WordPress 웹사이트에 적합한 HTTPS 인증서 선택하기

게시 됨: 2019-09-27

웹사이트 관리자를 위한 가이드인 WordPress HTTPS, SSL 및 TLS 이전 게시물에서 HTTPS 및 기타 모든 기술 용어가 무엇이며 어떻게 작동하는지 설명했습니다. 이 기사에서는 HTTPS 인증서, WordPress 웹사이트에서 HTTPS 인증서를 획득할 수 있는 다양한 방법, 비용을 지불해야 하거나 지불하지 말아야 하는 이유에 대해 설명합니다. 바로 뛰어들자.

HTTPS 인증서란 무엇입니까?

HTTPS 인증서의 방법과 이유를 논의하기 전에 먼저 인증서가 무엇인지 논의해야 합니다. 인증서는 다음 용도로 사용됩니다.

  • 웹 서버와 웹 브라우저 간의 트래픽을 암호화하고,
  • 연결된 웹 서버가 실제로 누구라고 주장하는지 확인하십시오(식별 수단).

HTTPS 인증서(TLS 인증서)에는 브라우저에서 신뢰 하는 엔터티가 해당 웹사이트의 ID를 보증할 수 있다는 암호화 증거가 포함되어 있습니다. 이 엔티티인증 기관 (CA)이라고 합니다. CA는 HTTPS 인증서와 관련하여 중요한 역할을 합니다.

인증 기관은 독립적으로 귀하의 신원을 확인하고 다른 사람에게 귀하의 신원을 증명하기 위해 "여권"(증명서)을 제공하는 "여권 사무소"와 유사하다고 생각할 수 있습니다. 그러나 누군가(웹 브라우저)가 귀하의 "여권"을 확인하기 위해서는 "여권"(증명서)을 발급한 "여권 사무소"(인증 기관)를 신뢰할 필요가 있습니다. 여권과 마찬가지로 인증서에는 스푸핑 을 어렵게 만드는 보안 기능이 내장되어 있습니다.

다시 말해, HTTPS를 통해 웹사이트를 제공하려면 인증 기관에서 WordPress 웹사이트의 신원을 증명하는 인증서를 제공해야 합니다.

다양한 유형의 HTTPS 인증서

즉시 명확하지 않을 수 있지만 얻을 수 있는 3가지 유형의 인증서가 있습니다.

  • 도메인 검증(DV)
  • 조직 검증(OV)
  • 확장 검증(EV).

DV 인증서는 단연코 가장 일반적인 인증서입니다. DV 인증서를 받으면 예상했던 일반적인 브라우저 사용자 인터페이스가 표시됩니다. 이는 브라우저마다 다르며 브라우저 버전마다 다르지만 일반적으로 자물쇠가 표시되고 때로는 "보안"이라는 단어가 표시됩니다.

OV 인증서는 더 많은 유효성 검사가 필요하기 때문에 DV 인증서보다 얻기 어렵습니다. 그러나 그들은 거의 사용되지 않습니다. 그들은 최종 사용자에게 정확히 동일하게 보이고 DV 인증서에 비해 실질적인 이점을 제공하지 않으며 더 많은 비용이 듭니다.

이렇게 하면 EV 인증서가 남습니다. 확장 유효성 검사 인증서는 조직에서 인증서를 얻기 위해 철저한 검증 프로세스가 필요합니다. 훨씬 더 비싸고 역사적 으로 UI 측면에서 브라우저에서 약간 다르게 취급되었습니다.

브라우저 URL 표시줄의 HTTPS 자물쇠

그러나 최신 버전의 Chrome, Firefox 및 Safari에서는 이 표시기가 훨씬 덜 눈에 띄는 섹션으로 이동되었습니다. 이는 주로 EV 인증서가 최종 사용자에게 의미 있는 수준의 신뢰를 전달한다는 증거가 없기 때문입니다. 경우에 따라 EV는 실제로 최종 사용자에게 더 많은 혼란을 야기할 수 있습니다. 인터넷에서 가장 인기 있는 웹사이트의 대다수가 EV 인증서에서 DV 인증서로 이동하고 있습니다.

EV가 포함된 HTTPS 인증서

WordPress 웹사이트에 어떤 유형의 인증서가 필요합니까?

즉, WordPress 웹 사이트에 대한 도메인 유효성 검사(DV) 인증서 가 필요합니다. 확장 유효성 검사(EV) 인증서가 필요한 실제 이유는 없습니다. 특히 브라우저가 인증서 소유의 이점을 거의 없애고 있기 때문에(게다가 가격도 꽤 비쌉니다).

HTTPS 인증서 얻기

전통적으로 HTTPS 인증서를 얻으려면 CA(인증 기관)에 대한 연간 요금을 지불해야 했습니다. 프로세스는 수동이었고 관리자에게는 꽤 성가셨습니다.

Let's Encrypt 로고

운 좋게도 2012년에 Mozilla는 Let's Encrypt 로 알려진 작업을 시작했습니다. ISRG(Internet Security Research Group)에서 운영하는 비영리 인증 기관입니다. 모든 사람에게 무료 로 HTTPS 인증서를 제공합니다. 몇 달 만에 인터넷에서 가장 큰 CA가 된 것은 놀라운 일이 아닙니다.

