HTTPS คืออะไร

Hypertext Transfer Protocol Secure (HTTPS) เป็นรุ่นที่ปลอดภัยของโปรโตคอล HTTP ที่ใช้ SSL /TLS โปรโตคอล สำหรับการเข้ารหัสและการพิสูจน์ตัวตน HTTPS ถูกระบุโดย RFC 2818 (พฤษภาคม 2000) และใช้พอร์ต 443 เป็นค่าเริ่มต้นแทนพอร์ต 80 ของ HTTP

โปรโตคอล HTTPS ช่วยให้ผู้ใช้เว็บไซต์สามารถส่งข้อมูลที่ละเอียดอ่อนเช่นหมายเลขบัตรเครดิตข้อมูลธนาคารและข้อมูลรับรองการเข้าสู่ระบบได้อย่างปลอดภัยผ่านอินเทอร์เน็ต ด้วยเหตุนี้ HTTPS จึงมีความสำคัญอย่างยิ่งสำหรับการรักษาความปลอดภัยของกิจกรรมออนไลน์เช่นการช็อปปิ้งการธนาคารและการทำงานระยะไกล อย่างไรก็ตาม HTTPS กลายเป็นโปรโตคอลมาตรฐานอย่างรวดเร็วสำหรับ ทั้งหมด เว็บไซต์ไม่ว่าจะแลกเปลี่ยนข้อมูลที่ละเอียดอ่อนกับผู้ใช้หรือไม่ก็ตาม

HTTPS เพิ่ม การเข้ารหัสลับ, การรับรองและ ความสมบูรณ์ ไปยังโปรโตคอล HTTP:

การเข้ารหัสลับ: เนื่องจากเดิมที HTTP ได้รับการออกแบบให้เป็นโปรโตคอลข้อความที่ชัดเจนจึงมีความเสี่ยงที่จะถูกดักข้อมูลและ ผู้ชายในการโจมตีกลาง. โดยรวม SSL /TLS การเข้ารหัส HTTPS จะป้องกันไม่ให้ข้อมูลที่ส่งผ่านอินเทอร์เน็ตถูกดักจับและอ่านโดยบุคคลที่สาม ผ่าน การเข้ารหัสคีย์สาธารณะ และ SSL /TLS การจับมือกันเซสชันการสื่อสารที่เข้ารหัสสามารถตั้งค่าได้อย่างปลอดภัยระหว่างสองฝ่ายที่ไม่เคยพบกันด้วยตนเอง (เช่นเว็บเซิร์ฟเวอร์และเบราว์เซอร์) ผ่านการสร้างคีย์ลับที่ใช้ร่วมกัน

รับรองความถูกต้อง: ซึ่งแตกต่างจาก HTTP, HTTPS มีการตรวจสอบสิทธิ์ที่มีประสิทธิภาพผ่าน SSL /TLS มาตรการ. SSL ของเว็บไซต์ /TLS ใบรับรอง รวมถึง a คีย์สาธารณะ ที่เว็บเบราว์เซอร์สามารถใช้เพื่อยืนยันว่าเอกสารที่ส่งโดยเซิร์ฟเวอร์ (เช่นหน้า HTML) ได้รับการลงนามแบบดิจิทัลโดยบุคคลที่ครอบครองเอกสารนั้น กุญแจส่วนตัว. หากใบรับรองของเซิร์ฟเวอร์ได้รับการลงนามโดยบุคคลทั่วไปที่เชื่อถือได้ ผู้ออกใบรับรอง (CA)เช่น SSL.com เบราว์เซอร์จะยอมรับว่าข้อมูลระบุตัวตนใด ๆ ที่รวมอยู่ในใบรับรองได้รับการตรวจสอบความถูกต้องโดยบุคคลที่สามที่เชื่อถือได้

นอกจากนี้ยังสามารถกำหนดค่าเว็บไซต์ HTTPS สำหรับ รับรองความถูกต้องซึ่งกันและกันซึ่งเว็บเบราว์เซอร์แสดงใบรับรองไคลเอ็นต์ที่ระบุตัวผู้ใช้ การพิสูจน์ตัวตนร่วมกันมีประโยชน์สำหรับสถานการณ์เช่นการทำงานระยะไกลซึ่งเป็นที่พึงปรารถนาที่จะรวมการรับรองความถูกต้องแบบหลายปัจจัยช่วยลดความเสี่ยง ฟิชชิ่ง หรือการโจมตีอื่น ๆ ที่เกี่ยวข้องกับการขโมยข้อมูลประจำตัว สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าใบรับรองไคลเอ็นต์ในเว็บเบราว์เซอร์โปรดอ่าน วิธีการนี้.

