HSTS preload 적용 전 체크리스트

Problem

보안 강화를 위해 HSTS preload를 고려하지만, 잘못 적용하면 일부 서브도메인이나 운영 경로가 깨질 수 있습니다.

Symptoms

• HTTP 점검에서 HSTS 헤더가 없거나 약하게 설정되어 있습니다.
• 일부 서브도메인은 아직 HTTP만 지원하거나 인증서가 불완전합니다.
• HTTPS 강제를 전체 도메인에 적용해도 되는지 확신이 없습니다.

Top 3 Causes

1. 서브도메인 준비 부족 - 일부 하위 호스트가 HTTPS를 안정적으로 제공하지 못합니다.
2. 인증서 커버리지 부족 - includeSubDomains 적용 시 필요한 인증서 범위가 충분하지 않습니다.
3. 운영 영향 검토 부족 - 오래된 리소스, 리다이렉트, 내부 링크가 HTTP에 의존합니다.

Diagnose with DechoNet

• HTTP Check로 Strict-Transport-Security 헤더 존재 여부와 redirect 흐름을 확인합니다.
• SSL Check로 주요 호스트와 서브도메인의 인증서 상태와 SAN 범위를 점검합니다.

Resolution Checklist

• apex와 주요 서브도메인이 모두 HTTPS에서 정상 동작하는지 확인합니다.
• 인증서가 includeSubDomains 적용 범위를 충분히 커버하는지 점검합니다.
• HTTP 접근 시 모두 HTTPS로 일관되게 이동하는지 확인합니다.
• max-age, includeSubDomains, preload 조건을 만족하는지 검토합니다.
• 운영 중인 서브도메인 중 HTTP-only 자산이 남아 있지 않은지 확인합니다.

When to Escalate

• 서브도메인 운영 주체가 여러 팀에 분산되어 있으면 preload 전에 도메인 전체 정책 합의가 필요합니다.
• 일부 서비스가 아직 HTTPS 완전 전환이 안 됐다면 preload는 미루는 편이 안전합니다.