SSL กับ Https คืออะไร? เว็บไซต์ปลอดภัย ข้อมูลไม่รั่วไหล ผู้ใช้สบายใจ

บนโลกออนไลน์ หรือโลกอินเทอร์เน็ตมีกิจกรรมมากมายเกิดขึ้นบนนั้น ไม่ว่าจะเป็นการสื่อสาร ความบันเทิง ความรู้ การทำธุรกรรม และการทำธุรกิจต่าง ๆ เสมือนว่าโลกออนไลน์เป็นโลกแห่งใหม่ที่เรามีตัวตนอยู่จริง ๆ แต่ทว่า ณ โลกแห่งนี้ก็มีความเสี่ยงอยู่เช่นกัน ไม่ว่าจะเสี่ยงข้อมูลหลุดหายหรือถูกแฮกข้อมูล  เราจึงต้องกลับมาให้ความสำคัญกับความปลอดภัย (Security) บนเว็บไซต์  

โดยการติดตั้ง SSL Certificate เพื่อเพิ่มความปลอดภัยของข้อมูลส่วนบุคคลของผู้ที่เข้ามายังเว็บไซต์ รวมถึง  SSL คือสิ่งที่ช่วยการันตีว่าเว็บไซต์ที่คุณกำลังใช้งานมีคุณภาพ ซึ่งส่งผลต่อการจัดอันดับบน Search Engine เช่นกัน ฉะนั้น มาทำความรู้จักว่า SSL คืออะไร? รวมถึงวิธีการในการติดตั้ง SSL Certificate สามารถทำได้อย่างไร มาเรียนรู้กัน

SSL Certificate คืออะไร?

สำหรับมือใหม่เพิ่งเริ่มทำเว็บไซต์ คงตั้งคำถามว่า SSL คืออะไร? สำหรับ SSL ย่อมาจาก Secure Socket Layer เป็นโปรโตคอลทางด้านความปลอดภัย สำหรับการเข้ารหัสข้อมูลระหว่าง User และ Server ซึ่งถูกกำหนดให้เป็นมาตรฐานความปลอดภัยที่น่าเชื่อถือมากที่สุด โดยได้บริษัท Netscape คิดค้นขึ้น และถูกพัฒนาร่วมกับ IETF (Internet Engineering Task Force) เพื่อให้ SSL มีมาตรฐานและได้รับการยอมรับเป็นวงกว้าง ในปัจจุบันมีการใช้งาน SSL ทั่วโลก และได้ถูกพัฒนาขึ้นเป็น Transport Layer Security หรือ TLS คือการรับส่งข้อมูลที่มีความปลอดภัย ผ่านการเรียกใช้งาน HTTPS

สำหรับ SSL Certificate คือการรับรองมาตรฐานความปลอดภัย ซึ่งจะออกและถูกอนุมัติโดย CA (Certificate Authority) เพื่อให้ในการยืนยันตัวตนให้แก่เว็บไซต์ต่างๆ  และสร้างมาตรฐานความปลอดภัยของเว็บไซต์ให้สูงขึ้น โดยผ่านการเข้ารหัส SSL และ TLS โดยใช้ HTTPS เป็นโปรโตคอลด้านความปลอดภัยหลัก หรือสามารถใช้โปรโตคอลด้านความปลอดภัยอื่น ๆ ได้

งานของ SSL Certificate มีอะไรบ้าง?

โดยพื้นฐานแล้วงานหลักของ SSL Certificate คือไฟล์ข้อมูลที่ใช้ในการตรวจสอบความถูกต้องด้วยการเข้ารหัส ในรูปแบบของ Public Key Cryptography โดยแบ่งการทำงานเป็น 3 ส่วนหลัก ๆ ดังนี้ 

1. การตรวจสอบเซิร์ฟเวอร์: สำหรับการตรวจสอบ SSL Certificate มีหน้าที่ตรวจสอบเซิร์ฟเวอร์ว่าเป็นของจริงหรือไม่? โดยอาศัยการตรวจสอบใบรับรองด้วยการเข้ารหัสแบบ Public Key อีกส่วนของตรวจสอบ Public ID ของเซิร์ฟเวอร์นั้นๆ ว่าถูกต้องหรือไม่? 
2. การตรวจสอบ Client: ในส่วนนี้เพื่อเป็นการยืนยันว่า Client หรือเครื่องคอมพิวเตอร์ที่ขอใช้บริการหรือรอรับบริการเป็นผู้ติดต่อจริงหรือไม่
3. การเข้ารหัสข้อมูล: เป็นขั้นตอนสุดท้ายของการนำข้อมูลจากโปรแกรมส่งข้อมูลที่ได้มาเข้ารหัส โดยใช้โปรแกรมสำหรับรับข้อมูลเป็นตัวถอดรหัส โดย SSL จะช่วยในการปกป้องความถูกต้องและความสมบูรณ์ของข้อมูล อีกทั้งยังสามารถตรวจสอบการเปลี่ยนแปลงของข้อมูลตั้งแต่ต้นทางจนถึงปลายทางได้ในทันที
   
   

SSL ทำหน้าที่อะไร?

