https 사용을 유도하는 브라우저들 때문에 개발 의욕이 떨어지네요.

emptynote의 이미지

크롬의 경우 https 사용을 권장하기 위해서 URL 입력 박스에서 https 가 아니면 "주의 요함" 이라고 나옵니다.

그런데 파이어폭스도 이에 동참을 하여 좌물쇠에 빨강색 줄이 우상에서 좌하로 관통하는 이미지로 위험을 알리고 있네요.

URL 입력 창에만 있다면 참을 만 한데,

파이어폭스는 아에 로그인 입력을 위한 입력 박스 아래에 "이 사이트는 안전하지 않습니다, 입력된 로그인 정보가 유출될 수 있습니다" 라는 popup 메시지가 뜨네요.

HTTPS 보다는 한단계 낮은 수준의 보안이지만

힘들게 session key 암호화 만들어서 적용했는데 참 힘 빠지네요.

https 로 갈려고 해도 공짜 인증서는 3개월에 한번씩 갱신 이런 제약이 있어서 자유를 억압 당하는 기분이라 썩 내키지 않습니다.

지금은 자체 커뮤니티 사이트가 테스트 단계라서 필요 없지만

실제 운영을 한다면 대세에 따라야겠지요.

그래도 브라우저들한테 안전하지 않은 사이트라고 설움을 당하니 개발 의욕이 떨어지네요.

https 는 전체 페이지에 대한 암호화를 수행하므로 서버 사양이 좋아야 합니다.
요즘 KLDP 를 봐도 확실히 체감 속도가 늦습니다.
사용자 보안을 위해서 https 필수라는 말에 공감을 하지만
저처럼 가진것은 몸뚱이 하나 뿐인 사람들한테 https 는 참 가혹한 것 같습니다.

------------------
제가 구현한 세션키 암호화 사용 예 참고 주소 : http://www.sinnori.pe.kr/servlet/JDFSessionKey

emptynote의 이미지

firefox 폼 입력시 https 경고 메시지 off 설정하는 1원팁

-----------

How To Disable Firefox 52 Insecure Form Warning

Read more at: https://www.thesslstore.com/blog/disable-firefox-insecure-password-warnings/

김정균의 이미지

KLDP 의 체감 속도가 느린 건 https 가 아니라 drupal 이 무거워서 입니다.
접속이 많은 사이트도 아닌데 체감이 될 리가 없죠.

apache 2.4.30 이상을 사용할 수 있다면 mod_md 를 이용하면 let's encrypt 인증서를 자동 발급/갱신 시켜 줍니다.

또는 let's encrypt 자동 갱신에 대한 글들은 수도 없이 많이 있습니다.

let's encrypt 인증서의 갱신 주긱가 3개월인 이유는, 인증서를 탈취 당했을 경우 도용에 대한 위험도를 낮추기 위해서 입니다. 자유를 억압하려고 그러는게 아닙니다.
진정한 자유 억압은 인증서 돈내라고 하는게 아닐까 싶은데요. 인증서를 사용하고 싶은 마음을 인증서 비용 청구로 마구 억압 하는 것 같지 않나요?

emptynote의 이미지

3개월 간격을 두는 이유가 도용 방지인것을 저두 알고 있지만

그래도 제약처럼 느껴지는것은 어쩔 수 없습니다.

개인 감정은 어디까지나 개인 감정이라고 생각하기때문에

개인적인 감정과 상관없이 실제 운영할 서버에는 저두 보안을 중시하는 https 대세를 따를것입니다.

하지만 https 가 보안을 위한 가장 좋은 선택이라는 주장에 공감을 하지만

이와 별도로 테스트 서버까지 https 적용을 왜 해야 하는지? 납득이 잘 안됩니다.

지금은 https 대중화를 위해서 인증서 공짜로 제공하는건데요.

상황은 늘 변활 수 있기에 막연한 불안감을 갖고 있습니다.

노파심에서 다시 한번 강조하지만 실제 운영할 서버에서는 저두 https 를 적용할 예정입니다.

아파치 자동 갱신 정보는 눈이 번쩍 떠지는 좋은 정보네요.

수동 업데이트 걱정이 많았는데 이런 정보는 저한테 정말로 사막위에 오아시스입니다.

좋은 정보 감사합니다.

jick의 이미지

웬만큼 사용자가 많은 서버가 아닌 이상 HTTPS 때문에 부하가 걸릴 일은 없을 텐데요.

https://istlsfastyet.com/

> On our production frontend machines, SSL/TLS accounts for less than 1% of the CPU load, less than 10 KB of memory per connection and less than 2% of network overhead. Many people believe that SSL/TLS takes a lot of CPU time and we hope the preceding numbers will help to dispel that.
> - Adam Langley, Google

저도 회사에 동시 접속자가 수천 명 되는 서버가 있습니다만 SSL을 담당하는 nginx의 CPU 사용량이 10%를 넘어가는 일이 별로 없습니다.

emptynote의 이미지

이성적으로 https 사용해야 한다는것에 공감하지만 감정은 그렇지 못합니다.

특히 개발 서버까지 https 도입하는것은 개인적으로 납득이 안갑니다.

데비안 개발기에서 테스트 중인데

기본 브라우저인 파이어폭스에서 비밀번호 입력 form 에서 각 입력 박스 밑에 경고 메시지를 보여주니

그것때문에 신경이 거스려 짜증이 밀려 오는것은 어쩔 수 없네요.

햐... 이런 저한테 https 부하 비중이 크지 않다는 실험 자료는 전혀 위로가 안됩니다.

마지막으로 제 감정이랑 상관없이 https 대세를 거스를 생각은 없습니다.