TOP

Sitemap

Sitemap Descriptions

เกี่ยวกับ สพธอ.

Knowledge Sharing

GOOGLE CHROME ขึ้นแจ้งเตือน “NOT SECURE” กับเว็บไซต์ที่ไม่ได้เข้ารหัส HTTPS และแนวทางเลือกใช้ SSL CERTIFICATE กับเว็บไซต์ เพื่อการเชื่อมต่อแบบ HTTPS

Cybersecurity Documents
  • 18 ก.ค. 61
  • 4377

GOOGLE CHROME ขึ้นแจ้งเตือน “NOT SECURE” กับเว็บไซต์ที่ไม่ได้เข้ารหัส HTTPS และแนวทางเลือกใช้ SSL CERTIFICATE กับเว็บไซต์ เพื่อการเชื่อมต่อแบบ HTTPS

Google Chrome ขึ้นแจ้งเตือน “Not Secure” กับเว็บไซต์ที่ไม่ได้เข้ารหัส HTTPS สิ่งนี้ส่งผลกระทบต่อความน่าเชื่อถือ ความเชื่อมั่นของผู้ใช้บริการที่เข้าถึงเว็บไซต์ของหน่วยงาน ทั้งนี้จะทำให้เว็บไซต์ของเราเชื่อมต่อแบบ HTTPS ต้องทำอย่างไรบ้างบทความนี้มีคำตอบ


bann2.png

 

เมื่อปี 2016 Google ประกาศนโยบายผลักดันให้ทุกเว็บไซต์หันมาใช้การเชื่อมต่อแบบเข้ารหัส หรือ HTTPS แทนการเชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP โดยเว็บไซต์ที่เชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP จะเปิดโอกาสให้ผู้ประสงค์ร้ายสามารถลอบฟัง (Eavesdropping) แก้ไขให้เสียหาย (Tampering) และปลอมแปลงข้อมูล (Message forgery) ในระหว่างการเรียกเว็บไซต์นั้น ๆ ได้ แต่ถ้าเว็บไซต์เชื่อมต่อแบบเข้ารหัส หรือ HTTPS แล้ว การเชื่อมต่อ และข้อมูลทั้งหมด เช่น รหัสผ่านหรือข้อมูลบัตรเครดิต จะถูกเข้ารหัสไว้ ป้องกันไม่ให้ผู้ประสงค์ร้ายสามารถลอบฟัง แก้ไขและปลอมแปลงข้อมูลนั้น ๆ ได้

ซึ่ง Google เปิดเผยสถิติว่าหลังจากประกาศไปแล้วนั้น อัตราส่วนของเว็บไซต์ที่ใช้การเชื่อมต่อแบบเข้ารหัส HTTPS มีเพิ่มขึ้นมาก จากเดิมที่มีอัตราส่วนการใช้ HTTPS 67% เพิ่มเป็น 85% และในกลุ่มเว็บไซต์ยอดนิยม Top100 จากเดิมที่ใช้การเชื่อมต่อแบบ HTTPS เป็น default มี 37% ก็เพิ่มขึ้นเป็น 83%

เมื่อก่อน เวลาเข้าเว็บไซต์ที่เชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP บน Address Bar จะแสดง URL แบบปกติ แต่ในเดือนกรกฎาคม 2018 นี้ Chrome ได้ปล่อยให้ผู้ใช้บริการอัพเดต Chrome เวอร์ชัน 68 ซึ่งในเวอร์ชันนี้การเปลี่ยนแปลงที่สำคัญคือ Chrome จะแสดงข้อความ “Not Secure” หรือ “ไม่ปลอดภัย” เป็นตัวอักษรสีเทา กับทุกเว็บไซต์ที่ยังใช้การเชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP ดังรูป
 
SSL1.png

และ Google ได้ประกาศต่ออีกว่าใน Chrome เวอร์ชัน 70 ที่จะปล่อยให้เริ่มอัพเดตในเดือนตุลาคมนี้ ถ้าผู้ใช้บริการป้อนข้อมูลลงในแบบฟอร์ม เช่น หน้าสำหรับ Login บนเว็บไซต์ที่เชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP คำว่า “Not Secure” สีเทา จะเปลี่ยนเป็นสีแดง เพื่อเพิ่มระดับการเตือนผู้ใช้งานให้ทราบว่าข้อมูลที่กรอกลงไปนั้นจะถูกส่งผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส ดังรูป
9427ca41b35784a5cfe6761cbd4c4d50.gif

