ดูตัวชี้วัดความปลอดภัยของเบราว์เซอร์ UI

เราดูตัวบ่งชี้ความปลอดภัยใน UI ของเบราว์เซอร์และให้สถานะของฟิลด์ในตอนนี้ การเปลี่ยนตัวบ่งชี้ความปลอดภัยอาจดูเหมือนการตัดสินใจ UI ง่ายๆในตอนแรก แต่ก็มีผลกระทบที่สำคัญ อ่านต่อเพื่อดูภาพรวมคร่าวๆของสถานะปัจจุบันของตัวบ่งชี้ความปลอดภัย UI ตลอดจนการเปลี่ยนแปลงที่จะเกิดขึ้นและผลกระทบที่อาจส่งผลต่อผู้ใช้อินเทอร์เน็ต

เนื้อหาที่เกี่ยวข้อง

ต้องการเรียนรู้ต่อไปหรือไม่?

สมัครรับจดหมายข่าวของ SSL.com ติดตามข่าวสารและปลอดภัย

HTTP และ HTTPS

HTTPS เป็นเบราว์เซอร์โปรโตคอลเครือข่ายที่ใช้เพื่อสื่อสารกับเว็บเซิร์ฟเวอร์อย่างปลอดภัย HTTPS เป็นทางเลือกที่ปลอดภัยสำหรับโปรโตคอลรุ่นเก่าที่เรียกว่า Hyper Text Transfer Protocol หรือ HTTP HTTPS สามารถปกป้องผู้ใช้เนื่องจากต้องการการเข้ารหัสของข้อมูลที่แลกเปลี่ยนบนเว็บ (หรือ HTTP) ทั้งหมดผ่านทางโปรโตคอลการเข้ารหัสที่เรียกว่า TLS  (HTTPS เป็น * HTTP * มากกว่า * อย่างแท้จริงTLS*)

การเข้ารหัสข้อมูลเว็บด้วยรหัสลับ (เช่น TLS ทำ) ปรับปรุงความปลอดภัยของผู้ใช้โดยป้องกันไม่ให้ผู้โจมตีอ่านหรือแก้ไขเนื้อหาต้นฉบับในระหว่างทาง การโจมตีเครือข่ายดังกล่าวเรียกว่า การโจมตีคนในกลาง (MITM). นักวิจัยได้แสดงให้เห็นว่าผู้โจมตี MITM สามารถอ่านหรือแก้ไขทราฟฟิก HTTP ได้โดยไม่ต้องให้ผู้ใช้ทราบ

การรักษาความปลอดภัยที่เพิ่มขึ้นทำให้ HTTPS เหมาะอย่างยิ่งสำหรับเว็บแอปพลิเคชันที่จัดการข้อมูลที่มีความละเอียดอ่อนและเซิร์ฟเวอร์ส่วนใหญ่ (เช่นเซิร์ฟเวอร์ธนาคารหรืออีเมล) ได้รับการอัพเกรดแล้ว น่าเสียดายที่เว็บเซิร์ฟเวอร์บางแห่งอาจไม่รองรับเนื่องจากข้อ จำกัด ด้านการดำเนินงานต่าง ๆ เช่นแบนด์วิดท์ที่เพิ่มขึ้นปัญหาเกี่ยวกับมรดกและอื่น ๆ เนื่องจากมีอันตรายที่อาจเกิดขึ้นผู้ใช้ที่เกี่ยวข้องต้องทราบว่าพวกเขากำลังเรียกดูผ่านการเชื่อมต่อที่ไม่ปลอดภัย

ป้อนสัญลักษณ์ความปลอดภัย

เบราว์เซอร์แจ้งผู้ใช้เกี่ยวกับสถานะความปลอดภัยของการเชื่อมต่อเว็บในรูปแบบของกราฟิกที่แสดงในแถบที่อยู่ (เช่นไอคอนล็อคหน้า URL ของบทความนี้) เหล่านี้ ตัวชี้วัดความปลอดภัย สามารถเป็นได้ทั้ง เชิงลบ และเตือนผู้ใช้ว่าพวกเขาตกอยู่ในอันตรายหรือ บวกเพื่อให้แน่ใจว่าการเชื่อมต่อของพวกเขาปลอดภัย

ตัวบ่งชี้ความปลอดภัยใช้เพื่อสื่อสารสองด้านของการเชื่อมต่อเว็บ ความปลอดภัยในการเชื่อมต่อ และ ความจริง ของเว็บเซิร์ฟเวอร์ระยะไกล

