SSL Certificate คืออะไร สำคัญไหม ทำงานอย่างไร แล้วเว็บเราจำเป็นต้องมี Certificate ไหมและมีไปทำไม แต่ละรูปแบบแตกต่างกันอย่างไร ??
มาชวนคุย นอกเรื่องกันอีกแล้ว ที่เลือกเรื่องนี้มาคุย เพราะว่ามันเป็นเรื่องใกล้ตัว มากๆ สำหรับคนทำเว็บไซต์ แต่มีคนจำนวนมาก ที่ไม่ค่อยเข้าใจ ว่ามันแตกต่างกันยังไง
ก่อนอื่นเลย ต้องออกตัวก่อนนะว่าไม่ได้เชี่ยวชาญอะไร แค่มาเล่าสู่กันฟัง เพราะต้องดูแลเรื่องนี้ทุกงานเลย เรื่องของ HTTP แบบ Secure มันก็จะมีอยู่ 2 รูปแบบ ที่เราเห็นๆกัน แต่ก่อนคือ HTTP ปรกติ แค่นี้ อันนี้คือเราทำได้เลยทันที
พอเราสร้างเว็บไซต์เสร็จ เราก็ไปเช่า Hosting แล้วเอาไฟล์วาง แล้วจด Domain มันก็จะได้ http://www.domain.com ตามที่เราจดไว้
แต่ตอนนี้ ภัยคุกคาม บนโลกออนไลน์เยอะขึ้น เราก็จะมีการเปลี่ยนแปลงไปใช้ HTTPS กันแทน มีการเติม S เข้ามา ซึ่งจริงๆมันคือการ เข้ารหัสข้อมูล โดยเทคโนโลยี SSL (Secure Sockets Layer) หรือ Transport Layer Security (TLS) ซึ่งมักจะเห็นเขียนประมาณนี้ SSL/TLS ปัจจุบันอยู่ที่ Version SSL3.0 และ TLS1.2
จริงๆมองให้ง่าย SSL จะเป็น ใบรับรองอิเล็กทรอนิกส์ รูปแบบหนึ่ง เป็นไฟล์ข้อมูลขนาดเล็ก ที่ได้มีการผูกไว้กับ Private Key ของเครื่องเซิร์ฟเวอร์ เพื่อยืนยันตัวตนและความถูกต้องในการส่งข้อมูลระหว่าง Server กับ Application ที่ใช้งาน
ทีนี้ แล้วมันปลอดภัยอย่างไร ก็ในเมื่อมันแค่ เป็นการเข้ารหัส เอาไว้เท่านั้น แต่ข้อมูลที่ถูกส่งออกไป ก็ยังสามารถถูกดักจับไปได้ แต่คนที่ได้ข้อมูลไป จะยังไม่สามารถถอดรหัสได้ครับ ต้องมี Key ที่ตรงกันถึงจะถอดรหัสได้เท่านั้น
ตัวอย่าง ง่ายๆให้พอเห็นภาพ
ส่งข้อมูลแบบธรรมดา HTTP
Username : [email protected]
Password : 123456789
กับแบบ HTTPS
Username : asklid$45vvksod349#*uerw-9
Password : 25f9e794323b453885f5181f1b624d0b
ดูปลอดภัย ขึ้นแล้วใช่ไหมครับ แล้ว SSL มันมีอยู่ทั้งหมด กี่ประเภท มีอยู่ 3 ครับคือ Self-sign certificate จะเป็นแบบที่ เครื่องคอมพิวเตอร์ เครื่องใดก็ได้ สามารถสร้างขึ้นได้ แต่อันนี้จะไม่ผ่าน CA (Certificate Authority) ที่เป็นผู้รับรอง และสถานะนี้ browser ก็ยังเป็นกุญแจสีแดงเตือนอีก
มีอีก 2 แบบคือ
Shared certificate นิยมใช้กับ Shared Host ทั่วไป แต่ไม่สามารถเรียกผ่าน domain ของตัวเองได้ เลยไม่เหมาะกับเว็บที่มีความเป็นองค์กร
สุดท้าย Dedicated certificate อันนี้เหมาะสุด เพราะระบุเจาะจงเฉพาะ Domain ที่ต้องการสั่งซื้อลงไปเลย ว่าจะให้ใช้กับบริษัทไหน องค์กรไหน แถมที่ Browser ก็จะเป็นสีเขียวผ่านดูมั่นใจ น่าใช้อีกต่างหาก
