구글에서 권장하는 서버에서 HTTPS 활성화 방법
페이지 정보
본문
1. 키 크기
2,048비트 RSA 키 쌍을 생성하는 작업부터 시작합시다. 1,024비트와 같은 작은 키는 무차별 암호 대입 공격(brute-force guessing attack)에 대응하는 데 충분하지 않습니다. 4,096비트와 같은 큰 키는 대응이 과합니다. 시간이 지나면서 컴퓨터 처리 비용이 저렴해질수록 키 크기는 증가합니다. 현재는 2,048비트가 이상적입니다.
2. 사이트 내 URL을 상대 URL로 만들기
HTTP뿐만 아니라 HTTPS로도 사이트를 제공하므로 프로토콜에 상관없이 사이트가 가능한 한 원활하게 작동해야 합니다. 중요한 요소는 사이트 내 링크에 대한 상대적 URL을 사용하는 것입니다.
권장되지 않음 — 정규화된 사이트 내 URL을 사용하지 않는 것이 좋습니다.
[code]
<h1>Welcome To Example.com</h1>
<script src="http://example.com/jquery.js"></script>
<link rel="stylesheet" href="http://assets.example.com/style.css"/>
<img src="http://img.example.com/logo.png"/>;
<p>Read this nice <a href="http://example.com/2014/12/24/">new
post on cats!</a></p>
<p>Check out this <a href="http://foo.com/">other cool
site.</a></p>
[/code]
즉, 사이트 내 URL을 가급적 프로토콜에 상대적으로(프로토콜 배제, //example.com으로 시작) 또는 호스트에 상대적으로(/jquery.js와 같이 경로만으로 시작) 만들어야 합니다.
권장 — 프로토콜에 상대적인 사이트 내 URL을 사용하는 것이 좋습니다.
[code]
<h1>Welcome To Example.com</h1>
<script src="//example.com/jquery.js"></script>
<link rel="stylesheet" href="//assets.example.com/style.css"/>
<img src="//img.example.com/logo.png"/>;
<p>Read this nice <a href="//example.com/2014/12/24/">new
post on cats!</a></p>
<p>Check out this <a href="http://foo.com/">other cool
site.</a></p>
[/code]
권장 — 상대적인 사이트 내 URL을 사용하는 것이 좋습니다.
[code]
<h1>Welcome To Example.com</h1>
<script src="/jquery.js"></script>
<link rel="stylesheet" href="//assets.example.com/style.css"/>
<img src="//img.example.com/logo.png"/>;
<p>Read this nice <a href="/2014/12/24/">new
post on cats!</a></p>
<p>Check out this <a href="http://foo.com/">other cool
site.</a></p>
[/code]
3. HTTP를 HTTPS로 리디렉션
HTTPS가 사이트에 액세스할 수 있는 가장 좋은 방법임을 검색 엔진에 알리려면 기본 링크를 페이지 헤드에 추가해야 합니다.
페이지에서 <link rel="canonical" href="https://…"/> 태그를 설정하세요. 그러면 검색 엔진이 사이트에 액세스할 수 있는 가장 좋은 방법을 결정하는 데 도움이 됩니다.
4. 마이그레이션 우려 사항
대부분의 개발자는 HTTP에서 HTTPS로 마이그레이션에 대해 우려합니다. Google 웹마스터 팀에서 우수한 안내 서비스를 제공합니다.
https://plus.google.com/+GoogleWebmasters/posts/eYmUYvNNT5J
5. 광고 수익
광고를 표시함으로써 사이트의 수익을 내는 사이트 운영자는 HTTPS 마이그레이션으로 인해 광고 효과가 저하되지 않도록 하기를 원합니다. 하지만, 혼합 콘텐츠 보안 문제로 인해 HTTP <iframe>이 HTTPS 페이지에서 작동하지 않습니다. 여기에 까다로운 집단 행동 문제가 있습니다. 광고주가 HTTPS를 통해 게시할 때까지 사이트 운영자는 광고 수익 손실 없이 HTTPS로 마이그레이션할 수 없습니다. 하지만 사이트 운영자가 HTTPS로 마이그레이션할 때까지 광고주는 HTTPS를 통해 게시할 생각을 거의 갖지 않습니다.
광고주는 적어도 HTTPS를 통해 광고 서비스를 제공해야 합니다(이 페이지의 '서버에서 HTTPS 활성화' 섹션을 참조하여 설정을 완료하는 방법을 통해). 많은 광고주가 이미 이렇게 하고 있습니다. HTTPS를 전혀 지원하지 않는 광고주에게는 적어도 이를 시작하도록 요청해야 합니다. 많은 광고주가 제대로 상호 운용할 때까지 개발자는 사이트 내 URL을 상대 URL로 만들기를 시도하는 것을 연기하고 싶을 수 있습니다.