จะต่างกับเว็บไซต์ที่เข้ารหัสด้วย HTTPS แล้ว ผู้ใช้บริการจะเห็นข้อความ “Secure” สีเขียว พร้อมรูปแม่กุญแจ เพื่อแสดงให้ผู้ใช้บริการรู้ว่าเว็บไซต์ที่กำลังใช้งานอยู่ได้เข้ารหัสเรียบร้อย เพิ่มความมั่นใจให้ผู้ใช้บริการได้อีกขั้นว่าสามารถใช้งานได้อย่างปลอดภัย ดังรูป
 
SSL3-2-500x93.png

ซึ่งต่อไป การทำให้เว็บไซต์เชื่อมต่อแบบเข้ารหัส HTTPS จะกลายเป็นเรื่องพื้นฐาน ผู้ดูแลเว็บไซต์ควรตระหนัก และปรับเปลี่ยนให้เว็บไซต์ที่อยู่ในความดูแลเป็น HTTPS ทั้งหมด

เปลี่ยนมาใช้การเชื่อมต่อแบบเข้ารหัส HTTPS

เริ่มจากขอใบรับรองอิเล็กทรอนิกส์ประเภทเว็บไซต์ หรือ SSL Certificate จากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือ และเลือกประเภทของ SSL Certificate ให้เหมาะสมกับเว็บไซต์ ซึ่งจะขึ้นอยู่กับลักษณะงานขององค์กรและเนื้อหาของเว็บไซต์ ดังนั้นควรเลือกใช้งานใบรับรองอิเล็กทรอนิกส์ที่เหมาะสม โดยใบรับรองอิเล็กทรอนิกส์สำหรับเว็บไซต์มีอยู่ 3 ประเภท ได้แก่

ประเภทที่ 1 Domain Validation : เป็นใบรับรองที่เข้ารหัสระดับ 128-256 บิต ตรวจสอบความเป็นเจ้าของ โดเมนว่าตรงกับข้อมูลผู้ขอใบรับรอง SSL หรือไม่ก่อนการอนุมัติ ทำให้มีความมั่นคงปลอดภัยและมีความน่าเชื่อถือ

ประเภทที่ 2 Organization Validation : เป็นใบรับรองสำหรับองค์กรที่ต้องการเพิ่มความน่าเชื่อถือ โดยมีการตรวจสอบองค์กรที่ขอใบรับรอง SSL ว่ามีอยู่จริงหรือไม่ มีการยืนยันข้อมูลผู้ขอใบรับรอง SSL ทางโทรศัพท์ (Verify Call) โดยขั้นต้นเข้ารหัสลับที่ 128 บิต และ สูงสุดที่ 256 บิต ทำให้มีความมั่นคงปลอดภัยและมีความน่าเชื่อถือสูง

ประเภทที่ 3 Extended Validation : เป็นใบรับรองระดับสูงสุด โดยมีการตรวจสอบข้อมูลอย่างเข้มงวดถึงความเป็นเจ้าของโดเมนและตรวจสอบตัวตนขององค์กร เช่น การตรวจสอบว่าองค์กรมีอยู่จริง โดยอาจจะมีการขอเอกสารทางกฎหมายอื่น ๆ ของหน่วยงาน, การให้เจ้าหน้าที่มาตรวจสอบที่อยู่ขององค์กรว่ามีตัวตนตั้งอยู่ตามที่อยู่ที่ลงทะเบียนไว้หรือไม่ เป็นต้น โดยต้องให้นักกฎหมาย (Third Party) หรือผู้ที่มีตั๋วทนายจากสภาทนายความแห่งประเทศไทย ลงนามรับรองเอกสารขององค์กรด้วย โดยขั้นต้นเข้ารหัสลับที่ 128 บิต และ สูงสุดที่ 256 บิต ซึ่งเหมาะกับองค์กรที่ต้องการความน่าเชื่อถือสูง เช่น เว็บไซต์ธนาคาร เป็นต้น

เมื่อเลือกประเภทของใบรับรองอิเล็กทรอนิกส์ที่เหมาะสมได้แล้ว ก็จะเข้าสู่กระบวนการส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์และการติดตั้งใบรับรองอิเล็กทรอนิกส์ ซึ่งมีขั้นตอนที่เกี่ยวข้องทั้งหมด 5 ขั้นตอน ได้แก่
  1. เลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์สำหรับเว็บไซต์ที่น่าเชื่อถือ
  2. การส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์
  3. การติดตั้งใบรับรองอิเล็กทรอนิกส์
  4. การปรับแต่งค่าติดตั้งที่เกี่ยวกับใบรับรองอิเล็กทรอนิกส์
  5. การบำรุงรักษาใบรับรองอิเล็กทรอนิกส์
รายละเอียดแต่ละขั้นตอน ดังนี้

