HTTPS สิ่งที่ Web developer ต้องรู้

HTTPS (Hypertext Transfer Protocol Secure)

HTTPS คือ HTTP ที่ใช้ SSL (secure socket layer) และ TLS (transport layer security) เพื่อเข้ารหัสข้อมูล เปลี่ยนรูปแบบการรับ-ส่งข้อมูลเป็นแบบการเข้ารหัส เพื่อเพิ่มความปลอดภัยในการส่งข้อมูลให้มากขึ้น

ยกตัวอย่างการส่งข้อมูล HTTP VS HTTPS

การเข้ารหัสข้อมูล และการตรวจสอบ certificate

วิธีการดูว่า web ไหนที่มี certificate แล้ว

What is SSL ? แล้วเจ้า ssl มันคืออะไรนะ

SSL Certificates (Secure Socket Layer Protocol) คือ เครื่องหมายรับรองความปลอดภัยทางอิเล็กทรอนิกส์ ที่ออกโดย CA (Certificates Authority) เป็นการรับรองมาตรฐานและยืนยันว่าเว็บไซต์มีความปลอดภัยและมีการเข้ารหัสข้อมูล แบ่งออกเป็น 3 แบบหลักๆ ได้แก่

1. Domain Validation SSL Certificate (DV)

2. Organization Validation SSL Certificate (OV)

3. Extended Validation SSL Certificate (EV)เป็น ssl ปลอดภัยสูงสุด

Domain Validation SSL Certificate (DV)

เหมาะสำหรับเว็บไซต์ต่างๆ , เว็บส่วนบุคคล จะมีการตรวจสอบว่าใครเป็นเจ้าของโดเมน (ชื่อเว็บไซต์) Domain Validation และมีการอนุมัติใบรับรองภายใน 24 ชม

ภาพแสดงเครื่องหมาย Secure

Organization Validation SSL Certificate (OV)

เหมาะสำหรับองค์กร บริษัท หน่วยงาน ที่ต้องการความน่าเชื่อถือมีการประทับชื่อองค์กร ในใบรับรอง , เว็บไซต์ธุรกิจ ,องค์กรต่างๆ, เว็บไซต์บริษัท, ระบบร้านค้าออนไลน์ ฯลฯ

การตรวจสอบเบื้องต้น ก็จะมีการตรวจสอบเจ้าของโดเมน (Domain Validation) และข้อมูลองค์กร แต่ไม่ถึงขั้นตรวจสอบผ่านกรมธุรกิจการค้า เช็คเพียงว่ามีอยู่จริงหรือไม่ มีการอนุมัติใบรับรองภายใน 1–3 วัน

ภาพแสดง ตัวอย่าง certificate แบบ OV

Extended Validation SSL Certificate (EV)เป็น ssl

เหมาะสำหรับเว็บไซต์ที่ต้องการความน่าเชื่อถือสูง,เว็บองค์กรขนาดกลางและขนาดใหญ่ ฯลฯ ,สถาบันการเงิน, เว็บไซต์บริษัท การตรวจสอบเบื้องต้น คือ เป็นเจ้าของโดเมน (Domain Validation) มีข้อมูลองค์กรผ่านกรมธุรกิจการค้า (Organization Validation) และมีการตรวจสอบข้อมูลเชิงลึกของบริษัท เช่นระยะเวลาก่อตั้ง ประเภทธุรกิจ ความน่าเชื่อถือขององกรณ์ จะมีการอนุมัติใบรับรองภายใน 2–7 วัน

ภาพแสดงเครื่องหมาย secure

ภาพแสดง ตัวอย่าง certificate แบบ EV

ข้อดีของการใช้ HTTPS มันดียังไงนะ

1.เพิ่มความปลอดภัยให้ผู้ใช้งาน

2.สร้างความน่าเชื่อถือให้กับเว็บไซต์และธุรกิจ

3.คะแนนอันดับ SEO ดีขึ้น

4.ป้องกันการถูกโจมตีจากผู้ไม่ประสงค์ดี

มาถึงส่วนที่ชาว Developer รอคอย คือแล้วเจ้าตัว HTTPS นี้เราจะเอาไปใช้อย่างไรล่ะ ?

1. ผู้พัฒนา Java ส่วนมาก จะติดตั้งผ่าน container เช่น jboss ,websphere ,nodeJs ,docker และ เครื่องมือที่ใช้ในการ generate หรือ add cert ซึ่งส่วนมากจะใช้ openssl และ keytool (๋JDK/JRE)
2. Java spring boot เพิ่มในไฟล์ .properties ได้เลย
3. ผู้พัฒนา .Net ส่วนมากติดตั้งผ่าน IIS (.pfx)

ส่วนวิธีการ add cert หรือวิธีการ generate cert ผมจะขอไม่พูดถึงในตอนนี้ เพราะไม่งั้นยาวแน่ๆ (สามารถเข้าไปศึกษาเองได้แน่นอน)^^

สุดท้ายนี้ผมมีของแถมให้ด้วย แท่น แท้นนนน!! นั่นก็คือ cert ฟรี นั่นเองง

Let’s Encrypt (letsencrypt.org) กดไปตาม link ได้เลย

ซึ่งตัวนี้จะมีอายุประมาณ 60 วัน หรือ 3 เดือนนั่นเอง

หวังว่า บทความนี้จะมีประโยชน์แก่ผู้เข้ามาอ่านไม่มากก็น้อย นะครับผม….