HTTP และ HTTPS
HTTPS เป็นเบราว์เซอร์โปรโตคอลเครือข่ายที่ใช้เพื่อสื่อสารกับเว็บเซิร์ฟเวอร์อย่างปลอดภัย HTTPS เป็นทางเลือกที่ปลอดภัยสำหรับโปรโตคอลรุ่นเก่าที่เรียกว่า Hyper Text Transfer Protocol หรือ HTTP HTTPS สามารถปกป้องผู้ใช้เนื่องจากต้องการการเข้ารหัสของข้อมูลที่แลกเปลี่ยนบนเว็บ (หรือ HTTP) ทั้งหมดผ่านทางโปรโตคอลการเข้ารหัสที่เรียกว่า TLS (HTTPS เป็น * HTTP * มากกว่า * อย่างแท้จริงTLS*)
การเข้ารหัสข้อมูลเว็บด้วยรหัสลับ (เช่น TLS ทำ) ปรับปรุงความปลอดภัยของผู้ใช้โดยป้องกันไม่ให้ผู้โจมตีอ่านหรือแก้ไขเนื้อหาต้นฉบับในระหว่างทาง การโจมตีเครือข่ายดังกล่าวเรียกว่า การโจมตีคนในกลาง (MITM). นักวิจัยได้แสดงให้เห็นว่าผู้โจมตี MITM สามารถอ่านหรือแก้ไขทราฟฟิก HTTP ได้โดยไม่ต้องให้ผู้ใช้ทราบ
การรักษาความปลอดภัยที่เพิ่มขึ้นทำให้ HTTPS เหมาะอย่างยิ่งสำหรับเว็บแอปพลิเคชันที่จัดการข้อมูลที่มีความละเอียดอ่อนและเซิร์ฟเวอร์ส่วนใหญ่ (เช่นเซิร์ฟเวอร์ธนาคารหรืออีเมล) ได้รับการอัพเกรดแล้ว น่าเสียดายที่เว็บเซิร์ฟเวอร์บางแห่งอาจไม่รองรับเนื่องจากข้อ จำกัด ด้านการดำเนินงานต่าง ๆ เช่นแบนด์วิดท์ที่เพิ่มขึ้นปัญหาเกี่ยวกับมรดกและอื่น ๆ เนื่องจากมีอันตรายที่อาจเกิดขึ้นผู้ใช้ที่เกี่ยวข้องต้องทราบว่าพวกเขากำลังเรียกดูผ่านการเชื่อมต่อที่ไม่ปลอดภัย
ป้อนสัญลักษณ์ความปลอดภัย
เบราว์เซอร์แจ้งผู้ใช้เกี่ยวกับสถานะความปลอดภัยของการเชื่อมต่อเว็บในรูปแบบของกราฟิกที่แสดงในแถบที่อยู่ (เช่นไอคอนล็อคหน้า URL ของบทความนี้) เหล่านี้ ตัวชี้วัดความปลอดภัย สามารถเป็นได้ทั้ง เชิงลบ และเตือนผู้ใช้ว่าพวกเขาตกอยู่ในอันตรายหรือ บวกเพื่อให้แน่ใจว่าการเชื่อมต่อของพวกเขาปลอดภัย
ตัวบ่งชี้ความปลอดภัยใช้เพื่อสื่อสารสองด้านของการเชื่อมต่อเว็บ ความปลอดภัยในการเชื่อมต่อ และ ความจริง ของเว็บเซิร์ฟเวอร์ระยะไกล
ความปลอดภัยในการเชื่อมต่อผ่านการเข้ารหัส
ตัวบ่งชี้แจ้งเกี่ยวกับความปลอดภัยของการเชื่อมต่อโดยแยกแยะระหว่าง ที่มีการเข้ารหัส, ที่ไม่ได้เข้ารหัส และ เนื้อหาผสม สัมพันธ์ ไซต์ที่เข้ารหัสและไม่ได้เข้ารหัสป้องกันเนื้อหาทั้งหมดหรือไม่มีเลย เนื้อหาแบบผสมหมายถึงส่วนประกอบบางส่วนของเว็บไซต์ที่เข้ารหัสอย่างอื่นกำลังถูกดึงผ่านช่องทางที่ไม่ได้เข้ารหัส
ส่วนประกอบที่สามารถแก้ไขเนื้อหาของหน้า (เช่นสคริปต์หรือเวกเตอร์) เรียกว่า เนื้อหาที่ใช้งาน. ส่วนประกอบที่มีการระบุตัวตนคงที่ (เช่นรูปภาพคงที่หรือแบบอักษร) จะถูกเรียก เนื้อหาแฝง.
