SSL Certificate

SSL Certificate เว็บเราจำเป็นต้องมีไหมและมีไปทำไม

SSL Certificate วันนี้มาชวนคุย นอกเรื่องกันอีกแล้ว ที่เลือกเรื่องนี้มาคุย เพราะว่า มันเป็นเรื่องใกล้ตัวมากๆ สำหรับคนทำเว็บไซต์  แต่มีคนจำนวนมาก ที่ไม่ค่อยเข้าใจ ว่า SSL แต่ละแบบ แต่ละชนิด มันแตกต่างกันยังไง

SSL Certificate แต่ละรูปแบบแตกต่างกันอย่างไร ??

เว็บเราจำเป็นต้องมี SSL Certificate ไหม และมีไปทำไม แต่ละรูปแบบนั้น แตกต่างกันอย่างไร ??

ก่อนอื่นเลย ต้องออกตัวก่อนนะครับ ว่าไม่ได้เชี่ยวชาญอะไร แค่มาเล่าสู่กันฟัง เพราะปรกติ ต้องคอยดูแลเรื่องนี้ ในทุกๆงานเลย เรื่องของ HTTP แบบ Secure มันก็จะมีอยู่ 2 รูปแบบ ที่เราเห็นๆกัน แต่ก่อนคือ http ปรกติ แค่นี้ อันนี้คือเราทำได้เลยทันที

พอเราสร้างเว็บไซต์เสร็จ เราก็ไปเช่า Hosting แล้วเอาไฟล์ไปวาง บนโฮส ที่เราไปเช่าไว้ แล้วจดทะเบียน Domain มันก็จะได้ http://www.domain.com ตามที่เราจดไว้

แต่ตอนนี้ ภัยคุกคามแบบต่างๆ บนโลกออนไลน์เยอะขึ้น เราก็จะมีการ เปลี่ยนแปลงไปใช้ https กันแทน มีการเติม S เข้ามา ซึ่งจริงๆมันคือการ เข้ารหัสข้อมูล โดยเทคโนโลยี SSL (Secure Sockets Layer) หรือ Transport Layer Security (TLS) ซึ่งมักจะเห็นเขียนประมาณนี้ SSL/TLS ปัจจุบันอยู่ที่ Version SSL3.0 และ TLS1.2

จริงๆมองให้ง่าย SSL จะเป็น ใบรับรองอิเล็กทรอนิกส์ รูปแบบหนึ่ง เป็นไฟล์ข้อมูลขนาดเล็ก ที่ได้มีการผูกไว้กับ Private Key ของเครื่องเซิร์ฟเวอร์ เพื่อยืนยันตัวตน และความถูกต้อง ในการส่งข้อมูลระหว่าง Server กับ Application ที่ใช้งาน

ทีนี้ แล้วมันปลอดภัยอย่างไร ก็ในเมื่อมันแค่เป็น การเข้ารหัสเอาไว้เท่านั้น แต่ข้อมูลที่ถูกส่งออกไป ก็ยังสามารถถูกดักจับไปได้ แต่คนที่ได้ข้อมูลไป จะยังไม่สามารถถอดรหัสได้ครับ ต้องมี Key ที่ตรงกัน ถึงจะถอดรหัสได้เท่านั้น

ตัวอย่าง ง่ายๆ ให้พอเห็นภาพ
ส่งข้อมูลแบบธรรมดา Http
Username : [email protected]
Password : 123456789

กับแบบ Https
Username : asklid$45vvksod349#*uerw-9
Password : 25f9e794323b453885f5181f1b624d0b

ดูปลอดภัย ขึ้นแล้วใช่ไหมครับ แล้ว SSL มันมีอยู่ทั้งหมด กี่ประเภท มีอยู่ 3 ครับคือ Self-sign SSL certificate จะเป็นแบบที่ เครื่องคอมพิวเตอร์เครื่องใดก็ได้ สามารถสร้างขึ้นได้ แต่อันนี้จะไม่ผ่าน CA (Certificate Authority) ที่เป็นผู้รับรอง และสถานะนี้ browser ก็ยังเป็นกุญแจสีแดงเตือนอีก

มีอีก 2 แบบคือ Shared SSL certificate นิยมใช้กับ Shared Host ทั่วไป แต่ไม่สามารถเรียกผ่าน domain ของตัวเองได้ เลยไม่เหมาะกับเว็บที่มีความเป็นองค์กร

