Chrome에서 HTTPS 연결의 보안을 확인하는 방법

인터넷을 사용하는 대부분의 사람들은 URL 표시줄에 있는 자물쇠 아이콘이 사이트가 안전하다는 것을 이미 알고 있지만 이것이 정확히 무엇을 의미하는지 또는 해당 자물쇠와의 연결이 실제로 얼마나 안전한지 깨닫지 못할 수도 있습니다.

자물쇠는 웹사이트에 대한 연결이 HTTPS를 사용하여 보호되었음을 시각적으로 나타냅니다. HTTPS(Hypertext Transfer Protocol Secure)는 암호화를 사용하여 엿보는 눈으로부터 데이터를 보호하는 HTTP 프로토콜 버전입니다.

암호화는 데이터를 암호화 암호와 키로 스크램블링하여 복호화 키를 통해서만 읽을 수 있도록 하는 과정입니다. 당신은 그것을 자물쇠 상자로 생각할 수 있고, 당신이 메시지를 작성할 수 있고, 상자를 잠글 수 있으며, 그러면 올바른 키를 가진 사람만이 상자를 열어 메시지를 읽을 수 있습니다. 이렇게 하면 계정 세부 정보를 훔치려는 해커로부터 데이터를 안전하게 보호할 수 있습니다.

알아야 할 핵심 정보 중 하나는 HTTPS의 암호화 및 보안이 URL 표시줄에 입력한 웹 사이트에 대한 연결이 안전한지만 확인한다는 것입니다. 웹 사이트가 안전하다는 것을 의미하거나 탐색하려는 웹 사이트가 아니라는 의미도 아닙니다. 많은 피싱 및 맬웨어 웹 사이트가 HTTPS에 액세스할 수 있게 됨에 따라 HTTPS를 사용하도록 이동하고 있으므로 HTTPS를 사용하는 사이트를 그냥 신뢰하는 것은 안전하지 않습니다.

팁: "피싱" 웹사이트는 합법적인 로그인 페이지를 가장하여 계정 정보와 같은 민감한 데이터를 제출하도록 속입니다. 피싱 사이트에 대한 링크는 종종 이메일을 통해 전송됩니다. 맬웨어는 바이러스, 웜, 랜섬웨어 등을 포함하는 "악성 소프트웨어"의 포괄적인 용어입니다.

참고: 안전하지 않은 연결을 통해 사용자 이름과 비밀번호 또는 은행 세부 정보와 같은 기타 민감한 정보를 입력해서는 안 됩니다. 사이트에 자물쇠와 HTTPS가 있더라도 세부 정보를 입력하는 위치에 대해 여전히 주의를 기울여야 한다는 의미는 아닙니다.

크롬 개발자 도구

보안 연결에 대한 자세한 정보를 보려면 Chrome 개발자 도구 모음을 열어야 합니다. F12 키를 누르거나 목록 맨 아래에 있는 "검사"를 마우스 오른쪽 버튼으로 클릭하고 선택하면 됩니다.

개발자 도구 모음은 기본적으로 "요소" 패널로 설정되며 "보안" 패널로 전환하는 데 필요한 보안 정보를 볼 수 있습니다. 즉시 표시되지 않으면 개발자 도구 패널 표시줄에서 이중 화살표 아이콘을 클릭한 다음 거기에서 "보안"을 선택해야 할 수 있습니다.

개발자 도구 모음이 페이지 오른쪽에 붙어 있는 것이 마음에 들지 않으면 왼쪽 아래로 이동하거나 개발자 도구 모음 오른쪽 상단의 점 삼중 아이콘을 클릭하여 별도의 창으로 이동할 수 있습니다. 도구 모음을 클릭한 다음 "Dock 쪽" 선택 항목에서 원하는 옵션을 선택합니다.

보안 패널 개요에는 인증서, 연결 및 리소스의 세 가지 정보 섹션이 있습니다. 여기에는 HTTPS 인증서의 세부 정보, 연결을 보호하는 데 사용되는 암호화 및 리소스가 안전하지 않게 제공된 경우에 대한 세부 정보가 포함됩니다.

인증서

인증서 섹션에는 유효하고 신뢰할 수 있는 경우 HTTPS 인증서를 발급한 인증 기관이 명시되어 있으며 인증서를 볼 수 있습니다. 연결하려는 웹 사이트가 URL을 소유한 사람이 실행하는지 확인하는 것 외에 인증서는 연결 보안에 직접적인 영향을 미치지 않습니다.

팁: HTTPS 인증서는 신뢰 체인 시스템에서 작동합니다. 다수의 루트 인증 기관은 웹사이트 소유자임을 증명한 후 웹사이트 소유자에게 인증서를 발급하도록 신뢰합니다. 이 시스템은 해커가 자신이 소유하지 않은 웹사이트에 대한 인증서를 생성할 수 없도록 설계되었습니다. 이러한 인증서에는 루트 인증 기관에 대한 신뢰 체인이 없기 때문입니다.

