나의 웹사이트, 블로그 SSL 보안 점수는?

0

요즘들어 HTTPS 는 필수가 되어갑니다. 구글의 크롬웹브라우저나 애플의 사파리 웹브라우저에서는 http 주소로된 사이트의 경우 무조건 보안경고를 하거나 사이트 접속을 막아버리기 시작했거든요. HTTPS를 위한 SSL인증서 발급도 렛츠인크립트로 이제 공짜가 생겼으니 그에 따라 설치형 워드프레스도 HTTPS를 큰 부담없이 설정가능하고 저 또한 여러분께 워드프레스 블로그의 HTTPS 설정방법을 알려드렸죠. (참고: 아파치웹서버에서 설정방법,  nginx웹서버에서 설정방법)

그런데 SSL 보안에도 등급이 있다는 사실. 자신의 사이트 및 블로그의 SSL 점수는 얼마나 될까요? 궁금하지 않으세요? SSL 점수를 확인해주는 사이트를 소개합니다. 

참고: 위페이지는 여러 공식사이트에서 소개한 관계로 많은 사람들이 이용해서 인지 한번씩 다운이 되곤 합니다.

나의 홈페이지 SSL 보안등급 테스트 결과

마침 저도 궁금한김에 제 스위프트코딩 블로그와 개발중인 사이트의 SSL 점수도 확인해봤어요. 제가 SSL엘 보안설정에대해 아는건 별로 없지만 등급이 낮게 나오면 괜히 찝찝할 것같아요.

아래그림 두 개 중 첫번째 것은 현재 이 블로그의 점수이고 그 아래는 개발 중인 다른 웹사이트의 점수인데요. 이 블로그의 SSL의 종합등급(Overall Rating)은 A이고 웹사이트는 A+로 나오네요!

SSL A 등급

 

SSL A+ 등급

그리고 또 한가지 큰차이가 있는데 위 두 스크린샷중 아래건 HSTS (HTTP Strict Transport Security)가 지원된다고 나오는 군요. 개발제품이 서버를 사용할때 간혹 HSTS 보안등급을 요구하는 곳이 있기도 하더라고요.(애플이라던가….)

 

같은 Let’s Encript 인증서를 발급받았는데 이렇게 다르게 나왔지 뭐예요!  SSL 설정에따라 등급이 달라지는데요.  A등급을 받은 이 블로그는 예전에 비트나미 워드프레스 블로그를 설치하면서 가르쳐드렸던대로인데 이서버는 아파치 웹서버를 사용하는 서버예요.

두 번째 A+ 등급을 받은 사이트는 LEMP 스택으로 구성된 nginx 웹서버에 SSL 설정을 한 케이스입니다.

이를 개기로 이 서버도 보안등급을 올릴 방법을 찾아야겠다고 생각중입니다. 하지만 보안등급을 마냥 높일 수는 없는 노릇이기도 합니다. 위에 나온 등급은 종합등급 점수일 뿐이고 그 외에 세세한 목록에 따라 특정 웹브라우저가 지원하지 못하는 항목도 있어요. MS의 IE(인터넷 익스플로러) 구형 버전 같은 경우말이죠. 즉, 구형 웹브라우저를 사용하는 사용자에겐 웹사이트 동작이 보장이 안되기도 한다고 하네요.

사이트 SSL 보안등급 테스트 방법

먼저 SSL Labs의 보안등급 테스트 페이지에 접속해서 아래그림 처럼 자신의 웹사이트 주소를 입력하고 submit 버튼을 누르면 인증서 스캔을 시작합니다.

ssl 등급테스트 시작페이지

참고: 위 그림에서 Do not show the results… 에 체크표시하면 그 아래에 최근 스캔사이트 목록에 이름을 올리지 않습니다.

 

이미 한번 해봐서 위 화면이 다시 안나온다면 스캔결과화면 위쪽에  Scan Another을 클릭하면 다시 해볼 수 있습니다.

테스트 결과 페이지 오른쪽 즘에 위치한 scan another 링크

스캔이 시작되면 아래처럼 상세 항목이 하나씩 나타납니다.

등급 스캔 중

참고로 결과 중간중겐에 있는  Click here to expand 를 클릭해보면 추가내용이 펼쳐져 상세항목을 볼 수 있습니다.

click here to expand 버튼

보안 등급외 상세 정보보기

테스트 결과에는 인증서 정보외에도 여러가지 기타정보도 함께 나오는데요. TLS 1.2를 포함한 버전별 지원여부도 나오고요.

TLS 버전별 지원 여부 테이블

모바일기기, 데스크탑등 기기별 시뮬레이션 결과도 나오네요.

SSL 모바일 시뮬레이션 결과

같은 사이트 다시 해보기

위 페이지는 캐싱을 해서 같은 사이트를 입력해보면 새로 테스트하지 않고 기록된 걸 보여줍니다. 그럴땐 해당결과에서 Clear Cache 를 클릭해주면 다시 해줍니다.

clear cache 링크 위치표시

 

여러분들도 블로그, 사이트등의 보안등급을 확인해보세요. 무슨소리인지는 몰라도 종합등급이 A 이상이면 좋은거겠죠?

댓글을 남겨주세요.(익명, 구글, wordpress,페이스북, 트위터 계정 로그인 지원) 마크다운 문법 사용가능