ความปลอดภัยในการเชื่อมต่อผ่านการเข้ารหัส

ตัวบ่งชี้แจ้งเกี่ยวกับความปลอดภัยของการเชื่อมต่อโดยแยกแยะระหว่าง ที่มีการเข้ารหัส, ที่ไม่ได้เข้ารหัส และ เนื้อหาผสม สัมพันธ์ ไซต์ที่เข้ารหัสและไม่ได้เข้ารหัสป้องกันเนื้อหาทั้งหมดหรือไม่มีเลย เนื้อหาแบบผสมหมายถึงส่วนประกอบบางส่วนของเว็บไซต์ที่เข้ารหัสอย่างอื่นกำลังถูกดึงผ่านช่องทางที่ไม่ได้เข้ารหัส

ส่วนประกอบที่สามารถแก้ไขเนื้อหาของหน้า (เช่นสคริปต์หรือเวกเตอร์) เรียกว่า เนื้อหาที่ใช้งาน. ส่วนประกอบที่มีการระบุตัวตนคงที่ (เช่นรูปภาพคงที่หรือแบบอักษร) จะถูกเรียก เนื้อหาแฝง.

แม้ว่าการเชื่อมต่อเว็บที่เข้ารหัสอย่างสมบูรณ์จะปลอดภัย แต่เพียงอย่างเดียวไม่ได้หมายความว่าเว็บไซต์จะปลอดภัยในการเรียกดู

การรับรองความถูกต้องของเซิร์ฟเวอร์และใบรับรองดิจิทัล

ผู้โจมตีสามารถ (และทำ) คัดลอกเนื้อหาของเว็บไซต์และเปลี่ยนเส้นทางการรับส่งข้อมูลเครือข่ายไปยังเซิร์ฟเวอร์ที่เป็นอันตรายของตัวเองแม้ผ่านการเชื่อมต่อที่เข้ารหัส เซิร์ฟเวอร์ของพวกเขาจะต้องนำเสนอที่แตกต่างกันที่รู้จักกันเท่านั้น TLS คีย์แทนความลับดั้งเดิม ไม่มีเหตุผลที่จะสงสัยความถูกต้องของการเชื่อมต่อจากนั้นผู้ใช้ที่ไม่สงสัยสามารถถูกชักชวนให้เข้าสู่ระบบหรือเปิดเผยข้อมูลที่ละเอียดอ่อนอื่น ๆ

ในการตอบสนองเบราว์เซอร์รับรองความถูกต้องของเซิร์ฟเวอร์โดยเชื่อมโยงข้อมูลประจำตัวของเจ้าของเว็บเซิร์ฟเวอร์ที่ถูกต้องตามกฎหมายด้วยคีย์การเข้ารหัสที่ไม่ซ้ำกันที่แต่ละเซิร์ฟเวอร์นำเสนอ ด้วยวิธีนี้เบราว์เซอร์มอบหมายการตรวจสอบข้อมูลรับรองนี้ให้กับบุคคลที่สามที่เรียกว่า ผู้ออกใบรับรอง (CA) เบราว์เซอร์หลักจะดูแลโปรแกรมรูทเพื่อจัดการความน่าเชื่อถือของ CA ซึ่งต้องปฏิบัติตามมาตรฐานที่เข้มงวดและข้อกำหนดการตรวจสอบเพื่อให้เบราว์เซอร์เชื่อถือได้

เจ้าของเว็บเซิร์ฟเวอร์ที่ขอใบรับรองจาก CA ที่เชื่อถือได้เช่น SSL.com ต้องแสดงคีย์สาธารณะที่ถูกต้องและพิสูจน์ว่าพวกเขาควบคุมชื่อโดเมนและเซิร์ฟเวอร์ที่ชี้ไป หากการตรวจสอบเหล่านี้สำเร็จ CA จะออกใบรับรองดิจิตัลให้กับเจ้าของซึ่งใช้ทั้งในการเข้ารหัสและตรวจสอบการเชื่อมต่อกับเว็บไซต์

