TLS/HTTPS 완벽 가이드: 인증서·암호화·HSTS·실수 체크리스트
“HTTPS는 그냥 주소창에 자물쇠 뜨는 것”으로 끝나지 않습니다. 실무에서는 인증서 갱신 오류, 혼합 콘텐츠, 리다이렉트 루프, HSTS 설정 실수가 자주 발생합니다. 이 글은 개념을 쉽게 정리하면서도, 마지막에 배포 체크리스트까지 제공합니다.
목 차
1. TLS/HTTPS가 보장하는 것(3가지)
| 핵심 | 설명 |
| 기밀성 | 중간에서 패킷을 봐도 내용을 읽기 어렵게 암호화 |
| 무결성 | 전송 중 데이터가 바뀌면 감지(변조 방지) |
| 인증 | 접속한 서버가 “진짜 그 도메인”인지 확인(인증서) |
즉 HTTPS는 “암호화”뿐 아니라, 도메인 신원 확인까지 포함합니다.
2. 인증서(CA)와 체인: 왜 “신뢰”가 생기나
브라우저가 신뢰하는 루트 CA(최상위 인증기관) 목록이 있고, 서버 인증서는 그 루트까지 체인(중간 인증서 포함)으로 연결됩니다. 체인이 끊기거나 중간 인증서가 누락되면 “안전하지 않음” 경고가 뜰 수 있습니다.
실무 팁
✔ 인증서 설치 시 “중간 인증서(체인)” 누락이 가장 흔한 실수
✔ 와일드카드/멀티도메인(SAN) 인증서는 범위를 정확히 관리
✔ 자동 갱신(Let's Encrypt 등)은 만료 알림/모니터링 필수
3. 실무에서 흔한 문제 6가지
| 문제 | 증상 | 대응 |
| 혼합 콘텐츠 | HTTPS 페이지에서 HTTP 리소스 로드 | 모든 이미지/스크립트/폰트 HTTPS로 |
| 인증서 만료 | 갑자기 경고/접속 불가 | 자동갱신 + 만료 모니터링 |
| 체인 누락 | 특정 기기/브라우저만 오류 | 중간 인증서 포함 설치 |
| SNI 설정 | 다중 도메인 서버에서 인증서가 엉킴 | 가상호스트/SNI 확인 |
| 리다이렉트 루프 | HTTP↔HTTPS 무한 이동 | 프록시/로드밸런서 헤더 확인 |
| TLS 구버전 | 취약한 암호 스위트 허용 | TLS 1.2+ 권장, 약한 스위트 제거 |
4. HSTS·보안 헤더 기본 세트
웹 보안은 TLS만으로 끝나지 않습니다. 최소한 아래 헤더는 “기본 세트”로 많이 사용됩니다.
- HSTS: 브라우저가 “항상 HTTPS만 사용”하도록 강제
- Content-Security-Policy(CSP): 스크립트/리소스 출처 제한
- X-Content-Type-Options: MIME 타입 추측 방지
- Referrer-Policy: 리퍼러 정보 노출 최소화
주의: HSTS는 한 번 잘못 걸면 복구가 번거로울 수 있어, 적용 순서(테스트→점진 확대)가 중요합니다.
5. 배포 전 최종 체크리스트 + FAQ
| No | 체크 항목 |
| 1 | HTTP→HTTPS 리다이렉트가 정상 동작(루프 없음) |
| 2 | 인증서 만료일 모니터링/알림 설정 |
| 3 | 중간 인증서(체인) 포함 설치 확인 |
| 4 | 혼합 콘텐츠(HTTP 리소스) 제거 |
| 5 | TLS 구버전/약한 암호 스위트 비활성화 |
| 6 | 기본 보안 헤더(HSTS/CSP 등) 점진 적용 계획 |
FAQ
Q1. HTTPS만 켜면 보안은 끝인가요?
A. 아닙니다. TLS는 통신 보호의 기반이고, 실제 웹 보안은 OWASP 항목(인증/인가/입력 검증 등)과 함께 봐야 합니다.
Q2. HSTS는 무조건 켜는 게 좋은가요?
A. 장점이 크지만, 적용 순서를 잘못 잡으면 운영 리스크가 생길 수 있습니다. 테스트 → 일부 도메인 → 전체 확장 순서를 권장합니다.
※ 본 글은 기초 학습 목적의 설명형 콘텐츠입니다.
관련글(내 블로그) — 같이 보면 맥락이 이어집니다
'IT 실무 가이드 & 체크리스트' 카테고리의 다른 글
| [IT-보안점검] LLM 보안 점검표: ‘이거’ 없으면 내부자료 그대로 새나갑니다 (1) | 2026.01.18 |
|---|---|
| [IT-보안점검] API Security 체크리스트: OAuth·JWT·Rate Limit·WAF까지 (실무 점검표) (0) | 2026.01.18 |
