웹에서 암호화 사용이 증가하면서 사람들은 이를 신뢰와 연관시키기 시작했습니다. 물론 이것은 더 많은 웹사이트가 뒤처지지 않도록 SSL/TLS 암호화를 채택할 인센티브를 느끼는 눈덩이 효과를 만들었습니다. 특히 전자 상거래 사이트는 고객이 암호화 없이 온라인으로 거래하는 것을 경계하면서 이러한 압박감을 가장 먼저 느낀 사이트 중 하나였습니다.
엔터티가 소유한 웹 사이트의 경우 암호화는 온라인 프로세스를 보호하는 데 사용되는 알고리즘 그 이상입니다. 인증 기관(CA)과 다른 수준의 권한 부여로 인해 더 복잡한 문제입니다. 이제 Let's Encrypt와 같은 무료 CA의 등장으로 사람들은 상업적 대안이 존재하는 이유를 스스로에게 묻고 있습니다. 그들은 "더 나은가?" 아니면 더 많은 이야기가 있습니까?
CA 및 그 중요성 이해
HTTPS를 사용하고 웹사이트를 "보안"(사용자가 사이트를 방문할 때 URL 표시줄이 녹색으로 변하는 것을 의미)으로 인식하도록 하려면 어떤 형태의 승인이 필요합니다. 인증 기관에서 발급한 SSL 인증서가 필요합니다. 인증서는 귀하의 온라인 존재를 "실제"로 "검증"합니다. 다양한 종류의 유효성 검사가 있습니다.
- 도메인 유효성 검사(DV):귀하가 귀하이며 보호하려는 도메인을 소유하고 있음을 반박할 수 없음
- 귀하가 도메인을 소유하고 있음을 증명하고 사이트 뒤에 있는 조직에 대한 몇 가지 사항을 확인하는 조직 유효성 검사(OV)
- 귀하의 도메인, 조직 및 법적 상태에 대한 철저하고 엄격한 분석을 수행하는 확장 검증(EV)
DV에 대한 인증 프로세스는 도메인을 소유하고 있다는 증거를 제출하기만 하면 되기 때문에 훨씬 더 쉽게 얻을 수 있습니다. 사실 이것은 자동화할 수 있는 것입니다.
이제 무료 CA에 대해 알아보자
Let's Encrypt와 같은 인증 기관은 비용 없이 DV 인증서를 발급합니다. 그들은 당신을 검증하는 데 비용이 거의 들지 않을 정도로 도메인 소유권 검증 프로세스를 자동화합니다. 사용자가 민감한 데이터(신용카드 번호, 은행 계좌 세부정보, 여권 번호 등)를 공유할 필요가 없는 평범한 웹사이트가 있는 경우 이 모든 것이 훌륭하고 멋집니다.
전자 상거래 웹 사이트를 운영하는 경우 상업 인증 기관을 찾는 것이 좋습니다. 확장된 검증이 제공하는 신뢰 수준은 다른 어떤 형식의 인증보다 조직을 정당화할 것입니다. 최소한 EV를 취득하는 과정에서 불필요한 절차를 밟고 싶지 않다면 OV 인증서를 취득하세요.
여러 하위 도메인에서 웹사이트를 호스팅하는 대규모 웹 엔터티를 소유하고 있다면 무료로 와일드카드 인증서를 얻을 수 없다는 사실에 실망할 수도 있습니다(Let's Encrypt에서도 아님). 이 인증서를 사용하면 기본 도메인 이름으로 생성한 모든 하위 도메인을 확인할 수 있습니다.
여기서 결론은 간단합니다. 민감한 데이터를 교환할 필요가 없는 간단한 웹사이트를 운영하는 경우 Let's Encrypt에서 제공하는 것과 같은 도메인 유효성 검사 인증서가 적합합니다. 더 멋진 것은 필요하지 않습니다!
그렇지 않으면 상업 당국에 충실해야 합니다. 일부 국가에서는 법적 구속력이 있는 계약에 확장된 검증 인증서를 사용하지 않았기 때문에 법적 문제에 직면할 수도 있습니다.
결국 모든 인증서 유효성 검사를 자동화할 수 있다고 생각하십니까? 아니면 인류에게는 너무 먼 거대한 도약입니까? 댓글로 알려주세요!