renegotiation의 DoS 공격은 충분히 다른 방법으로 막을 수 있다. 모든 컨텐츠를 https로 전송하는건 부하가 커서 손해.2 등등.

그럼 없는게 낫지 않나

API로 연동하는데엔 https를 통해 접속하는 것이 당연하다. 그러니까, 얘네들 SSL의 목적은 클라이언트-서버 쪽이 아니라 서버-서버다. 중요한 정보가 오가는 통신은 이 부분일 테고 자기네가 연결한다. 결국 ssllab에서 클라이언트와의 연결에서 취약점이라고 하는건 별 상관이 없는 것이다. 접속시 로그인 파트나 연동 부분이 있는 등 웹페이지는 https를 지원하는 것이 구성이 더 명료하다. 비용이 낮다면 수준이 낮은 암호화라도 지원하는 것이 흐름이다.3

그러니 걱정을 할 필요가 없다는 것이 결론.4

StartSSL 인증서

나야 날 믿고 (…) self-signed cert를 쓰고 글쓰기나 관리자 패널 사용할 때만 https를 쓰면 된다고 생각했는데, 트랙백을 보내니 링크가 현재 접속 중인 프로토콜로 간다. startssl이 무료로 제공하는 인증서를 사용하기로 했다.

class1이지만 무료니까 감사히 받겠습니다.

cacert를 예전에 이용했던것 같은데, 어느새 대부분의 OS와 브라우저에서 제외되어 자기 서명 인증서와 별반 다를바가 없다. Let’s Encrypt는 과연 인정받을 수 있을지 모르겠지만 올해 11월 정도에는 일반 서비스가 가능할 것이라 한다. 인정받아도 공격 대상 1호이니 순탄치는 않을 듯 싶다.

받는 과정은 다른 분들이 쓴 글이 많고 따로 설명하기엔 지시사항이 페이지별로 나오므로 쓰기엔 뭣하다. 주의할 점은 시키는 대로 로그인 인증서를 백업하는 것이 정신건강에 좋을 것이고, deprecate된 sha-1으로 서명된 ca.pem 보다는 ca-sha2.pem을 사용하는 것이 나을 듯 하다는 점 정도.

기왕이니, http 연결도 모두 https로 리디렉션 되도록 했다.