ความสมบูรณ์: เอกสารแต่ละฉบับ (เช่นหน้าเว็บรูปภาพหรือไฟล์ JavaScript) ที่ส่งไปยังเบราว์เซอร์โดยเว็บเซิร์ฟเวอร์ HTTPS จะมีลายเซ็นดิจิทัลที่เว็บเบราว์เซอร์สามารถใช้เพื่อตรวจสอบว่าเอกสารนั้นไม่ได้รับ แก้ไขโดยบุคคลที่สาม หรือเสียหายขณะขนส่ง เซิร์ฟเวอร์คำนวณ a แฮชการเข้ารหัส เนื้อหาของเอกสารรวมอยู่ในใบรับรองดิจิทัลซึ่งเบราว์เซอร์สามารถคำนวณได้อย่างอิสระเพื่อพิสูจน์ว่าความสมบูรณ์ของเอกสารยังคงอยู่

เมื่อรวมกันแล้วการรับประกันการเข้ารหัสการรับรองความถูกต้องและความสมบูรณ์เหล่านี้ทำให้ HTTPS เป็น มาก โปรโตคอลที่ปลอดภัยสำหรับการเรียกดูและดำเนินธุรกิจบนเว็บมากกว่า HTTP

CA ใช้พื้นฐานสามประการ วิธีการตรวจสอบ เมื่อออกใบรับรองดิจิทัล วิธีการตรวจสอบที่ใช้กำหนดข้อมูลที่จะรวมอยู่ใน SSL ของเว็บไซต์ /TLS ใบรับรอง:

• การตรวจสอบความถูกต้องของโดเมน (DV) เพียงแค่ยืนยันว่าชื่อโดเมนที่ครอบคลุมโดยใบรับรองอยู่ภายใต้การควบคุมของหน่วยงานที่ขอใบรับรอง
• องค์กร / การตรวจสอบความถูกต้องส่วนบุคคล (OV / IV) ใบรับรองประกอบด้วยชื่อที่ถูกต้องของธุรกิจหรือองค์กรอื่น (OV) หรือบุคคล (IV)
• ขยายการตรวจสอบ (EV) ใบรับรองแสดงถึงมาตรฐานสูงสุดในความน่าเชื่อถือทางอินเทอร์เน็ตและ CA ต้องใช้ความพยายามมากที่สุดในการตรวจสอบ ใบรับรอง EV จะออกให้เฉพาะธุรกิจและองค์กรที่ลงทะเบียนอื่น ๆ เท่านั้นไม่ใช่สำหรับบุคคลและรวมถึงชื่อที่ตรวจสอบแล้วขององค์กรนั้น ๆ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการดูเนื้อหาของใบรับรองดิจิทัลของเว็บไซต์โปรดอ่านบทความของเรา ฉันจะตรวจสอบได้อย่างไรว่าเว็บไซต์นั้นดำเนินการโดยธุรกิจที่ถูกกฎหมายหรือไม่

มีเหตุผลที่ดีหลายประการในการใช้ HTTPS บนเว็บไซต์ของคุณและเพื่อยืนยัน HTTPS เมื่อท่องเว็บซื้อของและทำงานบนเว็บในฐานะผู้ใช้:

ความสมบูรณ์และการรับรองความถูกต้อง: ด้วยการเข้ารหัสและการพิสูจน์ตัวตน HTTPS จะปกป้องความสมบูรณ์ของการสื่อสารระหว่างเว็บไซต์และเบราว์เซอร์ของผู้ใช้ ผู้ใช้ของคุณจะทราบว่าข้อมูลที่ส่งจากเว็บเซิร์ฟเวอร์ของคุณไม่ได้ถูกดักจับและ / หรือเปลี่ยนแปลงโดยบุคคลที่สามในระหว่างการส่ง และหากคุณได้ลงทุนเพิ่มเติมในใบรับรอง EV หรือ OV พวกเขาจะสามารถบอกข้อมูลดังกล่าวได้ มาจากธุรกิจหรือองค์กรของคุณจริงๆ.

