บทนำ
ในช่วงไม่กี่ปีที่ผ่านมา HTTPS การยอมรับเพิ่มขึ้นอย่างรวดเร็ว (Google ให้บริการ รายงานความโปร่งใส ที่แสดงความคืบหน้านี้ให้เห็นภาพมากขึ้น) HTTPS ใช้ SSL /TLS ใบรับรองเพื่อปกป้องข้อมูลและเป็นหนึ่งในกลไกความปลอดภัยของเบราว์เซอร์ที่สำคัญที่สุดจากภัยคุกคามทางไซเบอร์ ขณะนี้อุตสาหกรรมเว็บกำลังสนับสนุน (หรือกำหนดให้) ใช้ HTTPS แทน HTTP ที่ไม่ปลอดภัย
อย่างไรก็ตามความปลอดภัยที่เพิ่มเข้ามานี้ได้เพิ่มความซับซ้อนในการปฏิบัติงานให้กับทั้งผู้ใช้เบราว์เซอร์และผู้ดูแลเว็บเซิร์ฟเวอร์อย่างหลีกเลี่ยงไม่ได้ HTTPS ขึ้นอยู่กับส่วนประกอบที่อาจล้มเหลวและสร้างข้อความแสดงข้อผิดพลาดที่ไม่ชัดเจน
นอกจากนี้คำเตือนด้านความปลอดภัยไม่ได้หมายความว่าเซิร์ฟเวอร์หรือเบราว์เซอร์กำลังถูกโจมตี ใบรับรองที่หมดอายุถูกเพิกถอนหรือกำหนดค่าไม่ถูกต้องสามารถสร้างข้อความที่คล้ายกันได้เช่นกัน ด้วยเหตุนี้ผู้ใช้จำนวนมากอาจสับสน (หรือรำคาญ) และเพิกเฉยต่อข้อผิดพลาด HTTPS แม้ว่าการไม่คำนึงถึงข้อความแสดงข้อผิดพลาดด้านความปลอดภัยอาจเป็นอันตรายได้ (ในความเป็นจริงผู้ให้บริการเบราว์เซอร์ทำให้คำเตือนด้านความปลอดภัยหลีกเลี่ยงได้ยากขึ้น)
ผู้ดูแลระบบต้องเผชิญกับความกังวลเพิ่มเติมว่าการแสดงคำเตือนด้านความปลอดภัยของเว็บไซต์ต่อผู้เยี่ยมชมอย่างสม่ำเสมออาจส่งผลเสียต่อชื่อเสียงของเว็บไซต์ จำเป็นอย่างยิ่งที่ผู้ดูแลระบบไซต์จะต้องตรวจสอบและแก้ไขปัญหาที่เป็นพื้นฐานอย่างรวดเร็ว
เพื่อช่วยในเรื่องนี้เราจะตรวจสอบคำเตือนข้อผิดพลาด HTTPS ที่พบบ่อยที่สุดอธิบายว่าพวกเขาหมายถึงอะไรและแนะนำว่าผู้ดูแลระบบสามารถแก้ไขได้อย่างไร
“ ไม่น่าเชื่อถือสำหรับเว็บไซต์นี้”
SSL /TLS ใบรับรองมักจะออกโดยบุคคลภายนอกที่เรียกว่า ผู้ออกใบรับรองหรือ CA CAs (เช่น SSL.com) ลงนามในใบรับรองแต่ละฉบับที่ออกโดยเข้ารหัส สิ่งนี้ช่วยให้เบราว์เซอร์สามารถยืนยันได้ว่าใบรับรองสำหรับเว็บไซต์หนึ่ง ๆ ออกโดย CA ที่เชื่อถือได้ (ใบรับรองที่เพิ่มลงในที่เก็บใบรับรองของเบราว์เซอร์แล้ว)
ข้อผิดพลาด“ ไม่น่าเชื่อถือ” หมายความว่าเว็บเซิร์ฟเวอร์แสดงใบรับรองที่เซ็นชื่อด้วยลายเซ็นดิจิทัลที่เบราว์เซอร์ไม่รู้จัก เบราว์เซอร์จะแสดงข้อความข้อผิดพลาดนี้ในสองกรณี:
- เซิร์ฟเวอร์ใช้งานที่ไม่น่าเชื่อถือ ลงนามด้วยตนเอง ใบรับรองหรือ
