HTTPS คืออะไรและทำไมคุณจึงควรใส่ใจ

เผยแพร่แล้ว: 2020-09-20

จนถึงประมาณปี 2017 เว็บไซต์ส่วนใหญ่บนอินเทอร์เน็ตใช้โปรโตคอลการถ่ายโอนไฮเปอร์เท็กซ์ (HTTP) อย่างเคร่งครัดในการส่งข้อมูลของเว็บไซต์ไปยังเว็บเบราว์เซอร์ของผู้เยี่ยมชม

ก่อนหน้านั้น เบราว์เซอร์ส่วนใหญ่สามารถรับเนื้อหา HTTP ที่ปลอดภัยได้อย่างสมบูรณ์ แต่มีเจ้าของเว็บไซต์เพียงไม่กี่รายที่ใส่ใจในการตั้งค่าเว็บไซต์ของตนโดยใช้ HTTPS

สารบัญ

    HTTPS คืออะไร? มันย่อมาจากโปรโตคอลการถ่ายโอนไฮเปอร์เท็กซ์ที่ปลอดภัย และในปัจจุบัน HTTP เวอร์ชันที่ปลอดภัยนี้เป็นวิธีที่เว็บไซต์ส่วนใหญ่บนอินเทอร์เน็ตส่งเนื้อหาไปยังเบราว์เซอร์

    HTTPS คืออะไร?

    เมื่อเว็บไซต์ใช้ HTTPS หมายความว่าข้อมูลทั้งหมดที่ส่งระหว่างเว็บไซต์นั้นกับเบราว์เซอร์ของคุณจะถูกเข้ารหัส

    ก่อน HTTPS แฮ็กเกอร์สามารถสกัดกั้นการส่งข้อมูลระหว่างโฮสต์เว็บและเบราว์เซอร์ของผู้ใช้ได้อย่างง่ายดาย และอ่านเนื้อหาที่ส่ง เนื่องจากเนื้อหาถูกส่งในรูปแบบ HTML หรือข้อความธรรมดา ในหลายกรณี แม้แต่ ID และรหัสผ่านก็ง่ายต่อการดึงออกจากการส่งสัญญาณเหล่านี้

    อะไรทำให้ HTTPS แตกต่าง HTTPS ใช้สิ่งที่เรียกว่า Transport Layer Security (TLS) ซึ่งเดิมเรียกว่า Secure Socket Layer (SSL)

    TLS ใช้ “คีย์” ความปลอดภัยสองอันเพื่อเข้ารหัสข้อมูลที่ไประหว่างโฮสต์เว็บและเบราว์เซอร์ของคุณอย่างสมบูรณ์

    • คีย์ส่วนตัว : นี่คือคีย์ที่เก็บไว้บนเว็บเซิร์ฟเวอร์ต้นทาง สาธารณะไม่สามารถเข้าถึงได้ ดังนั้นเฉพาะคีย์ส่วนตัวนี้ที่จัดเก็บไว้ในเว็บเซิร์ฟเวอร์จริงเท่านั้นที่สามารถถอดรหัสการส่งสัญญาณได้
    • คีย์สาธารณะ : คีย์สาธารณะถูกใช้โดยเบราว์เซอร์ที่ต้องการสื่อสารกับเว็บเซิร์ฟเวอร์ที่เป็นเจ้าของเว็บไซต์

    วิธีการทำงานของการสื่อสาร HTTPS

    กระบวนการสื่อสารทำงานดังนี้

    1. ผู้ใช้เปิดเบราว์เซอร์และเชื่อมต่อกับหน้าเว็บ
    2. เว็บไซต์จะส่งใบรับรอง SSL ให้กับเบราว์เซอร์ของผู้ใช้ที่มีกุญแจสาธารณะ เบราว์เซอร์ต้องการกุญแจสาธารณะนี้เพื่อเปิดการเชื่อมต่อเริ่มต้นกับไซต์
    3. สิ่งนี้จะเริ่มต้นสิ่งที่เรียกว่า “TLS handshake” โดยที่ไคลเอนต์ (เบราว์เซอร์) และเซิร์ฟเวอร์ (เว็บไซต์) “ตกลง” ในการเข้ารหัสที่จะใช้ ตรวจสอบลายเซ็นดิจิทัล SSL ของไซต์ และสร้างคีย์เซสชันใหม่สำหรับเซสชันปัจจุบัน

