https 보안 설정하기

http와 https의 자세한 차이점이라거나 아파치를 통한 설정, 인증서 발급 이런 걸 설명하려는 건 아니고
그냥 https로 보내는 방법을 설명하려고 한다.

SSL 인증서 발급은 호스팅 업체에 돈을 내면 대행해 준다. 발급이 되면 https://~~
를 통해 들어갔을 때 자물쇠 마크를 볼 수가 있다.

익스플로러라면 띠릭 소리가 나면서 보안되지 않은 내용을 포함하고 있다는 경고가 뜨고
크롬에서는 노란 삼각형을 포함한 자물쇠가 뜬다.

뭐냐면 사이트가 포함한 링크 중에 http:// 로 시작하는 링크가 있다는 말이다.

대부분의 사이트에서는 상대경로를 통해 이동하기 때문에 첫 페이지에서 http:// 로 들어온 이용자들을 https://로 한번 보내주면 사이트 내에서 쭉 https를 이용하게 할 수 있다.

그래서 index 페이지에서 https로 리다이렉션을 시키라고들 하던데 대부분 알려주는 코드가 이렇다.

1.  <meta http-equiv='refresh' content='0; url=https://도메인'> 

2.  <script> document.location.href='도메인'; </script>  

이런 식인데 저 방법을 쓰면 안된다.
 
KISA(한국 인터넷 진흥원)에서 만든 자료에서도 저 방법을 쓰라고 하는데 쓰면 안된다.
페이지가 단 한 글자도 뜨지 않고 무한반복되기 때문이다.

그래서 http://로 들어온 사용자만 https://로 보내주는 방법을 써야 하는데 그게 다음과 같다.

<script> 

if(location.href.substr(0, 5) != 'https'){ 

location.replace("https://~~~"); 

} 

</script>


~~ 부분에 도메인을 넣으면 된다.

아래는 KISA에서 만든 보안 서버 구축(SSL 구성) 가이드

http://www.kisa.or.kr/jsp/common/down.jsp?folder=uploadfile&filename=%EC%A0%9C2010-17%ED%98%B8-%EB%B3%B4%EC%95%88%EC%84%9C%EB%B2%84%EA%B5%AC%EC%B6%95%EC%95%88%EB%82%B4%EC%84%9C.pdf
매우 자세하게 나와있다.