สำหรับการได้มาซึ่งการรับรอง SSL Certificate ที่ถูกสร้างขึ้นและออกโดย Certificate Authority (CA) ที่มีความน่าเชื่อถือ ปัจจุบันมีการรับรอง SSL Certificate ถึง 6 ประเภท โดยขึ้นอยู่กับระดับของความน่าเชื่อถือ ดังนี้

Extended Validation Certificates (EV SSL)

สำหรับ EV SSL เป็น SSL Certificate ที่อยู่ในระดับสูงที่สุด โดยเจ้าของเว็บไซต์ต้องผ่านกระบวนการยืนยันตัวตนตามมาตรฐานเพื่อยืนว่าตนเองมีสิทธิ์ใน Domain ดังกล่าวแต่เพียงผู้เดียว ซึ่งใบรับรอง EV SSL เป็นใบรับรองที่มีราคาแพงมากที่สุด จึงมีการตรวจสอบที่เข้มงวดมากที่สุด นิยมใช้สำหรับเว็บไซต์ที่มีชื่อเสียง ต้องการข้อมูลส่วนตัวของผู้ใช้งานเป็นจำนวนมาก รวมถึงเป็นเว็บไซต์ที่มีการเรียกเก็บเงินอยู่บ่อยครั้ง อย่างเว็บไซต์ของธนาคาร รวมถึงเว็บไซต์ของโรงพยาบาล เป็นต้น

Organization Validated Certificates (OV SSL)

SSL Certificate ในระดับ OV SSL จะคล้ายกับใบรับรอง EV SSL โดยใช้ในการตรวจสอบความถูกต้องของการเข้ารหัสข้อมูลที่ละเอียดอ่อน อาทิ ข้อมูลเพื่อการทำธุรกรรมประเภทต่างๆ ดังนั้นการรับรอง OV SSL ตรวจสอบข้อมูลเชิงลึกเป็นอย่างมาก จึงมีการรับประกันในระดับที่สูง และมีราคาที่สูงรองลงมาจาก EV SSL โดยเจ้าของเว็บไซต์ต้องยืนตัวตนและปฏิบัติตามข้อกำหนดของกระบวนการตรวจสอบความถูกต้อง เพื่อตรวจสอบสิทธิ์ในการใช้ชื่อโดเมนและสิทธิ์ความเป็นเจ้าของโดเมนนั้นๆ โดยเว็บไซต์ที่นิยมใช้ SSL Certificate ในระดับ OV SSL คือเว็บไซต์ที่ใช้ในเชิงพาณิชย์ หรือพวกอีคอมเมิร์ซต่างๆ ที่ต้องมีการจัดเก็บและรวบรวมข้อมูลของลูกค้า

Domain Validated Certificates (DV SSL)

สำหรับ Domain Validated Certificates เป็นใบรับรองที่ได้รับความนิยมน้อยที่สุด เนื่องจากที่ราคาถูก มีการเข้ารหัสที่อยู่ในระดับที่ต่ำ และมีการรับประกันความเสี่ยงในระดับที่ต่ำด้วยเช่นกัน จึงไม่ค่อยได้รับความนิยมมากเท่าไหร่นัก ซึ่งวิธีการสำหรับยืนยันตัวตนและสิทธิ์ในการเป็นเจ้าของโดเมนอาศัยการยืนยันตัวตนผ่านยืนยันผ่านอีเมลหรือเบอร์โทรศัพท์เท่านั้น จึงมักนิยมสำหรับ Blog Post หรือเว็บไซต์ที่ให้ข้อมูลเพียงอย่างเดียว โดยไม่จำเป็นต้องขอข้อมูลเพิ่มเติมจากผู้ใช้งาน

Wildcard SSL Certificates

ใบรับรอง Wildcard SSL Certificates มีทั้งแบบ OV SSL และ DV SSL โดยใช้สำหรับการรักษาความปลอดภัยของข้อมูลสำหรับโดเมนหลักและโดเมนย่อยได้แบบไม่จำกัด ซึ่งสามารถซื้อใบรับรองได้ในราคาที่ถูกกว่าซื้อเพียงแค่โดเมนเดียวแต่หลายรายการ โดยมักถูกใช้งานในเว็บไซต์ที่มีการเข้ารหัสสำหรับโดเมนย่อยหลายรายการ ขึ้นอยู่กับความต้องการผู้ใช้เป็นหลัก

