HTTPS 적용 문제

[Capella87]

현재 로그인할 때 HTTPS 적용이 되지 않은 채로 비밀번호가 POST로 전송되고 있는데 이는 심각하게 위험합니다. 조만간 학생들이 사용할 사이트인데 이를 적용하지 않는 것은 개인정보 유출이라는 끔찍한 재앙을 부를 수도 있다고 봅니다.

Let's Encrypt 사이트에서는 90일간 유효한 인증서를 무료로 발급해줍니다. Certbot을 통해 자동으로 재발급되게 설정할 수 있다고 합니다.
Certbot은 EFF 재단이 만든 건데 Let's Encrypt에서는 Shell Access를 통한 설정 방법을 다음과 같이 설명하고 있습니다.

We recommend that most people with shell access use the Certbot ACME client. It can automate certificate issuance and installation with no downtime. It also has expert modes for people who don’t want autoconfiguration. It’s easy to use, works on many operating systems, and has great documentation. Visit the Certbot site to get customized instructions for your operating system and web server.

또한 Certbot 사이트에서는 해당 서버와 서버가 설치된 운영체제를 알려주면 그에 맞춰 설정 방법도 친절하게 알려줍니다.

개강하기 전에 가능한 빨리 HTTPS를 적용하는 게 좋겠습니다.

참고 문헌

• MDN 문서 - 안전하지 않은 비밀번호
• Tanvi Vyas - No More Passwords over HTTP, Please!
• Let's Encrypt
• (개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
• Certbot