본문 바로가기

새로운 소식/업데이트 소식

더 안전한 티스토리를 위해 - SSL 적용 완료

안녕하세요.

TISTORY입니다.


무더위가 한풀 꺾여 이제야 한 숨 돌리나 했더니, 갑작스런 태풍과 폭우가 찾아 왔네요.

여러분 모두 별 일 없으셨길 바랍니다. 


지난 사전 안내를 통해 말씀 드린대로 티스토리도 보안 접속(HTTPS)이 가능하도록 작업했습니다. 

여러분의 블로그가 더 안전한 보안 접속이 가능해지기 위해서는 몇 가지 준비 과정이 필요합니다. 사용 중인 도메인에 따라 약간의 차이가 있으니 차근차근 설명 드릴게요. 


1. "****.tistory.com" 도메인 만 사용하는 경우

  1. 보안 접속을 "사용합니다."로 변경 하기
  2. "변경사항 저장" 클릭
  3. 끝.

"관리자 > 블로그 > 주소설정"으로 가시면 기본 도메인 우측에 "보안접속 사용가능"라는 문구를 보실 수 있습니다. 기본 도메인의 인증서 발급이 완료돼 있다는 뜻이죠. 

아래의 보안 접속(HTTPS)를 "사용하지 않습니다."를 "사용합니다."로 바꾸고, 변경사항 저장을 누르면 끝!

바로 HTTPS로 접속이 가능합니다. 

(미리보기를 통해 https 접속 시 스킨이 정상 작동 되는지도 살필 수 있으니 확인해 주세요.)


2. 개인 도메인을 사용하고 있는 경우

  1. 보안 접속을 "사용합니다."로 변경 하기
  2. "변경사항 저장" 클릭
  3. 개인 도메인의 인증서 발급이 완료될 때까지 기다리기
  4. 끝.(발급 후 자동 연결)

기본 도메인과 마찬가지로 보안 접속을 "사용합니다."로 변경하면, 개인 도메인 주소 우측에 "보안접속 준비 중"이라는 문구가 나오게 됩니다. 보안 접속을 위한 인증서 발급 대기라는 뜻이에요. 조금만 기다려 주세요.

인증서 발급이 완료되면 "보안접속 사용가능"라는 문구가 나오고 바로 HTTPS 접속이 가능합니다.

인증서 발급은 사용자의 신청에 따라 순차적으로 진행되고, 경우에 따라 며칠~1주일 가량 소요되기도 하니 참고해 주세요. 

* 인증서는 기반 기술인 "Let's encrypt" 발급 정책에 따라 결정되며, 발급 기간이 유동적일 수 있습니다.


[요약]

조금 긴 설명이었나요?

가장 중요한 것은 도메인 설정에서 "보안 접속을 사용합니다"로 변경하는 겁니다.

그러면 기본 도메인만 사용하시는 분들은 바로 보안 접속이 가능하고, 개인 도메인을 사용하시는 분들은 "인증서 발급"이 완료된 후에 자동으로 보안 접속 및 https 리다이렉션이 됩니다. 


그럼 이제부터는

보안 접속을 위한 준비를 마친 후 정상적으로 잘 접속이 되는지, 오류는 없는지 살펴야겠죠?

그러려면 아래 두 가지를 꼭 확인하셔야 합니다.

보안 접속이 사용 가능해지면

  1. url 좌측에 녹색 계열의 "보안 연결" 표시가 나타나야 하고
  2. http로 접속 하더라도 'https'로 자동 리다이렉션 됩니다.(단, RSS와 같은 검색 엔진 링크는 예외로서 http/https 접속 모두 가능합니다.)


그런데, 

위 예시와 같이 https로 접속을 했는데도, 녹색 계열의 "보안 연결"표시가 나타나지 않는다면 스킨/플러그인/사이드바/계정관리 프로필 등 "html이나 링크를 등록할 수 있는 영역에 http로 시작하는 링크를 넣은 곳이 있는지" 확인하셔야 합니다.

https로 접속이 되더라도, 완벽하지 않은 보안 연결로 표시되니, 원인이 무엇인지 꼭 살펴 주세요.


참고해 주세요.

1. 블로그 보안을 위해 더 안전한 보안 접속(HTTPS)를 꼭 사용해 주세요.

2. 현재 보안 접속 사용 여부를 선택하는 것은 "스킨 호환성 확인을 위한 일시적인 기능"입니다. 이후에는 모두 "HTTPS"로 전환됩니다. 개인 도메인 역시 인증서 발급 후에 자동으로 HTTPS로 접속됩니다.

3. 티스토리에 SSL 적용이 완료된 이후 개설되는 새 블로그는 모두 "HTTPS"로 자동 설정됩니다. 


더 안전한 티스토리를 위해 늘 노력하겠습니다.

감사합니다. 