- การติดตั้งใบรับรองบนเซิร์ฟเวอร์ล้มเหลวดังนั้นเบราว์เซอร์ไม่สามารถตรวจสอบความถูกต้องได้อย่างถูกต้อง
ใบรับรองที่ลงนามเองนั้นเหมือนกับใบรับรองปกติ แต่ถูกสร้างขึ้นในเครื่องโดยผู้ดูแลเว็บเซิร์ฟเวอร์แทนที่จะเป็น CA ที่เชื่อถือได้ ใบรับรองดังกล่าวอาจใช้สำหรับ URL ภายในหน้าคงที่หรือเว็บไซต์ที่มีปริมาณการใช้งานต่ำ
เนื่องจากใบรับรองที่ลงนามด้วยตนเองไม่ได้เชื่อมโยงกับ CA ที่เชื่อถือได้เบราว์เซอร์จึงไม่เชื่อถือโดยอัตโนมัติ ผู้ใช้ต้องข้ามคำเตือนด้านความปลอดภัยด้วยตนเอง (โดยทั่วไปคือการบอกให้เบราว์เซอร์“ เชื่อถือ” ใบรับรองที่ลงนามด้วยตนเอง) ก่อนจึงจะสามารถเยี่ยมชมไซต์ได้ ขั้นตอนจะแตกต่างกันไปในแต่ละเบราว์เซอร์และหากคุณไม่ทราบแน่ชัดว่าใครเป็นผู้ออกใบรับรองที่ไม่น่าเชื่อถือ (และเพราะเหตุใด) เราขอแนะนำให้คุณหลีกเลี่ยงการข้ามคำเตือนดังกล่าว
กรณีที่สองเกิดขึ้นเมื่อการติดตั้งล้มเหลว (หรือทำไม่ถูกต้อง) เกิดขึ้นทั่วไปคือการออกใบรับรองกลางเรียกว่าห่วงโซ่ใบรับรองเมื่อดำเนินการติดตั้ง สิ่งนี้จะทำลายห่วงโซ่แห่งความไว้วางใจจาก CA ไปยังใบรับรองเว็บไซต์ดังนั้นเบราว์เซอร์ไม่รู้จักใบรับรองว่าเชื่อถือได้และนำเสนอข้อผิดพลาดนี้แก่ผู้เยี่ยมชม
เมื่อได้รับข้อผิดพลาด“ ไม่น่าเชื่อถือ” ให้พิจารณาหน้าที่กำลังเข้าชม หน้าเว็บที่มีปริมาณการใช้งานสูงหรือการจัดการข้อมูลผู้ใช้ที่มีความละเอียดอ่อน (เช่นบัตรเครดิตที่อยู่สำหรับการเรียกเก็บเงินและอื่น ๆ ) ไม่น่าจะเป็นไปได้สูงที่จะใช้ใบรับรองที่ลงนามด้วยตนเอง
ดังนั้นจึงอาจเป็นไปได้หนึ่งในสองวิธี: เซิร์ฟเวอร์ (หรือการเชื่อมต่อ) ถูกขโมย (และผู้โจมตีแทนที่ใบรับรองดั้งเดิมด้วยตนเอง) หรือผู้ดูแลระบบพยายามอัปเดตใบรับรองเซิร์ฟเวอร์และล้มเหลวในกระบวนการ
ด้วยความระมัดระวังเราขอแนะนำให้ผู้ใช้หลีกเลี่ยงการใช้เว็บไซต์ใด ๆ ที่แสดงข้อผิดพลาดนี้จนกว่าปัญหาพื้นฐานจะได้รับการแก้ไข
วิธีแก้ไขข้อผิดพลาด“ ไม่น่าเชื่อถือ”
ไม่แนะนำให้ใช้ใบรับรองที่ลงชื่อด้วยตนเองสำหรับหน้าภายนอกหรืออินเทอร์เน็ตเช่นหน้าลงชื่อเข้าใช้หรือการเช็คเอาต์ของลูกค้า ในความเป็นจริงเอกสารมาตรฐานและการรับรองส่วนใหญ่เช่น PCI-DSS ต้องการการใช้ใบรับรองที่ลงนามอย่างถูกต้องจาก CA ที่ได้รับการรับรองสำหรับการดำเนินการที่มีความละเอียดอ่อนเช่นนี้