ข้อมูลส่วนบุคคล: แน่นอนว่าไม่มีใครต้องการให้ผู้บุกรุกล้วงข้อมูลหมายเลขบัตรเครดิตและรหัสผ่านขณะที่พวกเขาซื้อสินค้าหรือธนาคารทางออนไลน์และ HTTPS นั้นยอดเยี่ยมในการป้องกันสิ่งนั้น แต่คุณจะ จริงๆ ต้องการให้ทุกสิ่งทุกอย่างที่คุณเห็นและทำบนเว็บเป็นหนังสือที่เปิดกว้างสำหรับทุกคนที่รู้สึกเหมือนกำลังสอดแนม (รวมถึงรัฐบาลนายจ้างหรือใครบางคนที่สร้างโปรไฟล์เพื่อ ยกเลิกการเปิดเผยตัวตน กิจกรรมออนไลน์ของคุณ)? HTTPS ก็มีบทบาทสำคัญเช่นกัน

ประสบการณ์ผู้ใช้: การเปลี่ยนแปลงล่าสุดของ UI ของเบราว์เซอร์ส่งผลให้ไซต์ HTTP ถูกตั้งค่าสถานะเป็น ไม่ปลอดภัย. คุณต้องการให้เบราว์เซอร์ของลูกค้าแจ้งว่าเว็บไซต์ของคุณ“ ไม่ปลอดภัย” หรือแสดงการล็อกขีดฆ่าเมื่อเข้าชมหรือไม่ ไม่แน่นอน!

เข้ากันได้: การเปลี่ยนแปลงเบราว์เซอร์ในปัจจุบันทำให้ HTTP เข้าใกล้ความไม่ลงรอยกันมากขึ้นเรื่อย ๆ Mozilla Firefox เพิ่งประกาศตัวเลือก โหมด HTTPS เท่านั้นในขณะที่ Google Chrome กำลังก้าวไปสู่ บล็อกเนื้อหาผสม (ทรัพยากร HTTP ที่เชื่อมโยงกับเพจ HTTPS) เมื่อดูร่วมกับคำเตือนของเบราว์เซอร์เกี่ยวกับ "ความไม่ปลอดภัย" สำหรับเว็บไซต์ HTTP จะเห็นได้ง่ายว่ามีการเขียนบนผนังสำหรับ HTTP ในปี 2020 เบราว์เซอร์และโทรศัพท์มือถือหลัก ๆ ในปัจจุบันทั้งหมดรองรับ HTTPS ดังนั้นคุณจะไม่สูญเสียผู้ใช้ด้วยการเปลี่ยนจาก HTTP

SEO: เครื่องมือค้นหา (รวมถึง Google) ใช้ HTTPS เป็นไฟล์ สัญญาณอันดับ เมื่อสร้างผลการค้นหา ดังนั้นเจ้าของเว็บไซต์สามารถเพิ่ม SEO ได้ง่ายๆเพียงแค่กำหนดค่าเว็บเซิร์ฟเวอร์ให้ใช้ HTTPS แทนที่จะเป็น HTTP

กล่าวโดยสรุปไม่มีเหตุผลที่ดีอีกต่อไปที่เว็บไซต์สาธารณะจะสนับสนุน HTTP ต่อไป แม้กระทั่ง รัฐบาลสหรัฐอเมริกา ขึ้นเครื่องแล้ว!

HTTPS เพิ่ม การเข้ารหัสลับ ไปยังโปรโตคอล HTTP โดยการรวม HTTP ไว้ในไฟล์ SSL /TLS โปรโตคอล (ซึ่งเป็นเหตุผลที่ SSL เรียกว่าโปรโตคอลทันเนล) เพื่อให้ข้อความทั้งหมดถูกเข้ารหัสในทั้งสองทิศทางระหว่างคอมพิวเตอร์เครือข่ายสองเครื่อง (เช่นไคลเอนต์และเว็บเซิร์ฟเวอร์) แม้ว่าผู้ดักฟังจะยังคงสามารถเข้าถึงที่อยู่ IP หมายเลขพอร์ตชื่อโดเมนจำนวนข้อมูลที่แลกเปลี่ยนและระยะเวลาของเซสชันข้อมูลจริงทั้งหมดที่แลกเปลี่ยนได้รับการเข้ารหัสอย่างปลอดภัยโดย SSL /TLSได้แก่ :

• ขอ URL (ลูกค้าร้องขอหน้าเว็บใด)
• เนื้อหาเว็บไซต์
• พารามิเตอร์การสืบค้น
• ส่วนหัว
• คุกกี้