    เมื่อสร้าง "เซสชัน" นี้แล้ว ไม่มีใครระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์จะสามารถระบุข้อมูลหรือข้อมูลที่กำลังถ่ายโอนได้อย่างง่ายดาย

    เนื่องจากทุกอย่าง แม้แต่ HTML ที่ส่งไปยังเบราว์เซอร์ จะถูกเข้ารหัส (โดยพื้นฐานแล้วจะแปลงเป็นข้อความและสัญลักษณ์ที่ไร้สาระ) เฉพาะเบราว์เซอร์ที่สร้างการเชื่อมต่อเริ่มต้นกับเว็บไซต์เท่านั้นที่สามารถถอดรหัสข้อมูลได้ และในทางกลับกัน เฉพาะเว็บไซต์เท่านั้นที่สามารถรับสิ่งต่างๆ เช่น ID และรหัสผ่าน และถอดรหัสเพื่อใช้งาน

    ดังนั้น เมื่อใดก็ตามที่คุณเห็นว่าไซต์มีความปลอดภัย คุณสามารถมั่นใจได้ว่าการสื่อสารระหว่างเบราว์เซอร์ของคุณและไซต์ระยะไกลนั้นเป็นส่วนตัวและปลอดภัยจากการสอดรู้สอดเห็น

    จะทราบได้อย่างไรว่าไซต์ใช้ HTTPS

    ตั้งแต่ปี 2560 Google ได้กดดันเจ้าของเว็บไซต์ให้รวมใบรับรอง SSL ไว้ในเว็บไซต์ของตน พวกเขาทำได้โดยการรวมคุณลักษณะใหม่เข้ากับ Chrome เวอร์ชันล่าสุดที่แสดงคำเตือน "ไม่ปลอดภัย" แก่ผู้ใช้ทุกครั้งที่เข้าชมไซต์ที่ไม่ได้ใช้ HTTPS

    หากคุณใช้เบราว์เซอร์ Chrome เวอร์ชันล่าสุด และเข้าชมเว็บไซต์ที่ปลอดภัยซึ่งใช้ HTTPS คุณจะเห็นไอคอนแม่กุญแจเล็กๆ ทางด้านซ้ายของ URL

    ไม่นานหลังจากนั้น เบราว์เซอร์อื่นๆ ก็เริ่มทำตามความเหมาะสม รวมถึง Firefox, Safari และอื่นๆ พวกเขาทั้งหมดจะแสดงไอคอนแม่กุญแจเหมือนที่ Chrome ทำ

    หากคุณเข้าชมเว็บไซต์และเว็บไซต์นั้นไม่ได้ใช้ HTTPS ในการสื่อสาร คุณจะเห็นข้อผิดพลาด ไม่ปลอดภัย ทางด้านซ้ายของ URL

    แม้ว่าจะไม่ได้ทำให้เสียมารยาทมากพอที่จะกันผู้เข้าชมให้ห่างจากเว็บไซต์ Google ยังได้กำหนดนโยบายที่การใช้ใบรับรอง SSL จะช่วยให้เว็บไซต์มีอันดับสูงขึ้นในผลการค้นหา

    เหตุผลสองข้อนี้คือสาเหตุที่ในที่สุดเจ้าของเว็บไซต์ส่วนใหญ่เริ่มเปลี่ยนไซต์ของตนไปใช้ใบรับรอง SSL และสื่อสารกับเบราว์เซอร์ของผู้เยี่ยมชมผ่าน HTTPS

    เหตุใดคุณจึงควรใส่ใจเกี่ยวกับ HTTPS

    ในฐานะผู้ใช้อินเทอร์เน็ต คุณควรใส่ใจอย่างมากว่าไซต์ใช้ HTTPS หรือไม่ คุณอาจไม่คิดว่าจะมีใครสนใจว่าคุณเยี่ยมชมเว็บไซต์ใดหรือสิ่งที่คุณทำบนอินเทอร์เน็ต แต่มีชุมชนแฮ็กเกอร์จำนวนมากที่มีความสนใจอย่างมาก

    ด้วยการสกัดกั้นการสื่อสารของเบราว์เซอร์ของคุณกับเว็บไซต์ แฮกเกอร์มักจะมองหาข้อมูลใด ๆ ต่อไปนี้:

