파이어폭스와 크롬 사용자가 HTTPS 암호화를 적용하지 않은 웹사이트에 방문하면 '안전하지 않다'는 알림을 받게 된다. 최근 배포된 파이어폭스51 및 크롬56 정식판에 적용된 변화다.
HTTPS는 일반 웹페이지 통신 방식인 HTTP보다 보안성을 높인 것으로, 전송계층보안(TLS) 프로토콜을 사용한다. 이는 HTTP 통신에 암호화, 데이터정합성, 인증 기능을 지원한다. 이런 기능은 웹사이트와 방문자 사이에 끼어들어 통신 내용을 가로채는(man-in-the-middle, 중간자) 공격을 예방하고 방문자가 웹사이트를 신뢰할 수 있도록 고안됐다.
모질라는 지난 24일 공식블로그를 통해 파이어폭스 새 버전이 사용자에게 보안상 안전하지 않은(Non-secure) 웹사이트에 경고를 표시할 것이라고 안내했다. 최신 파이어폭스51 버전은 현재 일반 사용자들이 내려받을 수 있는 상태다.
[☞참조링크: Firefox Gets Better Video Gaming and Warns of Non-Secure Websites]
과거 파이어폭스 브라우저는 방문자가 HTTPS 암호화 접속 사이트에 들렀을 때 주소창 왼쪽에 녹색 자물통 아이콘을 표시했다. 보안상 '안전하다'는 의미였다. HTTPS 암호화 접속을 적용하지 않은, HTTP 사이트에선 이 아이콘을 표시하지 않았다. 보안상 어떻다고 표시하지 않는 중립적인 형태였다.
최신 파이어폭스 브라우저는 이제 HTTPS 암호화 접속을 '기본'으로 간주한다. 암호화 접속을 지원하지 않는 사이트를 더 이상 중립적으로 표시하지 않는다. 방문한 HTTP 사이트 웹페이지에 로그인정보 입력 영역이 있을 때, 주소창에 왼쪽에 보안상 '안전하지 않다'는 의미의 아이콘을 띄운다.
아이콘은 회색 자물통에 빨간 빗금이 쳐진 형태다. 그 왼쪽에 함께 나타나는 느낌표 아이콘을 누르면 그게 "안전하지 않은 연결"이라는 의미라고, 빨간 글씨로 설명해 준다. 또 회색 글씨로 "이 페이지에 입력된 로그인 정보는 (제3자에게) 노출될 수 있다"고 안내한다. 계정과 비밀번호 탈취 가능성에 주의하란 얘기다.
구글도 앞서 크롬56 정식판을 통해 HTTPS 암호화 미적용 사이트 방문시 사용자에게 경고를 하겠다고 예고했다. 이어 지난 25일 공식블로그를 통해 크롬56 정식판 배포가 곧 시작된다고 밝혔다. 26일 현재 다운로드할 수 있는 상태다.
[☞참조링크: Stable Channel Update for Desktop]
[☞관련기사: 구글 크롬, HTTPS 미적용땐 경고 메시지]
관련기사
- HTTPS 불편한 공공 사이트…언제 해결되나2017.01.27
- 미국 "새 공공웹사이트, HTTPS기반 서비스 의무화"2017.01.27
- 같은 듯 다른 한국-미국 정부 SSL 확산정책2017.01.27
- 구글-애플, 'HTTPS' 확산 나섰다2017.01.27
구글은 지난해말 공식 구글플러스 페이지 포스팅을 통해 "여러분의 사이트 전체에 HTTPS를 쓸 수 있게 만드는 게 중요하지만, 만일 여러분의 사이트가 비밀번호와 결제정보 또는 그외 개인정보를 수집한다면 거기에 HTTPS를 사용하는 게 훨씬 중요하다"며 "HTTPS가 없다면 나쁜 의도를 가진 사람이 이런 비밀 데이터를 훔칠 수 있다"고 지적했다.
기존 크롬 브라우저 역시 사용자가 HTTP 사이트에 방문했을 때 중립적인 모습을 보였다. 최신 크롬 사용자가 HTTP 사이트의 로그인 정보를 입력하는 페이지에 들르면 경고를 띄운다. 경고 표시 형태는 파이어폭스보다 직설적이다. 주소창 왼쪽에 '안전하지 않음(Not secure)'이라는 글자를 띄운다.