포럼
SSL 의무화. 하지만, SSL 없이 사이트 운영을 할수있는 방법 (개인정보수집안하기)
2014.04.03 05:06
가입시 비밀번호 찾기를 위한 정보도 개인정보에 포함됩니다.
회원이 비밀번호를 잋은 경우에는 가입하신 아이디와 가입당시 ip(현재ip가 아님)를
홈페이지 하단의 관리자 메일로 알려 주시면 검토후 초기화 해드리겠습니다.
감사합니다.
- [2016/10/17] 묻고답하기 https 관련 질문입니다 ㅠㅠ *1
- [2016/04/13] 웹마스터 팁 IIS에서 HTTPS를 사용하기 위한 SSL설정 (letsencrypt 인증서 설치, 갱신)
- [2016/03/18] 묻고답하기 SSL 테스트, B등급에서 더 올릴 수 있나요? *2
- [2016/01/07] 묻고답하기 ssl 항상사용 후 접근이 안되고 있습니다.. *5
- [2015/10/06] 묻고답하기 Ubuntu에서 SSL과 방화벽의 중복 사용 문의 *2
댓글 38
-
라미아스튜디오
2014.04.03 05:25
-
가브리엘조
2014.04.03 05:30
그렇군요.하아~ 방법이 있는지 알았는데, 그게 아니였군요.지금은 성장단계중이라 start ssl로 유지하다가, 회원이 3천명을 넘어가면 코모도쪽을 쓰는수밖에 없겠어요.개인서버에서 웹사이트를 5개 정도 돌리다보니 로그인할떄마다 들어가는 자원 손실도 꽤나큽니다. ㅜㅜ다른분들의 의견에서 희망이 있을지 모르니.. -
라미아스튜디오
2014.04.03 05:27
전 얼마전에 xe공홈에서.. 어떤분이 저렴하게 ssl판매하시길래..
그냥 미리3년 구매했죠. 이렇게 사도 애들 용돈수준으로 몇만원밖에 안하는데
이게 뭐 사실 비싼가요? 용량 1기가수준의 1년 호스팅비보다 싸고 사이트 열심히 운영하면
애드센스로 떨어질 수준의 돈인데 이게 비싸다그러면 참 글쎄요..;
-
가브리엘조
2014.04.03 05:35
마치, 그렇게 말씀하시니.. 제가 거지인것 처럼 느껴지네요 ㅜㅜ어디까지나 의견을 듣고자 올린것인데...비싸다고는 안했어요~(대형 포털 3사의 개인정보 유출 문제가 개인 소규모 사이트들에게 까지피해가 간다는 점에서 이런 토론도 의미가 있다고 봐요 ㅎㅎ;;) -
솔직히 도메인 많이 사용하는 사람들에겐 후덜덜한..
아무리 싸도 말입니다 ㅠㅠ
-
가브리엘조
2014.04.03 14:03
네.. 이상태로라면 현재 도메인&ssl포함 1년에 60만원.. ㅎㅎ앞으로 100만원은 훌쩍 넘길것같아요.ㅎㅎ(대학교커뮤니티/부동산/컴퓨터관련커뮤니티 등등)취미로 사이트 운영하는건 여러모로 손실이 클것같아요.ㅎㅎ -
라미아스튜디오
2014.04.04 11:16
도메인이 몇개시길래 60만원씩이나 나와요?
저 ssl 3년에 지금 2만원인가 한거같은데..
-
쭌별★
2014.04.03 05:44
https://www.gogetssl.com/
여기 싸고 괜찮더라구요.
그냥 회원가입 기능을 막든가, 저렴한 ssl 적용하는 게 좋을 것같아요.
어쨌든 보안 서버만 마련하면 되니..
-
가브리엘조
2014.04.03 14:05
5년에 2만원~ 대박 싼데요? ㅎㅎ
-
라미아스튜디오
2014.04.04 11:18
5년에 2만원정도네요~
저도 다음번엔 요걸로 해야겠습니다 ㅋㅋ
-
애니즌
2014.04.04 16:16
우와 이런 곳도 있군요~~ 메모해뒀다가 내년엔 여기로~~
-
헉 감사합니다. ㅋㅋㅋ 대박..정보입니다.
-
알피레이드
2014.04.03 09:21
그냥 눈가리고 아웅 하는거예요... 아이디, 비밀번호, 닉네임, 아이피를 수집받고 있는 상태라고 보시면 됩니다.