    • ที่อยู่อีเมลของคุณ เพื่อให้สามารถขายให้กับผู้ส่งอีเมลขยะได้
    • หมายเลขโทรศัพท์และที่อยู่จริงของคุณเพื่อขายให้กับนักการตลาด
    • ID และรหัสผ่านที่คุณใช้เพื่อเข้าสู่บัญชีธนาคารของคุณเพื่อให้สามารถเข้าถึงเงินของคุณได้
    • เว็บไซต์ที่น่าอับอายใดๆ ที่คุณเยี่ยมชมเพื่อให้สามารถส่งอีเมลถึงคุณโดยขู่ว่าจะแบ่งปันกิจกรรมนั้นกับเพื่อนและครอบครัวหากคุณไม่ชำระเงิน
    • ที่อยู่ IP โดยตรงของคอมพิวเตอร์ของคุณเพื่อที่พวกเขาจะได้ลองแฮ็คระบบของคุณ

    ที่จริงแล้ว การตรวจสอบให้แน่ใจว่าคุณเข้าชมเฉพาะเว็บไซต์ที่ใช้ HTTPS เป็นวิธีที่มีประสิทธิภาพในการปกป้องความเป็นส่วนตัวและความปลอดภัยออนไลน์ของคุณ ด้วยเหตุผลหลายประการ

    หากคุณเป็นเจ้าของเว็บไซต์ มีเหตุผลมากกว่านี้ที่คุณควรใส่ใจเกี่ยวกับการติดตั้งใบรับรอง SSL และการเปิดใช้งาน HTTPS

    • คุณจะได้รับปริมาณการค้นหาของ Google เพิ่มขึ้น
    • ผู้เยี่ยมชมจะรู้สึกปลอดภัยที่จะเยี่ยมชมเว็บไซต์ของคุณบ่อยขึ้น
    • ลูกค้าจะรู้สึกปลอดภัยมากขึ้นในการซื้อผลิตภัณฑ์จากคุณ
    • แฮกเกอร์จะมีโอกาสน้อยที่จะได้รับ ID หรือรหัสผ่านที่ทำให้พวกเขาแฮ็คเว็บไซต์ของคุณได้ง่ายขึ้น

    ไม่มีเหตุผลที่ดีอีกต่อไปสำหรับทุกคนที่ใช้อินเทอร์เน็ตในทุกวันนี้ที่จะไม่ใช้ HTTPS เพียงอย่างเดียวสำหรับธุรกรรมบนเว็บทั้งหมด

    วิธีใช้ HTTPS บนไซต์ของคุณ

    หากคุณเป็นเจ้าของเว็บไซต์และสนใจที่จะกำจัดข้อความ "ไม่ปลอดภัย" ที่น่ากลัวเมื่อมีคนเข้าชมไซต์ของคุณ การติดตั้งใบรับรอง SSL สำหรับเว็บไซต์ของคุณไม่ใช่เรื่องยาก

    อันที่จริง เราได้เผยแพร่คู่มือฉบับเต็มเกี่ยวกับวิธีการรับใบรับรอง SSL ของคุณเองสำหรับเว็บไซต์ของคุณ และวิธีการติดตั้ง

    ขั้นตอนง่าย ๆ มีดังนี้:

    1. กำหนดที่อยู่ IP เฉพาะที่โฮสต์เว็บของคุณให้ไว้กับเว็บไซต์ของคุณ
    2. ติดตั้งใบรับรอง SSL ที่เว็บไซต์ของคุณให้มา หรือที่คุณซื้อจากบริการใบรับรอง SSL
    3. บังคับให้เบราว์เซอร์ทั้งหมดใช้ SSL เมื่อเข้าชมไซต์ของคุณโดยแก้ไขไฟล์ .htaccess ด้วยคำสั่ง "เขียนใหม่" ที่เปลี่ยนการเชื่อมต่อทั้งหมดเพื่อใช้ HTTPS
    4. ตรวจสอบให้แน่ใจว่าได้ให้ใบรับรอง SSL ส่วนตัวของคุณกับบริการ CDN ที่คุณได้ติดตั้งบนไซต์ของคุณ

    กระบวนการนี้เริ่มง่ายยิ่งขึ้นเมื่อเร็ว ๆ นี้เนื่องจากบริการเว็บโฮสติ้งจำนวนมากให้เจ้าของเว็บไซต์ด้วยโซลูชันคลิกเดียวเพื่อติดตั้งใบรับรอง SSL สำหรับเว็บไซต์ของตน