연결

"연결" 섹션에서는 데이터를 암호화하는 데 사용되는 암호화 프로토콜, 키 교환 알고리즘 및 암호화 알고리즘에 대해 자세히 설명합니다. 암호화 알고리즘은 이상적으로 "TLS 1.2" 또는 "TLS 1.3"이라고 말해야 합니다. TLS 또는 전송 수준 보안은 암호화 구성 협상을 위한 표준입니다.

TLS 버전 1.3 및 1.2는 현재 표준이며 안전한 것으로 간주됩니다. TLS 1.0과 1.1은 모두 오래되었고 몇 가지 알려진 약점이 있기 때문에 더 이상 사용되지 않는 과정에 있지만 보안 측면에서는 여전히 적절합니다.

팁: 더 이상 사용되지 않음은 사용을 권장하지 않으며 지원을 제거하기 위한 조치를 취하고 있음을 의미합니다.

TLS의 전신은 SSLv3 및 SSLv2입니다. 2015년과 2011년에 각각 안전하지 않은 것으로 간주되어 더 이상 사용되지 않기 때문에 이러한 옵션을 더 이상 지원하는 곳은 거의 없습니다.

다음 값은 키 교환 알고리즘입니다. 이것은 암호화 알고리즘과 함께 사용할 암호화 키를 안전하게 협상하는 데 사용됩니다. 이름을 말하기에는 너무 많지만 일반적으로 "Elliptic-curve Diffe-Hellman Ephemeral" 또는 ECDHE라는 주요 계약 프로토콜에 의존합니다. 타사 네트워크 모니터링 소프트웨어와 의도적으로 약화시킨 구성을 사용하지 않고는 합의된 암호화 키를 결정할 수 없습니다. 브라우저에서 이 정보에 대한 액세스를 명시적으로 지원하지 않는다는 것은 실수로 손상될 수 없음을 의미합니다.

연결 섹션의 마지막 값은 연결을 암호화하는 데 사용되는 암호 그룹입니다. 다시 한 번, 이름을 짓기에는 너무 많습니다. 암호에는 일반적으로 사용된 암호화 알고리즘, 암호 강도(비트) 및 사용 중인 모드를 설명할 수 있는 여러 부분으로 된 이름이 있습니다.

위의 스크린샷에서 볼 수 있는 AES-128-GCM의 예에서 암호화 알고리즘은 AES 또는 Advanced Encryption Standard이고 강도는 128비트이며 Galois-Counter-Mode가 사용되고 있습니다.

팁: 128 또는 256비트는 가장 일반적인 암호화 보안 수준입니다. 이는 사용 중인 암호화 키를 구성하는 128 또는 256비트의 임의성이 있음을 의미합니다. 그것은 2^128개의 가능한 조합 또는 2개를 128번 곱한 것입니다. 모든 지수와 마찬가지로 숫자는 매우 크고 빠르게 증가합니다. 가능한 256비트 키 조합의 수는 관측 가능한 우주의 원자 수에 대한 일부 저가 추정치와 거의 같습니다. 여러 대의 슈퍼컴퓨터와 수백 년의 시간이 지난 후에도 암호화 키를 정확하게 추측하는 것은 상상할 수 없을 정도로 어렵습니다.

자원

리소스 섹션에는 보안 연결을 통해 로드되지 않은 이미지, 스크립트 및 스타일시트와 같은 페이지 리소스가 표시됩니다. 리소스가 안전하지 않게 로드된 경우 이 섹션은 빨간색으로 강조 표시되고 네트워크 패널의 특정 항목을 표시하는 링크를 제공합니다.

이상적으로는 안전하지 않은 리소스가 해커가 사용자 모르게 수정할 수 있으므로 모든 리소스를 안전하게 로드해야 합니다.

추가 정보

패널 왼쪽의 컬럼을 이용하면 로드된 각 도메인과 서브도메인에 대한 자세한 정보를 볼 수 있습니다. 이 페이지에는 인증서 투명성 정보와 인증서의 일부 추가 세부 정보가 표시되지만 개요와 거의 동일한 정보가 표시됩니다.

팁: 인증서 투명성은 인증서 발급 프로세스의 일부 과거 남용에 대응하는 데 사용되는 프로토콜입니다. 이것은 이제 새로 발급된 모든 인증서의 필수 부분이며 인증서가 합법적인지 추가로 확인하는 데 사용됩니다.

원본 보기를 사용하면 페이지에서 콘텐츠를 로드한 각 도메인 및 하위 도메인을 살펴보고 특정 보안 구성을 검토할 수 있습니다.