* 참고
https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https
2,048비트 RSA 키 쌍을 생성하는 작업부터 시작합시다. 1,024비트와 같은 작은 키는 무차별 암호 대입 공격(brute-force guessing attack)에 대응하는 데 충분하지 않습니다. 4,096비트와 같은 큰 키는 대응이 과합니다. 시간이 지나면서 컴퓨터 처리 비용이 저렴해질수록 키 크기는 증가합니다. 현재는 2,048비트가 이상적입니다.
2. 사이트 내 URL을 상대 URL로 만들기
HTTP뿐만 아니라 HTTPS로도 사이트를 제공하므로 프로토콜에 상관없이 사이트가 가능한 한 원활하게 작동해야 합니다. 중요한 요소는 사이트 내 링크에 대한 상대적 URL을 사용하는 것입니다.
권장되지 않음 — 정규화된 사이트 내 URL을 사용하지 않는 것이 좋습니다.
[code]
<h1>Welcome To Example.com</h1>
<script src="http://example.com/jquery.js"></script>
<link rel="stylesheet" href="http://assets.example.com/style.css"/>
<img src="http://img.example.com/logo.png"/>;
<p>Read this nice <a href="http://example.com/2014/12/24/">new
post on cats!</a></p>
<p>Check out this <a href="http://foo.com/">other cool
site.</a></p>
[/code]
즉, 사이트 내 URL을 가급적 프로토콜에 상대적으로(프로토콜 배제, //example.com으로 시작) 또는 호스트에 상대적으로(/jquery.js와 같이 경로만으로 시작) 만들어야 합니다.
권장 — 프로토콜에 상대적인 사이트 내 URL을 사용하는 것이 좋습니다.
[code]
<h1>Welcome To Example.com</h1>
<script src="//example.com/jquery.js"></script>
<link rel="stylesheet" href="//assets.example.com/style.css"/>
<img src="//img.example.com/logo.png"/>;
<p>Read this nice <a href="//example.com/2014/12/24/">new
post on cats!</a></p>
<p>Check out this <a href="http://foo.com/">other cool
site.</a></p>
[/code]
권장 — 상대적인 사이트 내 URL을 사용하는 것이 좋습니다.
[code]
<h1>Welcome To Example.com</h1>
<script src="/jquery.js"></script>
<link rel="stylesheet" href="//assets.example.com/style.css"/>
<img src="//img.example.com/logo.png"/>;
<p>Read this nice <a href="/2014/12/24/">new
post on cats!</a></p>
<p>Check out this <a href="http://foo.com/">other cool
site.</a></p>
[/code]
3. HTTP를 HTTPS로 리디렉션
HTTPS가 사이트에 액세스할 수 있는 가장 좋은 방법임을 검색 엔진에 알리려면 기본 링크를 페이지 헤드에 추가해야 합니다.
페이지에서 <link rel="canonical" href="https://…"/> 태그를 설정하세요. 그러면 검색 엔진이 사이트에 액세스할 수 있는 가장 좋은 방법을 결정하는 데 도움이 됩니다.
4. 마이그레이션 우려 사항
대부분의 개발자는 HTTP에서 HTTPS로 마이그레이션에 대해 우려합니다. Google 웹마스터 팀에서 우수한 안내 서비스를 제공합니다.
https://plus.google.com/+GoogleWebmasters/posts/eYmUYvNNT5J
5. 광고 수익
광고를 표시함으로써 사이트의 수익을 내는 사이트 운영자는 HTTPS 마이그레이션으로 인해 광고 효과가 저하되지 않도록 하기를 원합니다. 하지만, 혼합 콘텐츠 보안 문제로 인해 HTTP <iframe>이 HTTPS 페이지에서 작동하지 않습니다. 여기에 까다로운 집단 행동 문제가 있습니다. 광고주가 HTTPS를 통해 게시할 때까지 사이트 운영자는 광고 수익 손실 없이 HTTPS로 마이그레이션할 수 없습니다. 하지만 사이트 운영자가 HTTPS로 마이그레이션할 때까지 광고주는 HTTPS를 통해 게시할 생각을 거의 갖지 않습니다.
광고주는 적어도 HTTPS를 통해 광고 서비스를 제공해야 합니다(이 페이지의 '서버에서 HTTPS 활성화' 섹션을 참조하여 설정을 완료하는 방법을 통해). 많은 광고주가 이미 이렇게 하고 있습니다. HTTPS를 전혀 지원하지 않는 광고주에게는 적어도 이를 시작하도록 요청해야 합니다. 많은 광고주가 제대로 상호 운용할 때까지 개발자는 사이트 내 URL을 상대 URL로 만들기를 시도하는 것을 연기하고 싶을 수 있습니다.
* 참고
https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https
추천0
댓글목록
등록된 댓글이 없습니다.
1
1
공공데이터포털 OpenAPI