หากคุณซื้อใบรับรองจาก CA และยังพบข้อผิดพลาดนี้คุณควรตรวจสอบว่าการติดตั้งไม่ได้เกิดข้อผิดพลาดใด ๆ และคุณได้ทำตามขั้นตอนอย่างถูกต้อง หากไม่ได้ผลคุณควรติดต่อผู้ออก CA เพื่อขอความช่วยเหลือเพิ่มเติม
“ การเชื่อมต่อของคุณไม่ปลอดภัย”
เบราว์เซอร์บางแห่งอาจระบุว่าการเชื่อมต่อนั้น“ ไม่เป็นส่วนตัว” แทนที่จะเป็น“ ไม่ปลอดภัย” แต่ทั้งหมดนั้นอ้างถึงปัญหาเดียวกัน: ใบรับรองเซิร์ฟเวอร์ไม่สามารถตรวจสอบได้ ที่นี่เบราว์เซอร์จะยุติการเชื่อมต่อกับเว็บไซต์และแสดงข้อความข้อผิดพลาดนี้แทน ใบรับรองไม่สามารถตรวจสอบได้เมื่อถูกเพิกถอนหรือหมดอายุ
สามารถเพิกถอนใบรับรองดิจิทัลได้ด้วยเหตุผลหลายประการและ CA ที่เชื่อถือได้จะดูแลบริการเพื่อแสดงใบรับรองที่ถูกเพิกถอนต่อสาธารณะ (เหล่านี้รวมถึง รายการเพิกถอนใบรับรองs (CRLs) และ โปรโตคอลสถานะใบรับรองออนไลน์ ผู้ตอบสนอง (OCSP) เบราว์เซอร์ปรึกษากับบริการเหล่านี้ก่อนที่จะเชื่อถือใบรับรอง ผู้ใช้ที่สะดุดกับใบรับรองที่ถูกเพิกถอนควรหลีกเลี่ยงการใช้เว็บไซต์เพราะหมายความว่าการเชื่อมต่อของพวกเขาอาจถูกบุกรุก
ใบรับรอง SSL จะหมดอายุตามธรรมชาติหลังจากผ่านช่วงเวลาหนึ่งและต้องต่ออายุใหม่ สิ่งนี้ช่วยให้มั่นใจได้ว่าข้อมูลรับรองทั้งหมดจะได้รับการตรวจสอบเป็นระยะ ๆ โดยเสนอการรับประกันที่สมเหตุสมผลว่าใบรับรองครอบคลุมเซิร์ฟเวอร์ที่ควบคุมโดยเจ้าของที่ถูกกฎหมายและไม่ใช่ผู้โจมตีที่เป็นอันตราย
วิธีแก้ไขข้อผิดพลาด“ ไม่ปลอดภัย”
เราขอแนะนำให้คุณต่ออายุใบรับรองก่อนที่จะหมดอายุเพื่อหลีกเลี่ยงข้อผิดพลาดนี้ SSL.com ลูกค้าสามารถใช้บริการแจ้งเตือนการหมดอายุรวมของเราเพื่อเตือนเกี่ยวกับการหมดอายุของใบรับรองที่จะเกิดขึ้น
“ เนื้อหาผสม”
คำเตือนเนื้อหาแบบผสมหมายถึงส่วนประกอบของเว็บไซต์ HTTPS ที่ดึงผ่าน HTTP ตัวอย่างทั่วไปรวมถึงภาพระยะไกลสคริปต์หรือองค์ประกอบอื่น ๆ ที่ส่งอย่างไม่ปลอดภัย (แม้ว่าบนเซิร์ฟเวอร์เดียวกัน)
ผู้โจมตีสามารถใช้ประโยชน์จากการเชื่อมต่อ HTTP ที่ไม่ปลอดภัยเพื่อบุกรุกเบราว์เซอร์ของผู้เยี่ยมชม (หรือแม้แต่คอมพิวเตอร์) แม้จะมีความเสี่ยงที่ชัดเจน แต่เว็บไซต์หลายแห่งยังคงใช้ HTTP เพื่อดึงข้อมูลส่วนประกอบระยะไกล เพื่อเตือนผู้ใช้เกี่ยวกับการเชื่อมต่อเนื้อหาแบบผสมเบราว์เซอร์จะแสดงตัวบ่งชี้ความปลอดภัยเชิงลบ
ผู้ใช้ควรหลีกเลี่ยงการเชื่อมต่อทั้งหมดหากเป็นไปได้ แต่น่าเสียดายที่เว็บไซต์ที่ถูกกฎหมายจำนวนมากยังไม่สามารถแก้ไขปัญหานี้ได้ ดังนั้นเราขอแนะนำให้ใช้ความระมัดระวังและใช้วิจารณญาณที่ดีเมื่อเลือกเยี่ยมชมเว็บไซต์ที่แสดงคำเตือนเนื้อหาผสม