HTTPS ยังใช้ SSL /TLS โปรโตคอลสำหรับ การรับรอง. SSL /TLS ใช้เอกสารดิจิทัลที่เรียกว่า ใบรับรอง X.509 เพื่อผูกเข้ารหัสลับ คู่กุญแจ ต่อตัวตนของนิติบุคคลเช่นเว็บไซต์บุคคลและ บริษัท คู่กุญแจแต่ละคู่รวมถึง กุญแจส่วนตัวซึ่งได้รับการรักษาความปลอดภัยและ คีย์สาธารณะซึ่งสามารถกระจายอย่างกว้างขวาง ทุกคนที่มีรหัสสาธารณะสามารถใช้เพื่อ:

•ส่งข้อความที่มีเพียงผู้ครอบครองคีย์ส่วนตัวเท่านั้นที่สามารถถอดรหัสได้
•ยืนยันว่าข้อความได้รับการเซ็นชื่อแบบดิจิทัลด้วยคีย์ส่วนตัวที่เกี่ยวข้อง

หากใบรับรองที่นำเสนอโดยเว็บไซต์ HTTPS ได้รับการลงนามโดยเชื่อถือได้สาธารณะ ผู้ออกใบรับรอง (CA)เช่น SSL.comผู้ใช้สามารถมั่นใจได้ว่าตัวตนของเว็บไซต์ได้รับการตรวจสอบโดยบุคคลที่สามที่เชื่อถือได้และตรวจสอบอย่างเข้มงวด

ในปี 2020 เว็บไซต์ที่ไม่ใช้ HTTPS หรือให้บริการ เนื้อหาผสม (การให้บริการทรัพยากรเช่นรูปภาพผ่าน HTTP จากหน้า HTTPS) อยู่ภายใต้คำเตือนและข้อผิดพลาดด้านความปลอดภัยของเบราว์เซอร์ นอกจากนี้เว็บไซต์เหล่านี้ยังลดทอนความเป็นส่วนตัวและความปลอดภัยของผู้ใช้โดยไม่จำเป็นและไม่เป็นที่ต้องการของอัลกอริทึมของเครื่องมือค้นหา ดังนั้น HTTP และเว็บไซต์เนื้อหาผสมสามารถคาดหวังได้ คำเตือนและข้อผิดพลาดของเบราว์เซอร์เพิ่มเติม, ความไว้วางใจของผู้ใช้ลดลง และ SEO ที่แย่กว่า กว่าที่พวกเขาเปิดใช้ HTTPS

HTTPS URL ขึ้นต้นด้วย https:// แทน http://. เว็บเบราว์เซอร์สมัยใหม่ยังระบุว่าผู้ใช้กำลังเยี่ยมชมเว็บไซต์ HTTPS ที่ปลอดภัยด้วยการแสดงสัญลักษณ์รูปกุญแจปิดทางด้านซ้ายของ URL:

ในเบราว์เซอร์สมัยใหม่เช่น Chrome, Firefox และ Safari ผู้ใช้สามารถทำได้ คลิกล็อค เพื่อดูว่ามีใบรับรองดิจิทัลของเว็บไซต์ HTTPS หรือไม่ การระบุข้อมูล เกี่ยวกับเจ้าของ

ในการปกป้องเว็บไซต์ที่เปิดเผยต่อสาธารณะด้วย HTTPS จำเป็นต้องติดตั้งไฟล์ SSL /TLS ใบรับรอง ลงนามโดยบุคคลทั่วไปที่เชื่อถือได้ ผู้ออกใบรับรอง (CA) บนเว็บเซิร์ฟเวอร์ของคุณ SSL.com ของ ฐานความรู้ มีคำแนะนำที่เป็นประโยชน์มากมายและวิธีการในการกำหนดค่าแพลตฟอร์มเว็บเซิร์ฟเวอร์ที่หลากหลายเพื่อรองรับ HTTPS

สำหรับคำแนะนำทั่วไปเพิ่มเติมเกี่ยวกับการกำหนดค่าเซิร์ฟเวอร์ HTTP และการแก้ไขปัญหาโปรดอ่าน SSL /TLS แนวทางปฏิบัติที่ดีที่สุดสำหรับปี 2020 และ การแก้ไขปัญหา SSL /TLS ข้อผิดพลาดและคำเตือนของเบราว์เซอร์.