Qualys SSL LABS의 프로젝트로 서비스 되고있는 SSL Server Test는 도메인 명을 입력하면 그 사이트의 SSL 보안방식을 분석하고 레포트하는 서비스를 하고있습니다.
이 등급이 정해지는 방식은 SSL의 취약점과 권장 설정에 대한 아무런 세팅이 되어있지 않은 경우 (F등급) 부터 모든 권장설정을 마쳤을경우 (A+등급)으로 구분됩니다. 물론 가운데 단계는 취약점을 클리어 하는 설정이 없거나 권장하는 설정이 빠지는 경우가 되겠지요.
여기서 오해가 생깁니다. 얼마전 해킹때문에 몸살을 앓았던 뽐뿌가 SSL 등급 때문에 또한번 논란이 되어 인증서를 교체하는 일이 있었는데요. SSL Server Test는 얘기했다시피 SSL의 설정에 의해 정해지는 것이지, SSL 인증서의 발급기관과는 무관하다는 점입니다. SSL 인증서의 발급 기관이 크던 작던, 비싸던 무료이건 설정이 엉망으로 되어있어 F등급을 받은 것입니다.
필자가 사용하는 XPEnology에 SSL을 적용하고 nginx로 리버스 프록시 구성후 등급 평가입니다. SSL 인증서는 StartSSL을 통해 무료로 발급받았구요. 얼마전부터 SSL 관련 설정을 하면서 느끼는 것이지만 개인정보를 다수 가지고 있는 규모 있는 사이트에서 F등급을 받는다는것은 사이트 관리자가 수입만 챙기고 놀고있다는 증거가 되겠습니다.
자주 다니는 사이트를 테스트해서 등급을 보는것도 재미있겠네요. 열심히 활동하는 사이트에서 F등급이 나오면 찝찝하겠지만요.