  • 이전 댓글 더보기
  • 아직 논란이 많군요..
    블로그에 SSL 지원해주는건 감사한 일이지만..
    좀 더 안정화 된 후에 적용해야겠네요 ㅠ.ㅠ

  • 저는 이 보안이 어떤 의미를 갖는지 모르겠습니다.
    더불어 티스토리같은 직접 조율이가능한 경우, 적용하나하나가 검색반영에 큰 영향을 미치기 때문에 하나하나가 조심스럽습니다.
    해서... 전 안할 생각입니다만, 이 보안의 의미가 무엇을 위한것인지 아시는분 계십니까?

    • 별 문제가 없다면 하시는 게 좋습니다. (댓글들을 보니 문제가 많아보이긴 하네요.) 이번 보안 적용은 다른 곳에서는 이미 상식적으로 적용되어있는 것입니다.

      SSL을 적용하면 다음이 가능해집니다.

      - 블로그와 사용자간에 주고받는 내용 암호화 (사이에서 누가 볼 수 없음)
      - 서로 전달한 내용이 조작되지 않았는지 검증

      SSL을 적용하지 않으면 (이런 케이스는 별로 없겠지만) 악의적인 해커가 중간에서 이런 걸 할 수 있습니다.

      - 블로그의 내용을 중간 어디에선가 조작해서 사용자에게 보내주기 (사기 사이트를 집어넣는다고 생각해보시면 좋을 것 같습니다.)
      - 비밀댓글을 쓸 때 적는 암호 탈취

    • 음... 하나 더 있습니다.

      더 빠른 차세대 웹 통신규약 중 일부는 보안 연결을 강제합니다(SPDY). 규약에서 강제하지 않더라도 인터넷 탐색기 프로그램이 보안 연결이 아니면 차세대 통신규약을 사용하지 않도록 구현된 게 많습니다(HTTP/2)...

      사실 티스토리의 SSL 적용은 어떻게 보면 좀 늦은 감이 있습니다. 또한 공지사항 본문에도 적혀있듯이 추후에는 티스토리에서 보안 연결을 반드시 사용하도록 바뀌게 될 것이라고 합니다. (끄는 옵션이 사라짐)

    • 문제는 티스토리는 스킨하나만 바꿔도 네이버에 검색이 안되거나 이상하게 변하게 되는경우가 허다합니다. 이를 티스토리의 카카오측에서 알아주지도 않을뿐더러 조율조차 제대로 안해주는게 문제같네요. 만약 강제적으로 적용이 앞으로 된다면 그때 보는게 옳지 지금 선택적으로 한다는건 아닌것 같습니다. 더불어, 저라면 새롭게 만들어지는 블로그에만 적용을 할 거 같네요.

  • 안해도 되겠네요. 국가기밀문서 적는 블로그도 아닌데요.

  • https://cfile 변경 기다립니다

  • 비밀댓글입니다

  • 헐~~카테고리(메뉴)의 썸네일들이 모두 안나오네요.
    경로가 잘못된거 같은데.....여태 모르고 있었네요..
    정말이지 티스토리는 뭐 하나만 바꾸면 제대로 되는게 없네요.
    화딱지 난다는.........

  • 비밀댓글입니다

  • 저걸로 해도 안되???
    뭐지 초록창에서 우리가 순간이동한건가요?

    안보이네요.

  • HTML 수정하기 들어가셔셔, 상단 meta 태그 있는쪽에 아래 추가하세요.
    <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

    위에는 HTTP로 되어 있다면 HTTPS로 바꿔서 요청하게됩니다.
    고로.. 중간에 이미지가 http로 강제로 들어가 있다면 https로 바뀌어서 전송될거에요.~

    저는 이렇게 씁니당

    • 오~~ 위 코드 넣으니 지도 넣은 부분들 다 느낌표로 되었는데 초록 자물쇠로 나오네요

      감사합니다~

    • 위코드가 하는일은..
      본문 내용에 HTTP가 있으면 강제로 HTTPS로 바꿔서 전달하게끔 해줍니다.

      문제점은..
      - 외부 API/이미지 같은걸 사용하는데 이게 HTTPS를 지원하지 않는 경우. (유명한곳은 다 지원하는데.. 일부.. 저같이 직접 호스팅받아 쓰면..)

    • 다음지도가 지원을 안하니 문제네요 흐;;

    • 위 방법을 사용하니, 크롬에서는 다음지도가 있는 글도 자물쇠가 표시되네요.
      그런데, 익스에서는 통하지 않습니다.
      한곳에서라도 제대로 나오니 좋네요^^

  • 정말 기초적인 질문인데 잘 몰라서 여쭤봅니다. 티스토리 제 블로그를 보안접속을 하게된다면 포스팅할시 어떤 장점이 생기는 거고? 포스팅 작성자에게 어떤 보안이 되는 건지 알려주시면 정말 감사드리겠습니다.

    • 저도 잘은 모르겠습니다만. 들은 풍월로는 피드백에서 암호화 되어 안전하게 정보를 주고 받을 수 있다고 합니다.
      구글 정책상 검색시 검색에 https를 우선적으로 검색창에 뜬다는 소문도 있고, 요즘 대세가 https로 가는 분위기에 일단 안전하다니 기분상 좋다는 거지요.^^

    • 많은 도움이 되었습니다.^^진심으로 감사드립니다. 항상 행복하시고 복받으세요.

