저건 ID/PW가 암호화 없이 전송되고 있다는 경고문구입니다. 로그인 폼의 action URL을 생성하는 루틴이 HTTPS 처리를 제대로 해주지 못해서 HTTP 링크가 생성되고 있는 것 같습니다.

개발자도구로 확인해 보니 정말 HTTP로 전송하고 있네요. 로그인 폼은 HTTPS로 전송하면서 정작 그 폼을 제출할 때는 그냥 HTTP를 쓰고 있으니... 비싼 인증서 사놓고 이게 대체 뭐하는 시츄에이션입니까 ㅡ.ㅡ;;

좀더 정확히 말하자면 getUrl 함수는 act에 따라 https 사용 여부를 선택하도록 되어 있는데, 이렇게 POST 방식으로 전달되는 폼에서는 act가 URL에 포함되지 않고 별도의 hidden 필드로 들어가기 때문에 인식이 안 되는 문제인 듯 합니다.

회원가입폼에서는 action="./"로 해버려서 문제가 없네요. 로그인 폼도 똑같이 하면 안될 이유가 있나요?

네, 관련 커밋이 이것과 이것이군요. 그런데 문제가 발생한 것은 referer_url 부분인데, 왜 굳이 action까지 변경했는지 이해가 되지 않네요. 어떤 방식으로든 빨리 수정되었으면 좋겠습니다. 현재 공홈을 비롯한 대부분의 XE 홈피들이 로그인시 SSL 적용이 전혀 안되고 있어요 ㅠㅠ

GitHub에 이슈를 등록했습니다.

어디서 바가지 쓰셨나요? 저는 gogetssl에서 4불에 샀는데 ㅋ

XE에서 쓰는 SSL가격이 그정도라는겁니다.

https://www.thawte.com/ssl/index.html

XE공홈의 SSL 발급기관이 thawte , 2년치니까 최소 259달러 권장하는게 519달러 최고가 873달러

님처럼 한국인터넷진흥원 권고사항때문인지 모르겠지만 저렴한SSL을 쓰는분도 계시겠지만 

고객의 정보 보호를 위해 고가의 SSL을 쓰는곳도 적지 않거든요? 

ㅋ는 또 무슨의미인지?

SSL은 가격이 높으면 높을수록 뚫릴경우 보상이 올라가는 일종의 보험아닌가요? 

저가 SSL이랑 고가의 SSL의 차이가 보상금뿐만 아니라 암호화 클라스도 다르겠지요?

아예 공짜 SSL을 자랑하시지 그럽디까?

비싼 인증서는 보상금 금액이 올라가긴 하죠. 단, 인증서 자체의 내용이나 발급 절차에 하자가 있어서 뚫렸다는 것을 증명해야 보상금을 받을 수 있는데, 실제로 그런 하자가 있는 경우는 극히 드물고, 다른 경로를 통해 뚫리는 경우가 절대 다수이므로 보상금을 기대하느니 차라리 로또를 사는 편이 낫죠. 보상받을 가능성이 극히 희박한 보험이라면 오히려 사기라는 표현이 더 적당하겠습니다.

암호화 클라스요? 그것도 인증서의 가격과는 무관합니다. 서버를 셋팅할 때 어떤 프로토콜과 어떤 알고리듬(CipherSuite)을 사용할지 설정할 수 있는데, 암호화 강도는 오직 그 설정의 영향만을 받습니다. 심지어 공짜 인증서로도 최신 TLS 1.2 프로토콜, 막강한 ECDHE-ECDSA-AES256-GCM-SHA384 알고리듬, 그리고 이를 이용한 perfect forward security 구현이 가능하죠. 인증서는 해당 호스트네임의 소유권을 증명하는 수단일 뿐, 실제 암호화 방식은 서버와 브라우저가 결정합니다.

제가 공짜 인증서를 함부로 추천하지 않는 유일한 이유는 1) 웹브라우저 호환성이 낮고, 2) 하트블리드 취약점과 같은 사고 때문에 파기·재발급이 필요할 경우 오히려 다른 제품보다 더 비싼 수수료를 받기 때문입니다. 결코 보안성이 낮아서가 아닙니다.

즉, 비싼 인증서는 브라우저 주소창을 형광녹색으로 칠해주는 것 외에는 어떠한 기술적 차이도 없습니다. 그래서 바가지이고, 그래서 ㅋ입니다.

참고로 XE 공홈에서 사용하는 것은 Thawte Wildcard 인증서입니다. 정가는 2년에 873불이고, 발품 좀 팔면 2년에 480불 내외에도 구입할 수 있습니다. 정확히 알아보고 댓글 다세요.

주제를 벗어나시네요. 공홈도 4달러짜리 저렴한 SSL을 써야한다는겁니까?

공홈이 고가의 SSL을 쓰고있다니까

"어디서 바가지 쓰셨나요? 저는 gogetssl에서 4불에 샀는데 ㅋ"

이건뭐냐고요 그쪽이나 잘 알아보셔요. 

제가 젠스튜디오님의 첫 댓글을 잘못 이해했네요. "259~519달러 정도 하는 SSL"이라고 하시길래 공홈 인증서의 가격을 말씀하시는 게 아니라 그냥 일반적인 인증서 가격이 비싸다는 불만을 표현하시는 줄 알았어요. 요즘도 SSL 관련 글이 올라오면 인증서가 비싸다느니, 외국으로 돈 나간다느니, 토를 다는 분들이 종종 있거든요. 오해해서 죄송합니다.

그러나 바로 위의 댓글은 인증서 가격에 따른 보상금 차이와 "암호화 클라스"에 대한 님의 주장에 답변을 단 것이므로 딱히 주제를 벗어났다고 생각하지는 않습니다.

그럴필요가 있나요? cloudflare pro 사용하면 SSL 을 와일드카드로 제공합니다. 고급 CDN옵션도 제공하지요.

cloudflare pro 이용자입니다. 지원하는 옵션과 부가서비스가 많아 좋지만 요약하자면 "느려요"

그렇군요. 저같은경우는 해외서버를 사용해서 그런거 같습니다. 보통 국내서버로 cloudflare 쓰는 분들이 많더군요.

저도 국내서버로 이용하고있어요 ㅠ; 근데 사용안할때와 할때와 체감속도가 너무 차이나서;

근데 트래픽 절약되니 뭐 써야죠  . . . ㅎㅎ;

무료인증서는 브라우저 호환성이 낮아서 추천하지 않습니다. 유료인증서 중에는 Comodo PositiveSSL이 싸고 좋습니다. 국내 가격대는 3만원 내외이고, 해외에서 직구하면 4~9달러입니다. (어디에서 구입하든 100% 동일한 물건임)

탱큐, 참고하겠습니다.