แม้ว่าการเชื่อมต่อเว็บที่เข้ารหัสอย่างสมบูรณ์จะปลอดภัย แต่เพียงอย่างเดียวไม่ได้หมายความว่าเว็บไซต์จะปลอดภัยในการเรียกดู
การรับรองความถูกต้องของเซิร์ฟเวอร์และใบรับรองดิจิทัล
ผู้โจมตีสามารถ (และทำ) คัดลอกเนื้อหาของเว็บไซต์และเปลี่ยนเส้นทางการรับส่งข้อมูลเครือข่ายไปยังเซิร์ฟเวอร์ที่เป็นอันตรายของตัวเองแม้ผ่านการเชื่อมต่อที่เข้ารหัส เซิร์ฟเวอร์ของพวกเขาจะต้องนำเสนอที่แตกต่างกันที่รู้จักกันเท่านั้น TLS คีย์แทนความลับดั้งเดิม ไม่มีเหตุผลที่จะสงสัยความถูกต้องของการเชื่อมต่อจากนั้นผู้ใช้ที่ไม่สงสัยสามารถถูกชักชวนให้เข้าสู่ระบบหรือเปิดเผยข้อมูลที่ละเอียดอ่อนอื่น ๆ
ในการตอบสนองเบราว์เซอร์รับรองความถูกต้องของเซิร์ฟเวอร์โดยเชื่อมโยงข้อมูลประจำตัวของเจ้าของเว็บเซิร์ฟเวอร์ที่ถูกต้องตามกฎหมายด้วยคีย์การเข้ารหัสที่ไม่ซ้ำกันที่แต่ละเซิร์ฟเวอร์นำเสนอ ด้วยวิธีนี้เบราว์เซอร์มอบหมายการตรวจสอบข้อมูลรับรองนี้ให้กับบุคคลที่สามที่เรียกว่า ผู้ออกใบรับรอง (CA) เบราว์เซอร์หลักจะดูแลโปรแกรมรูทเพื่อจัดการความน่าเชื่อถือของ CA ซึ่งต้องปฏิบัติตามมาตรฐานที่เข้มงวดและข้อกำหนดการตรวจสอบเพื่อให้เบราว์เซอร์เชื่อถือได้
เจ้าของเว็บเซิร์ฟเวอร์ที่ขอใบรับรองจาก CA ที่เชื่อถือได้เช่น SSL.com ต้องแสดงคีย์สาธารณะที่ถูกต้องและพิสูจน์ว่าพวกเขาควบคุมชื่อโดเมนและเซิร์ฟเวอร์ที่ชี้ไป หากการตรวจสอบเหล่านี้สำเร็จ CA จะออกใบรับรองดิจิตัลให้กับเจ้าของซึ่งใช้ทั้งในการเข้ารหัสและตรวจสอบการเชื่อมต่อกับเว็บไซต์
ใบรับรองคือข้อมูลประจำตัวดิจิทัลที่มีข้อมูลเกี่ยวกับบุคคลหรือองค์กรที่เป็นเจ้าของเซิร์ฟเวอร์ CAs ลงนามในใบรับรองแต่ละใบด้วยลายเซ็นดิจิทัลซึ่งเป็นกลไกความสมบูรณ์ที่คล้ายคลึงกับซีลแว็กซ์ - ผู้โจมตีไม่สามารถทำซ้ำลายเซ็นได้และพวกเขาจะต้องยกเลิกการรับรองก่อนที่จะแก้ไขเนื้อหา HTTPS ต้องการเว็บเซิร์ฟเวอร์เพื่อต้อนรับการเชื่อมต่อเบราว์เซอร์ด้วยใบรับรองที่ถูกต้องของเซิร์ฟเวอร์นั้น จากนั้นเบราว์เซอร์จะตรวจสอบใบรับรอง - หากมีการลงนามโดย CA ที่เชื่อถือได้การเชื่อมต่ออาจดำเนินการต่อ (หากเซิร์ฟเวอร์แสดงใบรับรองอื่นที่ถูกเพิกถอนหรือไม่ถูกต้องเบราว์เซอร์จะยุติหรือปิดการเชื่อมต่อและเตือนผู้ใช้โดยใช้ข้อความแสดงข้อผิดพลาดซึ่งเราจะตรวจสอบโดยละเอียดในบทความในอนาคต)
