Defaults.Exposed › 수정 › HTTPS & 보안 강제 리디렉션

HTTPS & 보안 강제 리디렉션 수정 방법

HTTPS는 브라우저 주소 표시줄의 자물쇠입니다. 웹사이트와 고객 사이를 오가는 모든 것을 암호화하여 전송 중에 읽히거나 변조되지 않도록 합니다. 보안 강제 리디렉션은 방문자가 'https://' 없이 주소를 입력해도 자동으로 암호화된 버전으로 이동하도록 합니다. 이 두 가지는 웹사이트가 안전하다고 간주되기 위한 가장 기본적인 요소입니다.

비즈니스에 미치는 핵심 영향: HTTPS가 없으면 고객이 전송하는 모든 비밀번호, 카드 번호, 메시지가 읽을 수 있는 텍스트로 인터넷을 통해 전달되고, Chrome, Edge, Safari, Firefox 모두 방문자가 한 글자를 읽기 전에 '안전하지 않음' 표시를 합니다. 리디렉션이 없으면 인증서가 있어도 첫 방문이 보호되지 않은 채로 남습니다. 두 가지 모두 신뢰, 매출, 검색 순위에 영향을 미치며 둘 다 몇 분 안에 무료로 수정할 수 있습니다.

발생 가능한 비용

• 첫 방문 고객이 페이지가 로드되는 순간 큰 '안전하지 않음' 경고를 봅니다. 대부분은 사이트가 가짜이거나 안전하지 않다고 생각하고 경쟁사로 이동합니다. 귀사는 매출 손실조차 인식하지 못합니다.
• 고객이 카페, 호텔, 공항에서 암호화되지 않은 연결로 카드 정보를 입력하거나 로그인합니다. 같은 Wi-Fi의 누군가가 이를 일반 텍스트로 읽을 수 있습니다.
• 대형 고객사의 구매 또는 보안 팀이 서명 전 빠른 스캔을 실행하다 HTTPS가 없거나 강제 리디렉션이 없는 것을 발견하고 수정이 증명될 때까지 계약을 보류합니다.
• Google은 HTTPS를 제공하는 경쟁사보다 귀사를 낮게 순위를 매기므로 이 하나의 설정과 연결하지 못하고 수 년 동안 조용히 검색 트래픽을 잃습니다.
• 규제 기관이나 결제 제공업체가 개인 또는 카드 데이터를 암호화 없이 전송하는 것을 보고 가능한 5분 무료 수정을 규정 준수 문제로 전환합니다.

중요한 이유. HTTPS는 웹 보안의 바닥이지 천장이 아닙니다. 자물쇠를 표시하고 고객이 전송하는 모든 것이 읽히거나 변조되지 않도록 막습니다. 강제 리디렉션은 인증서만으로는 남기는 격차를 좁힙니다: 사람들은 거의 'https://'를 입력하지 않기 때문에 리디렉션 없이는 첫 요청이 보안 버전이 로드되기 전에 보호되지 않은 채로 이동합니다.

쉬운 설명

HTTPS는 웹사이트의 보안 암호화 버전으로, 주소 표시줄에 자물쇠를 표시합니다. 방문자가 HTTPS에 있을 때 브라우저와 사이트 사이를 오가는 모든 것(보이는 페이지, 작성하는 양식, 비밀번호, 카드 정보)이 암호화되어 중간의 아무도 읽거나 변경할 수 없습니다. 일반 HTTP 버전은 이 모든 것을 같은 네트워크의 누구나 가로챌 수 있는 읽을 수 있는 텍스트로 전송합니다.

올바르게 설정하려면 두 가지가 필요하며 둘 다 확인합니다:

• HTTPS가 아예 사용 가능한가? 사이트에 작동하는 보안 인증서가 있어 보안 자물쇠 버전이 존재하는가?
• 사이트가 방문자를 강제로 그리로 보내는가? 거의 아무도 “https://“를 직접 입력하지 않습니다. 강제 보안 리디렉션은 그 요청을 자동으로 암호화 버전으로 전환합니다.

두 가지 모두 필요합니다. 리디렉션 없는 인증서는 방문자가 그냥 걸어 지나갈 수 있는 잠긴 정문입니다.

비즈니스 영향

이것은 웹사이트가 안전한지에 대한 가장 기본적인 신호이며, 결정적으로 고객이 직접 볼 수 있습니다. 모든 현대 브라우저(Chrome, Edge, Safari, Firefox)는 HTTPS 없는 사이트를 주소 표시줄에 **“안전하지 않음”**으로 표시합니다.

