[공지] 구글 크롬, SSL인증서 비적용 사이트의 쿠키 사용 제한 > 공지사항

본문 바로가기주메뉴 바로가기

> 고객지원/이벤트 > 공지사항

공지사항

/var/www/certkorea/skin/board/notice/view.skin.php
공지사항
  • 관리자
  • 20-03-20 13:11
  • 65,165

[공지] 구글 크롬, SSL인증서 비적용 사이트의 쿠키 사용 제한

본문




안녕하세요, 써트코리아입니다.



구글 크롬의 80버전(2020-02-04 Release)부터 http 사이트에서 쿠키(Cookie) 사용이 제한됩니다.

 

쿠키의 SameSite 속성 Default값이 None에서 ‘Lax’ 로 변경 되면서 기존에 연동하여 사용 중이던 3rd Party 시스템이나 특히 결제 모듈 등에 문제가 생길 수 있습니다.

(사이트에서 결제(PG) 모듈을 사용하는 경우, 사이트와 결제사의 도메인이 다르기 때문에 문제가 발생할 여지가 있습니다.)


기존에는 쿠키를 제공한 사이트와 쿠키를 사용하고자 하는 외부 사이트의 도메인 주소가 다르더라도 제한되는 부분이 없어 서로 쿠키를 공유할 수 있었으나(SameSite=None),

쿠키의 기본 정책이 SameSite=Lax로 변경되면 동일한 도메인을 가진 사이트에서만 사용되도록 쿠키 사용이 제한되며 일부 예외적인 상황(HTTP Get Method , a href )에서만 쿠키 사용이 가능합니다. 




사진 : a.com 사이트와 b.com 사이트에서 쿠키를 공유하여 사용하는 모습



변경된 정책에 맞게 사이트의 유지보수나 개발이 어려운 경우는?

구글은 오직 https으로 운영되는 사이트만 SameSite=None 정책을 계속 사용할 수 있다고 발표했습니다.

따라서 SameSite=None으로 계속 사용해야 하는 경우에는 반드시 SSL 인증서를 사용해야 합니다. 


만약 SSL 인증서를 적용하였고 웹 서버에서 해당 쿠키 정책을 일괄적으로 None으로 적용하려면 다음과 같은 방법을 통해 가능합니다. 




1.     Apache 설정

A.     httpd.conf 등의 conf 파일에서 아래와 같이 헤더 값을 수정합니다.

Header always edit Set-Cookie (.*) "$1; Secure SameSite=None;"



2.     NginX 설정

A.     nginx.conf 등의 conf 파일에서 아래와 같이 값을 수정합니다.

location / {

    # your usual config ...

    # hack, set all cookies to secure, httponly and samesite (strict or lax)

    proxy_cookie_path / "/; secure; SameSite=None";

}

          

3.     Tomcat 설정

A.     Tomcat 8.5 이상에서는 Cookie Processor Component 를 이용하여 쿠키 속성을 정의할 수 있습니다.

B.      context.xml 파일을 수정합니다.

<Context>

    ...

    <CookieProcessor sameSiteCookies="none"/>

</Context>

자세한 설정 방법 및 출처 : https://tomcat.apache.org/tomcat-8.5-doc/config/cookie-processor.html


4.     IIS 설정

A.     IIS Rewrite 모듈을 설치합니다. (https://www.iis.net/downloads/microsoft/url-rewrite)

B.      web.config 파일에 다음과 같이 설정합니다. (예시 입니다.)

<rewrite>

   <outboundRules>

       <rule name="AddSameSiteCookieFlag">

           <match serverVariable="RESPONSE_Set-Cookie" pattern="^(.*)(CFID|CFTOKEN|JSESSIONID)(=.*)$" />

           <action type="Rewrite" value="{R:0};SameSite=lax" />

       </rule>

   </outboundRules>

</rewrite>

자세한 설정 방법 및 출처 : https://www.petefreitag.com/item/850.cfm


감사합니다.



# 참고자료 및 출처


https://developers-kr.googleblog.com/2020/01/developers-get-ready-for-new.html?fbclid=IwAR0wnJFGd6Fg9_WIbQPK3_FxSSpFLqDCr9bjicXdzy--CCLJhJgC9pJe5ss


https://tomcat.apache.org/tomcat-8.5-doc/config/cookie-processor.html


https://www.iis.net/downloads/microsoft/url-rewrite


https://www.petefreitag.com/item/850.cfm