ระดับการตรวจสอบ
ควรสังเกตว่าไม่ใช่ทุกใบรับรองที่มีระดับความปลอดภัยเท่ากันและตัวบ่งชี้ความปลอดภัยอาจแยกแยะความแตกต่างระหว่างประเภทใบรับรองที่แตกต่างกันสำหรับการตรวจสอบระดับต่าง ๆ
ปัญหา CA ตรวจสอบความถูกต้องของโดเมน (DV) ใบรับรองให้กับลูกค้าที่แสดงให้เห็นถึงการควบคุมโดเมน DNS ตรวจสอบองค์กรแล้ว (OV) ใบรับรองได้รับการตรวจสอบเพื่อรับรองความถูกต้ององค์กรเป็นนิติบุคคลเช่นเดียวกับการควบคุมโดเมน สุดท้าย ขยายการตรวจสอบแล้ว (EV) ใบรับรองซึ่งสามารถแสดงข้อมูล บริษัท ในแถบเบราว์เซอร์ได้สงวนไว้สำหรับลูกค้าที่ผ่านการตรวจสอบการยืนยันอิสระหลายรายการ (รวมถึงการติดต่อระหว่างมนุษย์กับมนุษย์การอ้างอิงฐานข้อมูลที่ผ่านการรับรองและการตรวจสอบการติดตามผล) ตลอดจน OV และ DV - ระดับขั้นตอน
สถานะปัจจุบันของตัวชี้วัด
ในยุคแรก ๆ ของอินเทอร์เน็ต HTTP เป็นบรรทัดฐานและ HTTPS ถูกนำมาใช้เป็นตัวเลือกสำหรับผู้ที่มีความปลอดภัยสูงสุด ดังนั้นเบราว์เซอร์ส่วนใหญ่จึงใช้เท่านั้น บวก ตัวบ่งชี้เช่นล็อคที่แสดงการเชื่อมต่อ HTTPS และ (เป็นทางเลือก) ว่าการเชื่อมต่อนั้นใช้ใบรับรอง EV หรือไม่ วันนี้เพื่อส่งเสริมความตระหนักด้านความปลอดภัยในวงกว้างยิ่งขึ้น Chrome พร้อมกับ Firefox และ Safari ก็เริ่มใช้งานเช่นกัน เชิงลบ ตัวบ่งชี้เตือนผู้ใช้หน้าที่มีเพจเนื้อหาที่ไม่มีการเข้ารหัสหรือผสมอยู่ ตารางต่อไปนี้เป็นข้อมูลสรุปสำหรับสถานะทั่วไปของตัวบ่งชี้ความปลอดภัยในเบราว์เซอร์ เริ่มต้นด้วย HTTP (ซึ่งไม่ปลอดภัยเลย) แต่ละรายการที่อยู่ถัดจากรายการจะมีความปลอดภัยมากกว่ารายการก่อนหน้า
(คลิกที่ภาพเพื่อขยาย)
การเปลี่ยนแปลงและแผนงานที่จะเกิดขึ้นในอนาคต
ทีม Usable Security ของ Chrome ได้เปิดตัวไฟล์ ข้อเสนอ สำหรับการเปลี่ยนพฤติกรรมของเบราว์เซอร์นี้ พวกเขาแนะนำว่าเบราว์เซอร์ทั้งหมดควรเริ่มเตือนผู้ใช้อย่างแข็งขันเกี่ยวกับเว็บไซต์ HTTP (หรือ HTTPS เนื้อหาผสม) ที่ไม่ปลอดภัยพร้อมตัวชี้วัดเชิงลบในขณะที่พวกเขาพยายามลบตัวบ่งชี้ความปลอดภัยเชิงบวกออกจากเว็บไซต์ HTTPS ทั้งหมด