HTTPS는 신뢰(안전하지 않아 보이는 사이트를 사람들이 떠남), 검색 순위(Google은 수년간 HTTPS를 순위 신호로 사용), 실제 노출(일반 HTTP로 전송된 데이터가 진짜 다른 사람에게 읽힐 수 있음)에 직접 영향을 미칩니다.

비즈니스 피해 사례

• 조용한 이탈. 잠재 고객이 검색이나 광고를 통해 클릭해 들어오는데 페이지가 회색 “안전하지 않음” 배지와 함께 로드됩니다. 이유를 물어보는 이메일 없이 탭을 닫고 다음 결과를 클릭합니다.
• 가로채진 로그인 또는 결제. 고객이 호텔이나 카페에서 로그인하거나 결제합니다. 연결이 암호화되지 않아 근처 누군가가 비밀번호와 카드 번호를 일반 텍스트로 캡처합니다.
• 지연된 거래. 더 큰 잠재 고객이 서명 준비가 되었는데 보안 검사가 HTTPS 없음 또는 강제 보안 리디렉션 없음을 발견합니다.
• 느린 순위 하락. 두 비즈니스가 동일한 것을 제공하는데 하나는 안전한 HTTPS를 제공하고 하나는 그렇지 않습니다. 검색 엔진이 보안 사이트를 높이 밀어올립니다.
• 작성되지 않은 콘텐츠 삽입. 암호화되지 않은 연결에서 중간의 누구나 — 불량 공공 네트워크, 손상된 라우터 — 방문자가 로드할 때 가짜 팝업, 사기 제안, 악성 코드를 삽입할 수 있습니다.

수정 방법 (무료, 약 15분)

IT 담당자나 호스팅 공급업체 지원팀에 이 섹션을 전달하세요 — 수정은 무료입니다.

두 가지를 켜야 합니다:

1. 인증서를 받아 HTTPS가 작동하도록 (자물쇠).

• Cloudflare: 사이트가 Cloudflare 뒤에 있다면 SSL이 처리됩니다. SSL/TLS 모드를 “전체”(또는 “전체(엄격)“)로 설정.
• 웹사이트 빌더 및 관리형 호스팅: 사이트/도메인 설정에서 활성화되어 있는지 확인.
• cPanel 호스팅: SSL/TLS 상태를 열고 AutoSSL 실행.
• 자체 서버(VPS): Certbot으로 Let’s Encrypt 설치 — sudo certbot --nginx -d yourdomain.com.

2. 모든 방문자를 HTTPS로 강제 (리디렉션).

• Cloudflare: SSL/TLS → 엣지 인증서 → “항상 HTTPS 사용” 활성화.
• 웹사이트 빌더: 사이트 설정에서 “HTTPS 강제” 또는 “보안(HTTPS)” 토글을 찾아 켜세요.
• Nginx: 포트 80에 return 301 https://$host$request_uri; 서버 블록 추가.
• Apache(.htaccess): RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].

흔한 실수

• 인증서 설치했지만 리디렉션 없음. 가장 흔한 격차. 직접 방문할 때 자물쇠가 보이지만(브라우저가 HTTPS를 기억해서) 기본 도메인을 입력하는 새 방문자는 여전히 HTTP로 먼저 도달합니다.
• 혼합 콘텐츠. 페이지는 HTTPS로 로드되지만 이전 http:// 주소에서 이미지, 스크립트, 폰트를 가져옵니다. https://로 업데이트하세요.
• 임시(302) 리디렉션 대신 영구(301) 사용. 302는 방문자에게는 작동하지만 검색 엔진에게 이동이 임시임을 알려 순위 가치가 깔끔하게 전달되지 않습니다.
• 기본 도메인만 리디렉션하고 “www”는 아닌 경우(또는 반대). yourdomain.com과 www.yourdomain.com 모두 HTTPS로 가도록 하세요.
• 인증서 만료 허용. 만료된 인증서는 방문자를 완전히 멈추게 하는 전체 화면 브라우저 오류를 발생시킵니다.

FAQ

위의 질문 참조 — 비기술적 “직접 처리 가능한가”, 자물쇠가 있는 것과 리디렉션 강제의 차이, 인증서 비용 및 갱신, 브로슈어 사이트도 이것이 필요한가, HSTS와의 관계를 다룹니다.

FAQ