Let's Encrypt의 HTTPS 인증서 및 도메인에 대한 통계

단순한 무료 CA인 것 외에도 Let's Encrypt는 ACME 프로토콜을 사용하는 최초의 CA였기 때문에 혁신적이었습니다. ACME 프로토콜은 자동 인증서 갱신을 허용합니다. 이를 통해 Let's Encrypt는 더 짧은 수명(90일)으로 더 안전한 인증서를 만들 수 있습니다. 또한 시스템 관리자는 Certbot과 같은 도구 덕분에 인증서 갱신에 대해 걱정할 필요가 없습니다.

Let's Encrypt HTTPS 인증서 제한 사항

Let's Encrypt가 WordPress 웹 사이트에서 작동하도록 하는 방법에 대한 온라인 기사가 수천 개 있지만 해당 인증서를 사용할 수 없는 경우가 있을 수 있다는 점을 인식하는 것이 중요합니다. 웹 호스팅 계획의 일부로 HTTPS 인증서 비용을 지불하거나 웹 서버를 완전히 제어할 수 없는 경우 특히 그렇습니다.

이 경우 인증서에 비용을 지출하기 전에 호스팅 제공업체의 고객 지원에서 Let's Encrypt 인증서를 사용할 수 있는지 확인하십시오. 요즘 대부분의 WordPress 호스팅 서비스는 Let's Encrypt 인증서를 지원합니다.

호스팅 계획에 Let's Encrypt 인증서를 사용할 수 없는 경우 상용 HTTPS 인증서가 필요하거나 잠재적으로 온라인 WordPress 방화벽/CDN 서비스를 사용할 수 있습니다. 대부분은 서비스의 일부로 무료 HTTPS 인증서를 제공합니다.

HTTPS에서 WordPress 설정

HTTPS 인증서를 얻고 웹 서버에서 HTTPS를 활성화하는 것 외에도 WordPress 사이트도 HTTPS로 설정되어 있는지 확인하고 싶을 것입니다. 플러그인을 사용하지 않고도 이 작업을 수행할 수 있지만 대부분의 WordPress 관리자는Really Simple SSL과 같은 인기 있는 플러그인을 사용하는 것이 더 쉬울 것입니다. 이러한 플러그인을 사용하면 모든 링크가 웹사이트의 HTTPS 버전을 올바르게 가리키는지 확인할 수 있습니다.

검색 엔진은 HTTP 및 HTTPS 웹사이트를 다른 사이트로 취급한다는 점도 중요합니다. 따라서 아직 제출하지 않았다면 HTTPS 사이트도 Google Search Console에 제출해야 합니다.

무료 HTTPS 인증서가 정말 좋은가요?

많은 WordPress 웹 사이트 소유자는 Let's Encrypt의 무료 HTTPS 인증서 사용에 대해 여전히 회의적입니다. 어떤 사람들은 보안을 심각하게 생각하지 않는 이미지를 묘사하는 것에 대해 우려하므로 고객을 잃을까 두려워합니다. 다른 사람들은 무료 HTTPS 인증서가 유료 인증서만큼 좋지 않다고 생각합니다. 나는 그들을 비난하지 않습니다. 좋은 제품/서비스는 실제로 무료로 제공되지 않습니다. 그러나 이것은 다른 경우입니다.

Let's Encrypt는 사용자에게 무료이지만 무료 프로젝트는 아닙니다. 그들은 Google, Facebook, Microsoft, Cisco 및 기타 많은 후원자들 덕분에 무료 HTTPS 인증서를 발급할 수 있습니다! 이 모든 대기업이 WordPress 웹 사이트 HTTPS 인증서에 대해 비용을 지불하고 있다고 가정해 보겠습니다.

Let's Encrypt는 완전한 인증 기관입니다. Let's Encrypt의 무료 TLS 인증서와 유료 인증서 사이에는 특히 암호화 기능 면에서 차이가 없습니다. 하지만 비용을 정당화할 수만 있다면 HTTPS 인증서 비용을 지불하는 데 아무런 문제가 없습니다.

HTTPS가 내 사이트를 "보안"하게 합니까?

불행히도 100% 안전한 것은 없으며 HTTPS도 이 규칙의 예외는 아닙니다. HTTPS는 WordPress 웹 사이트 보안 프로그램의 작은 부분일 뿐입니다. 다음을 허용합니다.

  • 사용자가 동일한 네트워크를 엿봄으로써 통신을 가로채지 않고 웹사이트에 안전하게 연결할 수 있습니다.
  • 웹사이트 보안이라는 끊임없는 도전 도움이 됩니다.

그러나 이것은 만병통치약이 아닙니다. 의심할 여지 없이 HTTPS를 구현하고 시행해야 하지만 WordPress 웹사이트 보안이 완료되었다는 의미는 아닙니다.

내 WordPress 웹 사이트가 안전한지 확인하기 위해 다른 무엇을 할 수 있습니까?

WordPress 웹사이트의 보안을 개선하기 위해 할 수 있는 일이 많이 있습니다. 아래에서 시작하는 것이 좋습니다.

  • 워드프레스 방화벽을 사용하고,
  • 강력한 WordPress 비밀번호 정책 시행,
  • 파일 무결성 모니터링 플러그인을 설치하고,
  • WordPress에서 발생하는 모든 변경 사항을 기록하고,
  • WordPress 코어, 사용하는 모든 플러그인, 테마 및 소프트웨어를 최신 상태로 유지하세요.