พวกเขาตัดสินใจบนพื้นฐานของการวิจัยนั่นคือ ตีพิมพ์ใน 2007โดยระบุว่าผู้ใช้มองข้ามตัวบ่งชี้ความปลอดภัยในเชิงบวกเมื่อเทียบกับตัวบ่งชี้เชิงลบซึ่งถูกมองว่าร้ายแรงกว่า Chrome ยังได้โต้แย้งในข้อเสนอเดิมที่ว่า“ ผู้ใช้ควรคาดหวังว่าเว็บจะปลอดภัยโดยค่าเริ่มต้นและจะได้รับการเตือนเมื่อมีปัญหา”
สมัครรับแนวคิดนี้ตั้งแต่เดือนกันยายนปี 2018 Chrome เวอร์ชันใหม่กว่า (69+) จะแสดงตัวบ่งชี้เชิงลบ“ ไม่ปลอดภัย” บนเว็บไซต์ HTTP ทั้งหมดและจะไม่แสดงตัวบ่งชี้เชิงบวก“ ปลอดภัย” สำหรับ HTTPS
Firefox ของ Mozilla (ตั้งแต่เวอร์ชัน 58+) เป็นหนึ่งในสองเบราว์เซอร์อื่น ๆ ที่ใช้ตัวบ่งชี้ความปลอดภัยเชิงลบ แต่สำหรับไซต์ที่มีเนื้อหาแอคทีฟผสมกันเท่านั้น นอกจากนี้ใน โพสต์บล็อกอย่างเป็นทางการพวกเขาได้ประกาศแผนการในอนาคตสำหรับตัวบ่งชี้ความปลอดภัย UI ใน Firefox:“ ในที่สุด Firefox จะแสดงไอคอนล็อกขีดฆ่าสำหรับทุกเพจที่ไม่ได้ใช้ HTTPS เพื่อให้ชัดเจนว่าไม่ปลอดภัย”
Safari ของ Apple (รุ่นเทคโนโลยี 46+) เป็นเบราว์เซอร์ที่เหลือซึ่งใช้ตัวบ่งชี้เชิงลบสำหรับเว็บไซต์ที่มีเนื้อหาแอคทีฟผสมกันแม้ว่าพวกเขาจะไม่ได้แถลงสาธารณะเกี่ยวกับแผนสำหรับตัวบ่งชี้ความปลอดภัยในอนาคตก็ตาม
เบราว์เซอร์ Edge และ Opera ของ Microsoft ไม่ได้พูดต่อสาธารณะเกี่ยวกับแผนการของพวกเขาเกี่ยวกับตัวบ่งชี้ความปลอดภัย UI
สรุป
ปลอดภัยบนอินเทอร์เน็ต น่า เป็นค่าเริ่มต้นและคำเตือนของเบราว์เซอร์ที่ใช้งานอยู่เกี่ยวกับการเชื่อมต่อ HTTP ที่ไม่ปลอดภัยอาจเป็นแรงจูงใจที่ดีสำหรับเจ้าของเว็บเซิร์ฟเวอร์เดิมให้ใส่ใจกับความปลอดภัยของไซต์และผู้เยี่ยมชมของตน ยิ่งไปกว่านั้นการลบตัวบ่งชี้“ ปลอดภัย” ออกจากเว็บไซต์ HTTPS ถือเป็นขั้นตอนในการทำให้ HTTPS เป็นบรรทัดฐานที่คาดหวัง ตัวบ่งชี้บางตัวเช่นตัวบ่งชี้ EV ยังคงสามารถให้ความมั่นใจที่สำคัญแก่ผู้เข้าชมได้ในบางสถานการณ์ ไม่ว่าอนาคตจะเป็นอย่างไรเนื่องจากการใช้งาน HTTPS ทั่วโลกเพิ่มขึ้นทำให้เกิดการเปลี่ยนแปลงและความท้าทายที่น่าสนใจดังนั้นโปรดกลับมาตรวจสอบข้อมูลในอนาคตเกี่ยวกับหัวข้อด้านความปลอดภัยเหล่านี้และอื่น ๆ กับเรา
และเช่นเคยขอบคุณที่อ่านคำเหล่านี้จาก SSL.com ที่เราเชื่อมั่น ปลอดภัยมากขึ้น อินเทอร์เน็ตคือ ดีกว่า อินเตอร์เน็ต