แต่ก็ยังต้องรู้อีกนิดนะครับว่า ไอ้เจ้า SSL แบบที่ระบุ Domain ลงไปเลยเนี่ย มันยังแบ่งออกมาได้อีก 3 แบบอีกตะหาก เวลาเราไปติดต่อขอซื้อ เจ้าหน้าที่เค้าจะคุยกับเราก่อนเลยว่าต้องการแบบไหน
แบบแรกคือ DV หรือ Domain Validation SSL อันนี้จะเหมาะกับเว็บไซต์ขนาดเล็กๆ เพราะซื้อง่าย ขายคล่อง ไม่วุ่นวายใช่ชื่อ อีเมล์แค่นั้นไม่ต้องมีเอกสารองค์กรมาตรวจสอบ เลยเป็นที่นิยม แต่เวลาใช้งานจะแยกกันตามนี้ว่า ถ้าเรามี Web แบบนี้
https://www.domain.com หรือ https://domain.com หรือ https://secure.domain.com แบบนี้คือ ต้องใช้งาน 3 SSL ต้องซื้อแยก เพราะว่ามันแยกกันชัดเจน
แบบที่สองก็จะเป็น Organization Validation อันนี้ต้องใช้ตัวตน ขององค์กร มาขอใบรับรองแล้ว แต่ว่าจะใช้ได้ครอบครุม หมดทุกรูปแบบ Domain ข้างต้น ใช้เวลาในการตรวจสอบ เลยจดนานกว่า
แบบสุดท้าย Extended Validation อันนี้เชื่อว่า น่าจะเป็นใบรับรอง ที่น่าวางใจระดับสูงสุด เพราะผ่านการตรวจสอบองค์กรอย่างเข้มงวด และต้องใช้นักกฏหมาย และผู้ตรวจสอบบัญชีลงนามรับรอง ใช้เวลาตรวจสอบนานสุด แต่เห็นรายละเอียดบน Browser ชัดเจน
แถมยังมีที่เป็น Wildcard SSL อีกคือมันจะปกป้อง โดเมนหลัก และโดเมนย่อย ของคุณในใบรับรองเดียว และมีให้เลือกเป็นทั้ง DV และ OV
กับแบบ UC/SAN SSL ที่ปกป้องหลายโดเมน ในใบรับรองเดียว แต่มีให้ทั้ง DV OV และ EV โห…น่าปวดหัวจริงๆ
แล้วเว็บไซต์หรือ Application เราละ จะเลือกแบบไหน อันดับแรก เราต้องดูว่า ระบบเรามีความจำเป็น ขนาดไหน มีการเข้าใช้งานข้อมูล ของลูกค้าสำคัญขนาดไหน แถมตัวคุณเอง ให้ความสำคัญกับข้อมูลลูกค้า ขนาดไหนด้วย
มีหลายๆครั้ง ทำงานให้ลูกค้า เค้าระบุออกมาเลยว่า ต้องมี Super Admin ทำงานได้ทุกอย่าง เห็นหมดทุกอย่าง แม้กระทั่ง password ลูกค้า อันนี้แค่นี้ ก็ไม่ต้องคุยต่อเลย
แล้วถ้าเรา มีการเก็บข้อมูลไม่เยอะ หรือเป็นรูปแบบเว็บเล็กๆ แต่เราอยากจะใช้ HTTPS แต่ยังไม่พร้อมลงทุน เราอาจจะเลือกใช้บริการ SSL จากทางของ Lets encrypt ซึ่งให้บริการฟรีอยู่ก็ใช้ได้
แต่อย่างเว็บส่วนตัวผม ก็เลือกใช้ cloud flare เป็นตัวช่วยเสริมความปลอดภัยอยู่ซึ่งก็มีให้บริการ SSL ฟรีเหมือนกัน ใช้กับ WordPress ได้ดีเลยครับ
จริงๆตั้งใจชวนคุยสั้นๆ เพราะตัวเองก็มีความรู้ด้านนี้ไม่เยอะ เอามาแชร์ๆกัน ทำไมกลายมายาวขนาดนี้ได้ก็ไม่รู้ ต้องขอบคุณรูปภาพจากน้องป่าน ที่นั่งทำให้ กับข้อมูลจากพี่ๆ ที่ขาย SSL ให้คำแนะนำมาด้วยนะครับ
สามารถติดต่อ สอบถามข้อมูล เพิ่มเติมได้ จากผู้ให้บริการอย่าง
Netway
คุณอาจสนใจเรื่องนี้
Link: Serverless คืออะไรกัน