ใบรับรองคือข้อมูลประจำตัวดิจิทัลที่มีข้อมูลเกี่ยวกับบุคคลหรือองค์กรที่เป็นเจ้าของเซิร์ฟเวอร์ CAs ลงนามในใบรับรองแต่ละใบด้วยลายเซ็นดิจิทัลซึ่งเป็นกลไกความสมบูรณ์ที่คล้ายคลึงกับซีลแว็กซ์ - ผู้โจมตีไม่สามารถทำซ้ำลายเซ็นได้และพวกเขาจะต้องยกเลิกการรับรองก่อนที่จะแก้ไขเนื้อหา HTTPS ต้องการเว็บเซิร์ฟเวอร์เพื่อต้อนรับการเชื่อมต่อเบราว์เซอร์ด้วยใบรับรองที่ถูกต้องของเซิร์ฟเวอร์นั้น จากนั้นเบราว์เซอร์จะตรวจสอบใบรับรอง - หากมีการลงนามโดย CA ที่เชื่อถือได้การเชื่อมต่ออาจดำเนินการต่อ (หากเซิร์ฟเวอร์แสดงใบรับรองอื่นที่ถูกเพิกถอนหรือไม่ถูกต้องเบราว์เซอร์จะยุติหรือปิดการเชื่อมต่อและเตือนผู้ใช้โดยใช้ข้อความแสดงข้อผิดพลาดซึ่งเราจะตรวจสอบโดยละเอียดในบทความในอนาคต)

ระดับการตรวจสอบ

ควรสังเกตว่าไม่ใช่ทุกใบรับรองที่มีระดับความปลอดภัยเท่ากันและตัวบ่งชี้ความปลอดภัยอาจแยกแยะความแตกต่างระหว่างประเภทใบรับรองที่แตกต่างกันสำหรับการตรวจสอบระดับต่าง ๆ

ปัญหา CA ตรวจสอบความถูกต้องของโดเมน (DV) ใบรับรองให้กับลูกค้าที่แสดงให้เห็นถึงการควบคุมโดเมน DNS ตรวจสอบองค์กรแล้ว (OV) ใบรับรองได้รับการตรวจสอบเพื่อรับรองความถูกต้ององค์กรเป็นนิติบุคคลเช่นเดียวกับการควบคุมโดเมน สุดท้าย ขยายการตรวจสอบแล้ว (EV) ใบรับรองซึ่งสามารถแสดงข้อมูล บริษัท ในแถบเบราว์เซอร์ได้สงวนไว้สำหรับลูกค้าที่ผ่านการตรวจสอบการยืนยันอิสระหลายรายการ (รวมถึงการติดต่อระหว่างมนุษย์กับมนุษย์การอ้างอิงฐานข้อมูลที่ผ่านการรับรองและการตรวจสอบการติดตามผล) ตลอดจน OV และ DV - ระดับขั้นตอน

สถานะปัจจุบันของตัวชี้วัด

ในยุคแรก ๆ ของอินเทอร์เน็ต HTTP เป็นบรรทัดฐานและ HTTPS ถูกนำมาใช้เป็นตัวเลือกสำหรับผู้ที่มีความปลอดภัยสูงสุด ดังนั้นเบราว์เซอร์ส่วนใหญ่จึงใช้เท่านั้น บวก ตัวบ่งชี้เช่นล็อคที่แสดงการเชื่อมต่อ HTTPS และ (เป็นทางเลือก) ว่าการเชื่อมต่อนั้นใช้ใบรับรอง EV หรือไม่ วันนี้เพื่อส่งเสริมความตระหนักด้านความปลอดภัยในวงกว้างยิ่งขึ้น Chrome พร้อมกับ Firefox และ Safari ก็เริ่มใช้งานเช่นกัน เชิงลบ ตัวบ่งชี้เตือนผู้ใช้หน้าที่มีเพจเนื้อหาที่ไม่มีการเข้ารหัสหรือผสมอยู่ ตารางต่อไปนี้เป็นข้อมูลสรุปสำหรับสถานะทั่วไปของตัวบ่งชี้ความปลอดภัยในเบราว์เซอร์ เริ่มต้นด้วย HTTP (ซึ่งไม่ปลอดภัยเลย) แต่ละรายการที่อยู่ถัดจากรายการจะมีความปลอดภัยมากกว่ารายการก่อนหน้า

 

(คลิกที่ภาพเพื่อขยาย)

การเปลี่ยนแปลงและแผนงานที่จะเกิดขึ้นในอนาคต

ทีม Usable Security ของ Chrome ได้เปิดตัวไฟล์ ข้อเสนอ สำหรับการเปลี่ยนพฤติกรรมของเบราว์เซอร์นี้ พวกเขาแนะนำว่าเบราว์เซอร์ทั้งหมดควรเริ่มเตือนผู้ใช้อย่างแข็งขันเกี่ยวกับเว็บไซต์ HTTP (หรือ HTTPS เนื้อหาผสม) ที่ไม่ปลอดภัยพร้อมตัวชี้วัดเชิงลบในขณะที่พวกเขาพยายามลบตัวบ่งชี้ความปลอดภัยเชิงบวกออกจากเว็บไซต์ HTTPS ทั้งหมด