วิธีแก้ไขคำเตือน“ เนื้อหาแบบผสม”:
ผู้ดูแลระบบควรค้นหาซอร์สโค้ดของเว็บไซต์เพื่อหา URL ที่ขึ้นต้นด้วย http://. หากต้องการหยุดเบราว์เซอร์ไม่ให้แสดงคำเตือนเนื้อหาแบบผสมให้แทนที่ URL HTTP ทั้งหมดด้วย HTTPS (เช่นควรเริ่มต้นด้วย https://) URL ที่ชี้ไปยังทรัพยากรเดียวกัน ตัวอย่างต่อไปนี้แสดงตัวอย่าง:
ควรเปลี่ยนเป็น:
หากเซิร์ฟเวอร์ระยะไกลรองรับ HTTPS อยู่แล้วคุณสามารถเปลี่ยน URL ในซอร์สโค้ดของคุณได้ อย่างไรก็ตามหากคุณไม่มีการควบคุมเซิร์ฟเวอร์ระยะไกลคุณจะต้องเจรจากับบุคคลที่สามที่ควบคุมเซิร์ฟเวอร์หรือค้นหาบริการอื่นที่รองรับ HTTPS เพื่อกำจัดคำเตือนนี้
“ ชื่อไม่ตรงกัน”
เบราว์เซอร์แสดงข้อความแสดงข้อผิดพลาดนี้เมื่อเซิร์ฟเวอร์แสดงใบรับรองดิจิทัลสำหรับชื่อโดเมนอื่น สิ่งนี้อาจเกิดขึ้นเนื่องจากโดเมนใบรับรองนั้นผิดพลาด (เช่นใบรับรองที่ร้องขอ domain.org แทน domain.com) ในระหว่างการซื้อใบรับรองผ่านการกำหนดค่าผิดพลาด (แสดงใบรับรองอื่นแทนใบรับรองที่คาดไว้) หรือเนื่องจากใบรับรองไม่ครอบคลุมหลายโดเมนหรือโดเมนย่อยที่ใช้ในเว็บไซต์
วิธีแก้ไขข้อผิดพลาด“ ชื่อไม่ตรงกัน”
หากโดเมนสะกดไม่ถูกต้องคุณควรติดต่อ CA ผู้ออกเพื่อขอแนวทางแก้ไข
การกำหนดค่าผิดพลาดสามารถแก้ไขได้โดยการอัพเดตไซต์เพื่อใช้ใบรับรองที่ถูกต้อง
สุดท้ายหากดูแลเว็บไซต์ที่มีหลายโดเมน (หรือโดเมนย่อย) ให้พิจารณาใช้ ใบรับรองชื่อสำรอง (SAN) ของหัวเรื่อง แทนใบรับรองหลายใบ ใบรับรอง SAN เดียวสามารถปกป้องโดเมนที่แตกต่างกันหลายร้อยโดเมนและแม้แต่โดเมน wild-card (เช่น *.ssl.com) นอกเหนือจากการเป็น ง่ายต่อการจัดการและบำรุงรักษามากกว่าใบรับรองหลายใบ (ไม่ต้องพูดถึงว่าอาจจะง่ายกว่าในพกพาของคุณ)
สรุป
อาจคิดว่า HTTPS เป็นกล่องดำ แต่จริงๆแล้วมันคือชุดของส่วนประกอบที่เชื่อมต่อกันซึ่งต้องทำงานประสานกันเพื่อให้มีประสิทธิภาพ ข้อความเตือนที่เราได้อธิบายไว้เป็นส่วนสำคัญของอินเทอร์เน็ต เราหวังว่าการให้ความเข้าใจพื้นฐานเกี่ยวกับข้อความเหล่านั้นจะช่วยให้ผู้ใช้ปลอดภัยและทำให้ผู้ดูแลระบบมีประสิทธิภาพมากขึ้น
ขอบคุณที่เลือกใช้ SSL.com! หากคุณมีคำถามใด ๆ โปรดติดต่อเราทางอีเมลที่ Support@SSL.com, โทร 1-877-SSL-SECUREหรือเพียงคลิกลิงก์แชทที่ด้านล่างขวาของหน้านี้