-
가브리엘조
2014.04.03 13:53
xe로 제작된 사이트더라구요. 저 사이트가 만들어진지 꽤 됐는데 아직까지 제제가 없는걸로 봐서는 ssl 의무화는 그리 조사대상이 아닌가 하는 생각이 들게끔 만드네요 ;;;ㅎㅎ
-
루팡쿠팡
2014.04.03 09:48
인터넷 진흥원 ip 주소좀 알려주시겠어요?
-
가브리엘조
2014.04.03 13:59
방금 로그기록을 찾아봤는데 어딨는지...못찾겠네요. 220으로 시작하는게 워낙 많아서.순식간에 5분동안 거의 300번이상 찍으며 들어왔는데 진흥원이더라구요. -
AJKJ
2014.04.03 11:04
예전에 어디서 보니 javascript로 form을 가로챈 뒤에 RSA로 암호화 해서 서버로 보내는 방식도 있었다고 들었어요.
단점은 javascript 미지원 브라우저에서는 로그인 자체가 안된다는것이지요. SSL 인증서가 부담된다면 간이로라도 이것도 나쁘지는 않을것 같긴 해요.
http://linuxism.tistory.com/798
참고 : SSL 여기도 괜찮아요. http://www.ssls.com/
-
가브리엘조
2014.04.03 13:51
xe 커뮤니티쪽을 찾다보니 코모도 3년에 6만원짜리가 있는걸 확이니했는데~이정도면 저렴한걸까요? -
AJKJ
2014.04.03 14:23
저렴한 편이긴 한데 싼거 써도 무방해요.와일드카드 나 EV-SSL이 아닌이상 나머지는 전부다 보험료 + 브랜드 값입니다.
금융결제 받는 쇼핑몰이라도 제일 싼거 써도 무방해요.
저는 코모도꺼 1년에 5천원 짜리 쓰고 있어요. (지금은 1년당 가격이 올랐네요. 예전에는 1년에 5$이였어요)
여기서 이거 사용중이네요.. 5년에 2.6만원 인데, 저는 일단 1년치만 사용중입니다.
http://www.ssls.com/comodo-ssl-certificates/positivessl.html
--------------
지금 보니 윗분이 알려주신 사이트가 더 저렴하네요.
위 상품과 동일한 것이며 일반 사이트는 이걸로도 충분합니다.
https://www.gogetssl.com/domain-validation/comodo-positive-ssl/
1년에 4.45$, 5년에 17.25$ 네요.
-
애니즌
2014.04.03 11:28
ip주소도 개인 정보 아니던가...ㄷㄷ
-
DoS™
2015.03.17 16:35
맞습니다. IP도 개인정보로 취급됩니다.
-
뭉이야
2014.04.03 11:50
http://www.startssl.com 에서 제공해주는 무료버전을 계속 쓰고 있는데요.
관련 설명된 블로그도 많고 한번해보면 그렇게 어렵지도 않습니다.
서브 도메인이 많으면 각각 만들어야 되는데.. 좀 귀찮긴해도 무료니까요..ㅎㅎ
무료 버전은 인증서에 기업정보등이 포함되어 있진 않구요.. 뭐.. 그래도 젤 많이 쓰는듯 합니다..
아.. 이미 startssl을 쓴다고 말씀하셨네요;;; 이게 회원수가 많아지면 무료로 못쓰나요?
-
가브리엘조
2014.04.03 13:50
사용해볼까하구요~ 예전에 startssl 사용하다가 크롬에서 x표시가 나는바람에 사용을 중지했었는데그래도 일단 이걸로라도 임시로 막아야할듯 싶습니다.ㅎㅎ;;현재 운영하는 사이트가 4개...라서 딱히 사기가 그렇네요. (개인적인 용도보다는 부모님 사업관련 사이트도 있고, 그냥 만들어준것도 있고... 제것도 있고 앞으로 친구들이 음식점 창업하면 하나씩 해줄생각이라서요~ 돈 안받고 이렇게 해주자니 ssl 비용도 도메인비 포함 1년에 60만원 들어갈것같아요.ㅎㅎㅎㅎ 어떻게 보면 적은돈인데, 또 어떻게 보면 많은돈이기도 하죠.내가 돈버는것도 아닌데 누구좋으라고 이런 고생까지 해야하는건지.. 제 오지랖이겠죠~ㅎㅎ) -
ㅎㅎ;; IP도 중요한 개인정보로 쳐집니다...