  • AddThis 이미지 정상적으로 뜹니다.
    cfile 링크 인증서 문제 수정해주셔서 감사합니다.
    관리자 페이지 검색 문제도 해결됐네요.

  • 오~ 굉장히 반가운 소식이네요. SSL은 암복호화뿐 아니라 사이트 증명까지 해주니 앞으로 블로그를 방문하는 입장에서도 안전하게 컨텐츠를 즐길 수 있을거 같습니다. 앞으로 http2까지 지원되면 더 좋겠어요. :)

  • http://cfs.tistory.com/custom/blog/161/1613108/skin/images/user.png?=18660752150.5679849039297551
    이런것은 어떻게 해야하나요??
    여전히 안되는데

  • 티스토리는 일을 한번에 제대로 쳐하는걸 못보겟네

  • 아니 도대체 카테고리 썸네일 이미지 오류는 언제고쳐주시죠?

    • JavaScript ajax 를 통해서 썸네일 이미지를 불러오는 방식은 권장드리지 않습니다.
      https://www.tistory.com/guide/skin/step3#2-9-8 를 참고하시어 치환자를 통해서 이미지를 불러오도록 스킨을 수정해보시기 바랍니다. cfile 관련 주소는 https 를 지원하지 않습니다.

  • 제 블로그 https를 적용했지만 하단에 안전하지 않는 사이트라고 아직도 계속 나옵니다. 몇일 기다리면 적용된다고 했으나 지금 꽤 오래되었는데도 이모양이네요. 어떻게 해야하나요

    • 1. 티스토리 플러그인으로 네이버 에널리틱스를 사용하고 계시니 스킨 HTML에 삽입하신
      <!-- 네이버 분석 --> 부분을 삭제하시고

      2. CSS에 https://t1.daumcdn.net/cfile/tistory/131B350B4BFA8FD16E 를 https://t1.daumcdn.net/cfile/tistory/131B350B4BFA8FD16E 로 변경하시고

      3. 구글 맞춤 검색이 어디있는지는 모르겠는데 이것도 https로 바꾸시면 안전한 사이트 될 거 같아요

  • 저 왠만해서 댓글을 달지 않는데요...
    너무 감사합니다..!!
    안그래도 계속 해매고 있었거든요..ㅠㅠㅠㅠㅠㅠㅠㅠㅠ
    http://로 등록하니 계속 301오류가 나와서 뭐가 문제인지 몰랐는데..
    너무 감사합니다 ㅠㅠㅠ

  • non-www와 www에서 발생하는 targetmusic.co.kr 이슈좀 해결해 주세요.
    인증서 발급대상이 대체 왜 targetmusic이라는 곳인가요???
    댓글에 이 문제에 대해 물은 사람은 많은데 왜 정확한 대책없이 두루뭉술하게 답변하고 마는 거죠?
    이거 개인도메인 사용자들에겐 굉장히 민감하고 신경쓰이는 부분입니다.
    티스토리 공식 도메인도 아니고 아무런 관련없는 개인음악학원의 도메인이 문제점으로 떡하니 나오니까 진짜 불쾌합니다.
    (더군다나 타겟뮤직이라는 도메인은 인증서 발급 신청조자 하지 않았는지 SSL을 사용중이 아님, 그럼에도 불구하고 개인도메인 사용자들에게는 인증서 발급대상이 타겟뮤직이라고 나오는 아이러니...)

    어째서 모든 개인도메인 사용자에게서 같은(인증서 발급대상 : targetmusic.co.kr) 이슈가 생기는지, 또 티스토리에서는 이 문제를 해결할 의사가 없는건지 명확한 답변 기다리겠습니다.

    • 티스토리의 입장을 간단 요약하면 인증서는 https://baewoori.com 만 발급해 주겠다 https://www.baewoori.com 는 쓰지마라 인거 같아요

    • 아...저도 같은 문제가 있네요.
      저는 티스토리에 등록해 놓은 www 있는 건 인증서가 제대로 발급되었고, www 없이 가면 인증서가 대상을 못찾았다며 타겟뮤직으로 일단 발급했다고 나와요. -_-;
      티스토리에서 www 유무 리디렉션 정도는 해줘야 할 것 같은데...

  • 와. 이걸 지금 봤네요. 바로 변경완료 했습니다.
    몇년전 부터 원하던 건데, 이렇게 티스토리 버리지 않고(ㅋㅋ) 차근차근 업데이트 해주셔서 정말 감사합니다 ^^

  • argzumbang.tistory.com 이 기본 주소이고, www.argzumbang.com 을 가비아에서 구매하였는데
    tistory.com 은 https 가 되는데, 개인도메인은 요며칠 전까지는 https 가 되다가 이제는 보안준비중이라고ㅂ만 뜹니다.

    확인부탁드립니다.

    • www.argzumbang.com 발급했다 argzumbang.com 발급했다 왔다갔다 몇 번 하면 차단 되더라고요. 한 일주일 정도 기다리면 다시 되더라고요