웹사이트를 만들었다면 다음 단계는 HTTPS(자물쇠)입니다.
HTTPS는 “보안”뿐 아니라 브라우저 경고 방지, 로그인/결제 신뢰, 검색 노출 안정성에도 영향을 줄 수 있어요.
1) 10분 점검표(이대로만 확인하면 됨)
- 인증서 발급: (예: 무료 SSL/Let’s Encrypt 등) 적용 완료
- https 접속 확인:
https://내도메인접속 시 자물쇠 표시 - 리다이렉트:
http://로 들어가도 자동으로https://로 이동 - 대표 주소 통일: www 사용 여부(예: www/비www 중 하나로 고정)
- 혼합 콘텐츠(mixed content) 없음: 이미지/스크립트가 http로 불러와지지 않음
- 사이트맵/서치도구 재제출: https 기준으로 다시 제출
2) 초보가 제일 많이 막히는 5가지
① https는 되는데 자물쇠가 안 뜬다
대부분 혼합 콘텐츠(이미지/폰트/스크립트를 http로 로드) 때문이에요. “개발자도구 Console”에 경고가 뜨는지 확인하세요.
② http와 https가 둘 다 열리는데 둘 다 살아있다
이 상태는 검색/공유 주소가 섞여요. HTTP → HTTPS 301 리다이렉트로 통일하는 게 안전합니다.
③ www / non-www가 섞인다
둘 중 하나로 고정하세요. (예: www만 또는 비www만)
고정하지 않으면 같은 페이지가 주소만 다른 “중복”처럼 보일 수 있어요.
④ 워드프레스에서 로그인/관리자 화면이 꼬인다
워드프레스는 사이트 주소(WordPress Address / Site Address)가 http/https가 섞이면 이슈가 날 수 있어요. 주소를 https로 통일하고 캐시를 비운 뒤 재확인하세요.
⑤ 적용했는데 반영이 늦다
브라우저 캐시/서버 캐시/CDN 캐시 때문에 “예전 화면”이 보일 수 있어요. 캐시 삭제 → 시크릿 모드 → 다른 기기 순으로 확인하면 빠릅니다.
3) (선택) HSTS는 초보면 잠깐 보류
HSTS는 “항상 https만 쓰게” 강제하는 설정인데, 잘못 걸면 복구가 귀찮을 수 있어요.
초보는 HTTPS가 안정적으로 굴러가는 걸 확인한 후에 적용하는 걸 추천합니다.
FAQ
Q1. 무료 SSL도 충분해요?
A. 일반 블로그/콘텐츠 사이트는 무료 SSL로도 충분한 경우가 많아요. 중요한 건 “만료/갱신 자동화”가 잘 되어 있는지입니다.
Q2. HTTPS로 바꾸면 검색 순위가 떨어지나요?
A. 제대로 301 리다이렉트로 통일하고 사이트맵을 https로 다시 제출하면 보통 큰 문제 없이 넘어갑니다.
Q3. 티스토리는 SSL을 내가 설정해야 하나요?
A. 기본 주소(tistory.com)는 대부분 자동으로 https가 적용됩니다. 다만 커스텀 도메인은 연결 방식에 따라 점검이 필요해요.
마무리
HTTPS는 “한 번만 제대로” 해두면 유지비용이 거의 없어요.
핵심은 주소 통일(http→https, www 통일) + 혼합 콘텐츠 제거입니다.
관련 글