저런 방법으로는 조금 힘들 것 같네요.
광고 --
음... 저희 업체가 예전에 1년에 4천원 프로모션을 진행했었는데... 그때 잡았으면 좋았을 것 같네요. ㅠ
여튼 아직도 SSL 국내 최저가로 팔고 있습니다. 관심 있으면 연락 주세요~
아니면 Start SSL Class2를 이용하시는것도 좋은 방법입니다.
도메인 무제한이에요~ (물론 인증 절차가 좀 많이 까다롭고 기타 등등 복잡하긴 합니다만... 제 사이트는 전부 이걸로 인증받았습니다.)
-
가브리엘조
2014.04.03 21:15
혹시 가격과 기간을 알수있을까요? startssl 사용 후 넘어가고자합니다.그 전에 할수도 있을것 같기도해요.우분투로 개인서버를 쓰고있는데 여러모로 스트레스네요~특히 startssl은 크롬에서 세모표시가 나와서 골치아프네요~ㅜ -
Codomo SSL 1년에 19,000원입니다.
https://ezcert.net/
-
상자님
2014.04.05 03:51
개인정보 처리시 암호화만 하면되므로
openssl로 자체인증서 만들어서 운영하셔도되요
다만 root인증받은 인증서가아니라 경고창이 뜰뿐입니다
또한 startssl에서 무료로 발급받아 사용하실수도있구요
-
가브리엘조
2015.03.22 17:00
startssl에서 무료발급받아서 사용했었습니다.
크롬으로 접속하는 분들이 계시는데, 빨간 경고? 라고해야하나요. 그런부분들이 나타나서 오히려 불안하다고 접속을 꺼려하시기에...ㅎㅎ;;
-
와이너스
2015.03.20 19:27
https://letsencrypt.org
Http://cloudflare.com
이 두 곳 추천 해 드립니다
Lets Encrypt님 올해 중반 쯤 배포(?)한다고 하고요.
Cloudflare는 예전부터 유명했던 무료 DNS 사이트입니다.
무료 버전으로 하시면 SSL인증서 무료입니다.
물론 무료라서 보안이 유료만큼 철저하진 않지만,
SSL이 의무면, 보안 강도 상관 없으시면 Cloudflare 추천 드려요 ㅎㅅㅎ -
가브리엘조
2015.03.22 16:58
Http://cloudflare.com
가입후, DNS정보 변경한 뒤 SSL까지 설정을 마쳤습니다.
관리자admin 페이지를 접속하니
"요청한 기능을 실행할 수 있는 권한이 없습니다." 라는 문구가 나오네요 ㅜㅜ
저만 그런걸까요?ㅜㅜ
-
가브리엘조
2015.03.23 14:01
시간이 지나니 접속이 되네요~
문제는, ssl 보안 옵션을 걸어도 적용되지 않는모양입니다.
제가 알고있는 SSL인증과는 다른 의미인것같아요
-
가브리엘조
2015.03.24 09:49
cloudflare에서 보안을high로 놓고, HttpWatch 에서 찍어보니 아이디 비밀번호가 노출되네요...흠.
-
HttpWatch는 브라우저 애드온이잖아요.
브라우저 안에서 찍어보면 SSL 적용 여부와 무관하게
당연히 노출되는 게 정상이죠.
-
가브리엘조
2015.03.27 22:13
그런가요? 네이버와 다음같은 포털에서는 post data쪽에서 보니 암호화되서 출력되더라구요~
하나 여쭤볼게 있는데요~CloudFlare 상에서 flexible ssl 적용 후
관리자페이지에서 https 및 포트를 따로 설정하지 않아도 https가 적용되는지 염치를 무릎쓰고 여쭤봅니다. 5일이 지났는데도 자물쇠모양은 나오질 않고 있어서요~ 어떤걸 따로 설정해야하는지.. 제가 잘못한건지 모르겠네요 ㅎㅎ -
몇몇 대형포털에서는 SSL뿐만 아니라 자체 암호화 기능까지 적용하여 이중으로 암호화를 하고 있습니다. 그래서 브라우저 개발자도구나 추가기능을 이용해도 암호화되어 보이죠. 반면 XE는 자체 암호화를 하지 않고 SSL에만 의존하기 때문에, 실제 전송시에는 암호화되더라도 브라우저 내에서는 암호화되지 않은 상태로 보입니다. (자료실에 AJKJ님이 올려둔 애드온을 사용하면 자체 암호화 기능을 추가할 수도 있습니다.)