พวกเขาตัดสินใจบนพื้นฐานของการวิจัยนั่นคือ ตีพิมพ์ใน 2007โดยระบุว่าผู้ใช้มองข้ามตัวบ่งชี้ความปลอดภัยในเชิงบวกเมื่อเทียบกับตัวบ่งชี้เชิงลบซึ่งถูกมองว่าร้ายแรงกว่า Chrome ยังได้โต้แย้งในข้อเสนอเดิมที่ว่า“ ผู้ใช้ควรคาดหวังว่าเว็บจะปลอดภัยโดยค่าเริ่มต้นและจะได้รับการเตือนเมื่อมีปัญหา”

สมัครรับแนวคิดนี้ตั้งแต่เดือนกันยายนปี 2018 Chrome เวอร์ชันใหม่กว่า (69+) จะแสดงตัวบ่งชี้เชิงลบ“ ไม่ปลอดภัย” บนเว็บไซต์ HTTP ทั้งหมดและจะไม่แสดงตัวบ่งชี้เชิงบวก“ ปลอดภัย” สำหรับ HTTPS

Firefox ของ Mozilla (ตั้งแต่เวอร์ชัน 58+) เป็นหนึ่งในสองเบราว์เซอร์อื่น ๆ ที่ใช้ตัวบ่งชี้ความปลอดภัยเชิงลบ แต่สำหรับไซต์ที่มีเนื้อหาแอคทีฟผสมกันเท่านั้น นอกจากนี้ใน โพสต์บล็อกอย่างเป็นทางการพวกเขาได้ประกาศแผนการในอนาคตสำหรับตัวบ่งชี้ความปลอดภัย UI ใน Firefox:“ ในที่สุด Firefox จะแสดงไอคอนล็อกขีดฆ่าสำหรับทุกเพจที่ไม่ได้ใช้ HTTPS เพื่อให้ชัดเจนว่าไม่ปลอดภัย”

Safari ของ Apple (รุ่นเทคโนโลยี 46+) เป็นเบราว์เซอร์ที่เหลือซึ่งใช้ตัวบ่งชี้เชิงลบสำหรับเว็บไซต์ที่มีเนื้อหาแอคทีฟผสมกันแม้ว่าพวกเขาจะไม่ได้แถลงสาธารณะเกี่ยวกับแผนสำหรับตัวบ่งชี้ความปลอดภัยในอนาคตก็ตาม

เบราว์เซอร์ Edge และ Opera ของ Microsoft ไม่ได้พูดต่อสาธารณะเกี่ยวกับแผนการของพวกเขาเกี่ยวกับตัวบ่งชี้ความปลอดภัย UI

สรุป

ปลอดภัยบนอินเทอร์เน็ต น่า เป็นค่าเริ่มต้นและคำเตือนของเบราว์เซอร์ที่ใช้งานอยู่เกี่ยวกับการเชื่อมต่อ HTTP ที่ไม่ปลอดภัยอาจเป็นแรงจูงใจที่ดีสำหรับเจ้าของเว็บเซิร์ฟเวอร์เดิมให้ใส่ใจกับความปลอดภัยของไซต์และผู้เยี่ยมชมของตน ยิ่งไปกว่านั้นการลบตัวบ่งชี้“ ปลอดภัย” ออกจากเว็บไซต์ HTTPS ถือเป็นขั้นตอนในการทำให้ HTTPS เป็นบรรทัดฐานที่คาดหวัง ตัวบ่งชี้บางตัวเช่นตัวบ่งชี้ EV ยังคงสามารถให้ความมั่นใจที่สำคัญแก่ผู้เข้าชมได้ในบางสถานการณ์ ไม่ว่าอนาคตจะเป็นอย่างไรเนื่องจากการใช้งาน HTTPS ทั่วโลกเพิ่มขึ้นทำให้เกิดการเปลี่ยนแปลงและความท้าทายที่น่าสนใจดังนั้นโปรดกลับมาตรวจสอบข้อมูลในอนาคตเกี่ยวกับหัวข้อด้านความปลอดภัยเหล่านี้และอื่น ๆ กับเรา

และเช่นเคยขอบคุณที่อ่านคำเหล่านี้จาก SSL.com ที่เราเชื่อมั่น ปลอดภัยมากขึ้น อินเทอร์เน็ตคือ ดีกว่า อินเตอร์เน็ต

รับทราบข้อมูลและปลอดภัย

SSL.com เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ PKI และใบรับรองดิจิทัล ลงทะเบียนเพื่อรับข่าวสารอุตสาหกรรม เคล็ดลับ และประกาศผลิตภัณฑ์ล่าสุดจาก SSL.com.

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