สุดท้าย Dedicated SSL certificate อันนี้เหมาะสุด เพราะระบุเจาะจงเฉพาะ Domain ที่ต้องการสั่งซื้อลงไปเลย ว่าจะให้ใช้กับบริษัทไหน องค์กรไหน แถมที่ Browser ก็จะเป็นสีเขียวผ่านดูมั่นใจ น่าใช้อีกต่างหาก

แต่ก็ยังต้องรู้อีกนิดนะครับว่า ไอ้เจ้า SSL แบบที่ระบุ Domain ลงไปเลยเนี่ย มันยังแบ่งออกมาได้อีก 3 แบบอีกตะหาก เวลาเราไปติดต่อขอซื้อ เจ้าหน้าที่เค้าจะคุยกับเราก่อนเลยว่าต้องการแบบไหน

แบบแรกคือ DV หรือ Domain Validation SSL อันนี้จะเหมาะกับเว็บไซต์ขนาดเล็กๆ เพราะซื้อง่าย ขายคล่อง ไม่วุ่นวายใช่ชื่อ อีเมล์แค่นั้นไม่ต้องมีเอกสารองค์กรมาตรวจสอบ เลยเป็นที่นิยม แต่เวลาใช้งานจะแยกกันตามนี้ว่า ถ้าเรามี Web แบบนี้

https://www.domain.com หรือ https://domain.com หรือ https://secure.domain.com แบบนี้คือ ต้องใช้งาน 3 SSL ต้องซื้อแยก เพราะว่ามันแยกกันชัดเจน

แบบที่สองก็จะเป็น Organization Validation อันนี้ต้องใช้ตัวตนขององค์กรมาขอใบรับรองแล้ว แต่ว่าจะใช้ได้ครอบครุมหมดทุกรูปแบบ Domain ข้างต้น ใช้เวลาในการตรวจสอบเลยจดนานกว่า

แบบสุดท้าย Extended Validation SSL อันนี้เชื่อว่า น่าจะเป็นใบรับรองที่น่าวางใจระดับสูงสุด เพราะผ่านการตรวจสอบองค์กรอย่างเข้มงวด และต้องใช้นักกฏหมายและผู้ตรวจสอบบัญชีลงนามรับรอง ใช้เวลาตรวจสอบนานสุด แต่เห็นรายละเอียดบน Browser ชัดเจน

แถมยังมีที่เป็น Wildcard SSL อีกคือมันจะปกป้องโดเมนหลักและโดเมนย่อยของคุณในใบรับรองเดียวและมีให้เลือกเป็นทั้ง DV และ OV

กับแบบ UC/SAN SSL ที่ปกป้องหลายโดเมนในใบรับรองเดียว
แต่มีให้ทั้ง DV OV และ EV โห…น่าปวดหัวจริงๆ

แล้วเว็บไซต์หรือ Application เราละ จะเลือกแบบไหน อันดับแรก เราต้องดูว่าระบบเรามีความจำเป็น ขนาดไหน มีการเข้าใช้งานข้อมูลของลูกค้าสำคัญขนาดไหน แถมตัวคุณเอง ให้ความสำคัญกับข้อมูลลูกค้าขนาดไหนด้วย

มีหลายๆครั้ง ทำงานให้ลูกค้า เค้าระบุออกมาเลยว่า ต้องมี Super Admin ทำงานได้ทุกอย่าง เห็นหมดทุกอย่าง แม้กระทั่ง password ลูกค้า อันนี้แค่นี้ก็ไม่ต้องคุยต่อเลย

แล้วถ้าเรามีการเก็บข้อมูลไม่เยอะ หรือเป็นรูปแบบเว็บเล็กๆ แต่เราอยากจะใช้ https แต่ยังไม่พร้อมลงทุน เราอาจจะเลือกใช้บริการ SSL จากทางของ Lets encrypt ซึ่งให้บริการฟรีอยู่ก็ใช้ได้

แต่อย่างเว็บส่วนตัวผม ก็เลือกใช้ cloudflare เป็นตัวช่วยเสริมความปลอดภัยอยู่ซึ่งก็มีให้บริการ SSL ฟรีเหมือนกัน ใช้กับ wordpress ได้ดีเลยครับ

ทุกวันเสาร์ จริงๆตั้งใจชวนคุยสั้นๆ เพราะตัวเองก็มีความรู้ด้านนี้ไม่เยอะ เอามาแชร์ๆกัน ทำไมกลายมายาวขนาดนี้ได้ก็ไม่รู้ ต้องขอบคุณรูปภาพจากน้องป่านที่นั่งทำให้ กับข้อมูลจากพี่ๆที่ขาย SSL ให้คำแนะนำมาด้วยนะครับ

ขอบคุณที่ติดตามกันมาตลอดครับ