1.เลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์สำหรับเว็บไซต์ที่น่าเชื่อถือ

การเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เป็นตัวแปรหนึ่งที่มีความสำคัญต่อความมั่นคงปลอดภัย เพราะจะเป็นส่วนที่ทำให้ผู้ใช้บริการเว็บไซต์สามารถมั่นใจได้ว่าเว็บไซต์ที่ตัวเองกำลังใช้บริการนั้นมีตัวตนอยู่จริงและได้รับการรับรองจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือ ซึ่งแนวทางสำหรับการเลือกใช้บริการจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ มีดังต่อไปนี้
          (1) สำหรับการเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือภายในประเทศไทย เจ้าของเว็บไซต์หรือผู้ดูแลเครื่องบริการเว็บควรขอใบรับรองอิเล็กทรอนิกส์จากผู้ให้บริการที่ได้รับการรับรองจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (Thailand National Root Certification Authority) ซึ่งสามารถตรวจสอบรายชื่อของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่ได้รับการรับรองจาก URL: www.nrca.go.th/content/issue-cert.html
          (2) สำหรับการเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ในต่างประเทศ เจ้าของเว็บไซต์หรือผู้ดูแลเครื่องบริการเว็บควรเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่ผ่านการตรวจประเมินการดำเนินกิจการตามมาตรฐานสากลเช่น มาตรฐาน Web Trust เป็นต้น ยกตัวอย่างเช่น DigiCert และ GlobalSign เป็นต้น
          (3) เจ้าของเว็บไซต์หรือผู้ดูแลเครื่องบริการเว็บ (Web Server Administrator) ที่ขอใช้บริการควรศึกษารายละเอียดของแนวนโยบาย (Certificate policy) และแนวปฏิบัติ (Certification practice statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์อย่างรอบคอบ รวมถึงศึกษารายละเอียดและเงื่อนไขการให้บริการของใบรับรองอิเล็กทรอนิกส์แต่ละประเภท
          (4) ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์อย่างน้อยต้องให้บริการข้อมูลของรายการเพิกถอนใบรับรองอิเล็กทรอนิกส์ (Certificate Revocation List (CRL)) โดยในส่วนของบริการอื่น ๆ ผู้ใช้บริการสามารถนำมาใช้ในการพิจารณาเลือกใช้บริการได้เช่น มีบริการโพรโทคอลโอซีเอสพี (Online Certificate Status Protocol (OCSP)) สำหรับการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส์ทางออนไลน์ หรือมีบริการออกใบรับรองอิเล็กทรอนิกส์ประเภท Domain-validated และใบรับรองอิเล็กทรอนิกส์ประเภท Extended Validation เป็นต้น

2.การส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์

หลังจากที่เลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือแล้วนั้น ในส่วนของขั้นตอนการส่งคำร้องเพื่อขอใช้งาน Certificate นั้น มีรายละเอียดดังต่อไปนี้
          (1) ผู้ดูแลเครื่องบริการเว็บ (Web Server Administrator) สร้างกุญแจคู่รหัส (Key Pair) ขึ้น โดยกุญแจสาธารณะนั้นจะประกอบด้วย Public Key และ Private Key ของเครื่องบริการเว็บ (Web Server) เพื่อนำมาใช้ในขั้นตอนการสร้างไฟล์ Certificate Signing Request
          (2) ผู้ดูแลเครื่องบริการเว็บ สร้าง Certificate Signing Request (CSR) โดยไฟล์ CSR ที่มีรูปแบบตามมาตรฐาน RFC 2986 และ PKCS#10 โดยไฟล์ CSR จะประกอบไปด้วย 3 องค์ประกอบหลักดังนี้
                    ก. Certificate Request Information (CRI) ซึ่ง CRI นี้จะประกอบไปด้วย Distinguish Name, Public Key ของเครื่องบริการเว็บ และ Attribute อื่น ๆ เช่น รายละเอียดขององค์กร เป็นต้น (Optional)
                    ข. Signature Algorithm Identifier
                    ค. Digital Signature : เป็นการ Sign ด้วย Private Key ของเครื่องบริการเว็บ เพื่อเป็นการรับรองข้อมูลว่าเป็นความจริง
เมื่อมีข้อมูลครบทั้ง 3 ส่วน เครื่องบริการเว็บจะสร้างไฟล์ CSR โดยในแต่ละเครื่องบริการเว็บจะมีวิธีการสร้างไฟล์ CSR แตกต่างกันไป ยกตัวอย่างเช่น
ใน Microsoft IIS จะมีโปรแกรม IIS Manager เพื่อใช้ในการจัดการข้อมูลต่าง ๆ ที่เกี่ยวกับเครื่องบริการเว็บ และจะมีโมดูลสำหรับสร้างไฟล์ CSR คือ Create Certificate Request ดังรูป
SSL4-2-1.pngใน Apache ผู้ดูแลเครื่องบริการเว็บใช้โมดูลของ Apache ที่ชื่อ Apache OpenSSL ในการสร้างไฟล์ CSR ซึ่ง OpenSSL นี้จะถูกติดตั้งมาแล้ว อยู่ภายใต้ /usr/local/ssl/bin และใช้ command line ในการสร้างทั้งกุญแจคู่รหัสไฟล์ CSR ดังรูป
 