Multi-Domain SSL Certificates

สำหรับ Multi-Domain SSL Certificates เป็นการรักษาความปลอดภัยของชื่อโดเมนและโดเมนย่อยรวมกัน 100 ชื่อได้ในใบรับรองเดียว ซึ่งข้อดีของใบรับรองประเภทนี้คือประหยัดเวลาและค่าใช้จ่าย โดยนิยมใช้กับเว็บไซต์ที่มีการใช้งานในหลายๆ ภูมิภาค หรือในหลายๆ ประเทศ ซึ่งมีเว็บไซต์ประจำภูมิภาคนั้น จึงมีความจำเป็นต้องรักษาชื่อโดเมนเอาไว้สำหรับประเทศและภูมิภาคดังกล่าว

Unified Communications Certificates (UCC)

Unified Communications Certificates (UCC) เป็น SSL Certificate แบบครบวงจร โดยถือเป็น Multi-Domain SSL Certificates ที่สามารถรักษาความปลอดภัยหลายๆ โดเมนพร้อมกันได้ และสามารถ SSL Certificate ในระดับ EV SSL ได้เช่นกัน โดยออกแบบมาเพื่อการรับรองการสื่อสารแบบรวมศูนย์ โดยทำให้เจ้าของเว็บไซต์สามารถใช้โดเมนเข้ารหัสเข้าหลายโดเมนได้เพียงใบรับรองเดียว

ทำไมเว็บของเราต้องมี SSL Certificate

สำหรับในยุคสมัยของอินเทอร์เน็ตข้อมูลส่วนบุคคลถือเป็นเรื่องที่ละเอียดอ่อนเป็นอย่างยิ่ง ดังนั้น คงไม่เป็นการดีนักถ้าไม่มีมาตรฐานการรับรองความปลอดภัยของข้อมูล ดังนั้น SSL Certificate มีความสำคัญใน 2 ประเด็นใหญ่ ๆ ดังนี้

• การสร้างความน่าเชื่อถือ: ซึ่งในปัจจุบัน Google มีการแจ้งเตือนสำหรับเว็บไซต์ที่ไม่ได้ใช้ https โดยมีความแจ้งเตือนทางด้านความปลอดภัยขึ้นมา ซึ่งหากเว็บไซต์ใดเกิดลักษณะแบบนี้ขึ้นแน่นอนว่าระดับความน่าเชื่อถือของเว็บไซต์จะลดลง
• มาตรฐานทางด้านความปลอดภัยที่ดี: อย่างที่กล่าวไปว่าบนโลกอินเทอร์เน็ตมีความเสี่ยงอย่างมากในการถูกแฮกข้อมูล ข้อมูลหลุดหาย แต่  SSL Certificate  หรือการเข้ารหัสก่อนส่งข้อมูลจะทำให้ฝั่งที่ขโมยข้อมูลไปก็ไม่สามารถอ่านข้อมูลของเราได้จึงมีความปลอดภัยมากกว่า
  
  

ทำไม SSL ถึงสำคัญ

มีความเสี่ยงมากมายหลายอย่างเกิดขึ้น หากเว็บไซต์ ไม่มี SSL Certificate ดังนี้

• Misuse of data: เป็นการนำข้อมูลที่รั่วไหลไปใช้ในทางที่ผิด ทั้งข้อมูลส่วนบุคคล ข้อมูลทางธุรกรรมการงานจนทำให้เกิดความเสียหายต่อธุรกิจ 
• Downranking of websites: สำหรับในช่วงหลายปีที่ผ่านมา Google พยายามที่จะผลักดันในการเข้ารหัส SSL รวมถึงมีความแจ้งเตือนสำหรับเว็บไซต์ที่ไม่ได้ติดตั้ง  SSL Certificate  ว่าเป็นเว็บไซต์ที่ไม่มีคุณภาพ จึงทำให้อันดับของเว็บไซต์ลดลง รวมถึงติดหน้าหนึ่งบน Search Engine ได้ค่อนข้างยาก
• MITM attacks: MITM หรือการที่เว็บไซต์ถูกโจมตีโดยมีชื่อเรียกเต็มๆ ว่า Man in the Middle ซึ่งเป็นการโจมตีโดยสร้างการรบกวนระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ รวมถึงเปลี่ยนข้อมูลการสื่อสารจึงอาจทำให้ธุรกิจเสียหาย 
• Harms your brand reputation: แน่นอนว่าหากข้อมูลส่วนบุคคลเกิดรั่วไหลย่อมทำลายชื่อเสียงของธุรกิจ และทำให้ความน่าเชื่อถือที่มีต่อแบรนด์หายไปในทันที เนื่องจากเว็บไซต์ไม่มีความปลอดภัย
  
  