CloudFlare Flexible SSL은 방문자↔CloudFlare 사이는 https 통신을 하지만 CloudFlare↔실제서버 사이는 암호화 없이 http 통신을 합니다. 그래서 실제 서버에서 구동되는 XE가 보기에는 그냥 http로 보이는 거고요... 이 문제를 해결하려면 CloudFlare에서 제공하는 웹서버 모듈을 설치하거나, 웹서버 설정을 바꿔줘야 합니다. (여기서 웹서버는 아파치 또는 nginx를 말합니다. CF-Visitor 헤더를 활용하여 $_SERVER['HTTPS'] 환경변수를 지정하는 법을 검색해 보세요.)
또한 XE에서 https 사용을 설정하지 않으면 메뉴와 게시판 등의 모든 링크가 http로 생성되어 버립니다. 억지로 https를 넣어서 방문하더라도 링크를 클릭하는 순간 http로 돌아가 버리죠. 선택적 사용 또는 항상 사용으로 설정하셔야 합니다. 포트는 CloudFlare의 경우 항상 기본포트(443)를 사용하므로 별도로 지정할 필요 없습니다.
-
가브리엘조
2015.03.27 22:39
아하~ 그렇군요. 이해가 쏙쏙 되네요~ 감사합니다!
-
Icarus
2015.03.25 15:39
회원이 적으시면 가격이 저렴한 SSL 설치를 하시는 것이 정신 건강에 좋습니다..^^
-
몽삼이
2016.06.09 09:19
좀 이해를 잘못 하신듯 하네요...
저 문구는 비밀번호를 저장(수집)하지 않는다는 뜻이 아니라,
비밀번호 분실시 스스로 변경할 수 있도록 본인식별(인증)을 할 수 있는 개인정보(이메일, 전화번호 등)를 수집하지 않는다는 의미로, 따라서 비밀번호 분실시 관리자에게 요청하여야 변경이 가능하다는 의미입니다.
(비밀번호 없이는 당연히 로그인이 안됩니다. 이건 앞뒤 생각할 것도 없는 너무도 당연한 얘기입니다)
그리고 IP가 개인정보에 포함되느냐의 여부는 논란이 있을 수 있지만, 개인정보보호지침에서는 오히려 IP수집을 권장하고 있습니다. 그도 그럴것이, IP차단을 통해 해킹시도나 불법자료유출 등을 차단할 수 있고, 또한 대부분(99.99999999%)의 서버는 자동으로 접속로그에 IP를 남깁니다. 이런 이유로 개인정보보호지침을 보더라도, IP접속로그를 통해 불법적인 접속에 대한 차단 대책을 마련할것을 권장하고 있습니다.
그리고, 현재 우리나라 법상에서는 IP가 개인정보에 포함되는지 여부는 구체적으로 명시되어 있지 않으나, 해외 법원의 판례를 보더라도 IP는 개인정보가 아닌 것으로 보는 경우가 일반적입니다. 어쨌거나 IP수집에 대한 부분은 우리나라 법상으로는 문제가 없는 부분입니다.
대부분의 표준 약관에도 IP를 개인정보수집항목이 아닌 수집방법으로 분류하고 있습니다.
또한 덧붙이자면, SSL적용은 단순히 규정을 떠나, 보안을 위해서 적용하는 것이 바람직합니다. 우리나라 개발자들의 보안에 대한 의식이 지금보다 조금만 더 높았어도, 국민 대부분의 개인정보가 중국에 팔리는 일은 없었을 겁니다. 물론 이건 개발자들의 문제보다는 사회구조적인 문제가 더 크겠지만요.
아이디,비밀번호도 개인정보입니다........
저 사이트 운영자분이 뭘 잘못 알고계신듯..
'회원'기능 자체를 사용하지않고 댓글기능의 닉네임,비밀번호,이메일,홈페이지 이거 죄다 지워버리고
닉네임에 자동 익명이 기입되도록..
이렇게 하지 않고서야 ssl 설치 안하고 운영하는건 죄다 모조리 불법입니다.