HTTP(Hypertext Transfer Protocol)는 브라우저에서 웹을 통해 데이터를 읽고 전송하는 방법을 결정하는 데 사용하는 규칙 집합입니다. URL에 'http'가 포함되어 있는 경우 브라우저는 http 프로토콜에 따라 웹페이지가 성공적으로 로드됨을 인식합니다.
HTTPS는 웹페이지에서 교환되는 데이터가 암호화된다고 브라우저에 알리는 점을 제외하면 HTTP와 동일합니다. 암호화는 데이터를 숨기며 정보가 조회되거나 조작될 가능성을 줄이므로 웹사이트에 개인 정보나 금융 정보와 같은 민감한 정보가 포함되는 경우 중요합니다.
HTTPS 설정
도메인 이름에 HTTPS를 사용하려면 웹사이트에 SSL 또는 TLS 인증서가 설치되어 있어야 합니다. 웹 호스트(웹 호스팅 서비스 업체)에서 HTTPS 보안을 제공하거나 인증 기관에 SSL/TLS 인증서를 요청하여 직접 설치할 수도 있습니다. SSL/TLS 인증서는 정기적으로 갱신해야 할 수 있습니다.
다양한 유형의 웹 서버가 있으며 웹 서버마다 SSL/TLS 인증서를 설치하고 업데이트하는 자체 프로세스가 있습니다. 웹사이트에서 사용 중인 웹 서버를 확인한 다음 안내에 따라 인증서를 설치 및 업데이트해야 합니다.
다음 Google 서비스에서는 추가 비용 없이 SSL/TLS 인증서를 자동으로 발급, 설치, 갱신합니다.
많은 타사 웹 호스트에서도 SSL/TLS 인증서를 발급, 설치, 갱신합니다. Bluehost, Shopify, Squarespace, Weebly, Wix 등의 모든 웹 호스트를 Google Domains와 함께 사용할 수 있습니다.
웹 호스트가 HTTPS 보안을 제공하지 않는 경우 인증 기관(CA)에서 도메인의 SSL/TLS 인증서를 가져올 수 있습니다. Google은 자체 CA인 Google Trust Services를 보유하고 있습니다. Google Domains 고객은 도메인의 '보안 페이지'에 나온 안내에 따라 Google Trust Services에서 인증서를 가져올 수 있습니다.
더 안전한 인터넷 환경을 조성하기 위해 인증서를 제공하는 또 다른 대중적인 CA는 Let's Encrypt입니다.
인증서를 가져온 후에는 웹 호스트를 통해 인증서를 설치해야 합니다. 자체 서버에서 사이트를 호스팅하는 경우 HTTPS를 사용 설정하는 방법을 알아보세요. 자동화된 인증서 관리 환경(ACME) 프로토콜을 사용하여 인증서를 관리하는 경우 아래 단계를 따르면 ACME 및 DNS로 인증서를 관리할 수 있습니다.
Google Trust Services에서 인증서를 가져오는 방법은 다음과 같습니다.
- Google Domains에 로그인합니다.
- 인증서를 사용할 도메인을 선택합니다.
- 왼쪽 상단에서 메뉴
보안을 탭합니다.
- '도메인의 SSL/TLS 인증서' 섹션에서 'Google Trust Services'를 펼칩니다.
- EAB 키 가져오기를 클릭합니다.
- 'EAB 키 ID' 및 'EAB HMAC 키'라는 2가지 값이 포함된 대화상자가 열립니다.
- 각 값 옆의 복사 버튼을 탭하여 두 값을 모두 복사합니다.
- 이 두 값을 사용하여 Google Trust Services CA에 계정을 등록합니다. 각 ACME 클라이언트는 이 EAB를 지정하는 방식에 따라 약간 다르게 구현됩니다. 사용하려는 ACME 클라이언트에 대한 문서를 참고하세요.
- 다음은 많이 사용되는 Certbot ACME 클라이언트로 구성한 예입니다.
- 계정을 등록하는 방법은 다음과 같습니다.
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- 계정이 생성된 후에는 다음을 실행하여 인증서를 발급할 수 있습니다.
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- 계정을 등록하는 방법은 다음과 같습니다.
- 다음은 많이 사용되는 Certbot ACME 클라이언트로 구성한 예입니다.
- 'EAB 키 ID' 및 'EAB HMAC 키'라는 2가지 값이 포함된 대화상자가 열립니다.
보안을 탭합니다.ACME 및 DNS로 인증서 관리하기
자동화된 인증서 관리 환경(ACME)은 인증 기관(CA)과 서버 간의 인증서 관리를 자동화하는 데 사용되는 일반적인 프로토콜입니다. 자동화를 사용하면 많은 사용자가 HTTPS 인증서를 갱신하지 못해 발생할 수 있는 서비스 중단 가능성을 줄일 수 있습니다.
ACME 프로토콜은 도메인 이름을 제어할 권한이 있는지 증명하기 위해 챌린지를 사용합니다. Google Domains는 API 토큰을 사용하여 DNS 서버에서 DNS-01 챌린지 유형을 지원합니다.
API 토큰을 만드는 방법은 다음과 같습니다.
- Google Domains에 로그인합니다.
- 사용하려는 도메인을 선택합니다.
- 왼쪽 상단에서 메뉴
- 'ACME DNS API' 섹션에서 토큰 생성을 탭합니다.
중요: 이 값은 한 번만 표시됩니다. 대화상자를 닫은 후에는 이 API 토큰을 다시 찾을 수 없습니다. 이 토큰을 가진 사용자가 도메인의 일부 DNS 레코드를 수정할 수 있으므로 이 토큰을 안전한 위치에 보관하시기를 바랍니다.
- 'API 토큰'이 포함된 대화상자가 열립니다.
- ACME 클라이언트에 들어가려면 이 API 토큰이 필요합니다.
- 이 값을 복사하려면 API 토큰 옆에 있는 복사 버튼을 탭합니다.
- 대화상자를 닫기 전에 이 값을 저장하지 못했더라도 쉽게 API 토큰을 삭제하고 새로 만들 수 있습니다.
- 한 번에 도메인당 10개까지 API 토큰을 만들 수 있습니다.
- 대화상자가 닫히면 목록에 레코드가 표시됩니다. 액세스 권한을 취소하려는 경우, 언제든지 이 토큰을 삭제할 수 있습니다.
- API 토큰은 Google Domains ACME DNS API를 지원하는 ACME 클라이언트에서 사용할 수 있습니다. 각 ACME는 이 API 토큰을 지정하는 방식에 따라 약간 다르게 구현됩니다. 사용하려는 ACME 클라이언트에 대한 문서를 참고하세요.
- 'API 토큰'이 포함된 대화상자가 열립니다.
SSL/TLS 인증서 보호
HTTPS는 중간자(MitM) 공격을 차단하는 데 도움이 되지만 누군가 SSL/TLS 인증서를 도용할 수 있다면 공격이 가능합니다. 이를 방지하려면 모르는 웹사이트에 대해 발급된 인증서를 검토해야 합니다. 인증 기관 승인(CAA) 리소스 레코드를 사용하여 도메인의 인증서를 발급할 수 있는 사용자를 제한할 수도 있습니다.
도메인에 발급된 인증서 보기
도메인에 발급된 인증서를 검토하려면 censys.io에서 검색하세요.