อยากให้เว็บปลอดภัยเป็น https ต้องทำยังไง ยากไหม

สำหรับคนที่ต้องการให้เว็บไซต์ของตนเองปลอดภัยและมีความน่าเชื่อถือ สามารถทำได้ไม่ยาก ดังนี้ 

• หาใบรับรอง SSL:  โดยใบรับรอง SSL Certificate  มีทั้งแบบเสียเงินและแบบไม่มีค่าใช้จ่าย โดยมี Certificate Authority (CA) ให้บริการอยู่ โดยสามารถเลือกและติดตั้ง SSL 
• แก้ไขลิงก์ไปยังหน้าเว็บไซต์: เมื่อทำการติดตั้ง  SSL Certificate ทำให้เว็บไซต์ของเรามี https นำหน้าเรียบร้อยแล้ว หลังจากนั้นจึงต้องมีการ Redirect เว็บไซต์ใหม่ โดยการเข้าไปแก้ไขโค้ด และการทำวิธี 301 Redirect เพื่อให้ลิงก์ไปยังหน้าเว็บไซต์เดิมได้ 
• แก้ไขหน้าผสม (Mixed Content): โดยเกิดจากบางส่วนของเว็บไซต์ยังเป็น http อยู่ทำให้เว็บไซต์บางหน้ายังคือขึ้นหน้าไม่ปลอดภัยต่อผู้ใช้งานอยู่ ดังนั้นเราจึงควรตรวจสอบและแก้ไขไฟล์ดังกล่าวให้หมด 
• ทดสอบหน้าเว็บไซต์: โดนทำการทดสอบหน้าเว็บไซต์ของเราทุกหน้าว่าการแก้ไขเรียบร้อยดีหรือไม่? เพื่อลดความเสี่ยงในการเกิดข้อผิดพลาดให้เหลือน้อยมากที่สุด โดยควรเช็กการแสดงผลบนมือถือด้วยเพื่อสร้างความปลอดภัยให้เว็บไซต์ของเราเอง
  
  

สุดท้าย อยากบอกว่าเว็บไซต์เราปลอดภัยนะ คนอื่นจะดูได้จากอะไรบ้าง

การตรวจสอบง่าย ๆ สำหรับเว็บไซต์ที่มีการติดตั้ง  SSL Certificate  เรียบร้อยแล้วมีวิธีการตรวจสอบอยู่ 3 วิธีด้วยกัน ดังนี้ 

• ชื่อ URL ต้องเขียนว่า https://: ถ้าหากเว็บไหนยังคงเป็น http:// อยู่โดยยังไม่มี s ตามหลังซี่งหมายถึง Secure แสดงว่าเว็บไซต์นั้นยังไม่มีการเข้ารหัสความปลอดภัยหรือยังไม่ได้ติดตั้ง  SSL 
• แสดงสัญลักษณ์แม่กุญแจบน URL: โดยบน URL ของเว็บไซต์ต้องแสดงสัญลักษณ์แม่กุญแจด้วยถึงจะมีการติดตั้ง  SSL Certificate  เรียบร้อยแล้ว โดยสัญลักษณ์แม่กุญแจจะอยู่ทางด้านซ้ายสุด โดยสามารถคลิกที่แม่กุญแจเพื่อแสดงข้อมูลทางด้านความปลอดภัยอื่น ๆ
• การตรวจสอบว่าใบรับรองถูกต้อง: โดยสามารถเข้าไปที่ View กดเลือก Developer Tools เพื่อกดดูว่า SSL หมดอายุหรือไม่โดยสามารถเช็ควันที่ที่ใบรับรองเพื่อให้มั่นใจว่าเว็บไซต์ดังกล่าวมีการต่อ SSL สม่ำเสมอ และไม่หมดอายุเพื่อป้องกันข้อมูลรั่วไหล
  
  

สรุป

ในปัจจุบันการเข้าใช้งานอินเทอร์เน็ตเป็นเรื่องที่หลีกเลี่ยงไม่ว่าสำหรับผู้คน ดังนั้น การไขว่คว้าโอกาสใหม่ ๆ ในโลกออนไลน์ที่สามารถทำให้ธุรกิจหรือองค์กรประสบความสำเร็จและก้าวไปข้างหน้า ซึ่งนอกจากจะทำให้องค์กรหรือธุรกิจประสบความสำเร็จบนโลกออนไลน์อีกสิ่งที่ตามมาคือการทำให้เว็บไซต์มีความปลอดภัยต่อผู้ใช้งานเพื่อสร้างความน่าเชื่อถือ ดังนั้นการติดตั้ง SSL Certificate เป็นสิ่งที่สำคัญอย่างยิ่งสำหรับเจ้าของเว็บไซต์ เพราะเป็นเครื่องมือยืนยันว่าเว็บไซต์ของเรามีความปลอดภัยและมีความน่าเชื่อถือ

FAQ – คำถามที่พบบ่อย