SSL4-2-2.png

(3) ผู้ดูแลเครื่องบริการเว็บนำไฟล์ CSR นี้ส่งไปยังผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ เพื่อส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์ ซึ่งในการส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์นั้น มีข้อสังเกต ดังนี้
                    ก. ถ้าองค์กรของท่านเป็นหน่วยงานของรัฐ จะต้องทำการซื้อใบรับรองอิเล็กทรอนิกส์ผ่านตัวแทนในประเทศไทย ซึ่งผู้ดูแลเครื่องบริการเว็บต้องส่งแบบฟอร์มคำร้องขอใช้งาน ไปพร้อมกับไฟล์ CSR ด้วย เช่น บริษัท iNET เป็นตัวแทนจำหน่าย ใบรับรองอิเล็กทรอนิกส์ของ GlobalSign เป็นต้น
                    ข. ถ้าองค์กรของท่านเป็นหน่วยงานเอกชน สามารถทำการซื้อ ใบรับรองอิเล็กทรอนิกส์ได้โดยตรงจาก Certificate Authority หรือจะทำการซื้อผ่านบริษัทตัวแทนของประเทศไทยก็ได้
                    ค. ปัจจุบัน บริษัท Thai Digital ID หรือ TDID เป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์รายแรกของประเทศไทยที่ได้รับการรับรองตามมาตรฐานสากล Trust Service Principles and Criteria for Certification Authorities Version2.0 (WebTrust for CAs) เช่นเดียวกับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ทั่วโลก ตั้งแต่ปี 2013 ซึ่งสามารถยื่นคำร้องขอใช้งาน ใบรับรองอิเล็กทรอนิกส์พร้อมทั้งเอกสารอื่น ๆ ได้เช่นเดียวกัน รายละเอียดเพิ่มเติมตาม URL http://www.thaidigitalid.com/index.jsp?page=registration_ssl.jsp
          (4) ผู้ดูแลเครื่องบริการเว็บต้องทำการสำรองข้อมูลไฟล์ CSR และ key-pair ไว้ด้วย โดยข้อมูลในส่วนนี้ต้องเก็บเป็นความลับ

3.การติดตั้งใบรับรองอิเล็กทรอนิกส์

เมื่อผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ตรวจสอบตัวตนของผู้ขอใช้บริการและดำเนินการในขั้นตอนต่าง ๆ เพื่ออนุมัติ ใบรับรองอิเล็กทรอนิกส์ให้แก่ผู้ขอใช้บริการตามรูปแบบของ X.509 เรียบร้อย ก็จะสามารถเข้าสู่ขั้นตอนการติดตั้งใบรับรองอิเล็กทรอนิกส์ได้ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะส่งใบรับรองอิเล็กทรอนิกส์ที่เป็นลักษณะไฟล์หรือชุดรหัสข้อความแนบมาพร้อมกัน ส่งถึงอีเมลของผู้ขอใบรับรองอิเล็กทรอนิกส์โดยตรงหรือผ่านตัวแทนจำหน่าย ซึ่งรูปแบบหรือขั้นตอนการติดตั้งจะแตกต่างกันออกไปตามแต่ละบริษัทผู้ให้บริการเครื่องบริการเว็บ ในอีเมลมีรายละเอียดของใบรับรองอิเล็กทรอนิกส์พร้อมวิธีการติดตั้ง SSL ซึ่งโดยหลักแล้วจะมีวิธีการดังนี้
          (1) ผู้ดูแลเครื่องบริการเว็บ (Web Server Administrator) ตรวจสอบก่อนการติดตั้ง ให้แน่ใจว่ามีไฟล์ Certificate สำหรับเตรียมติดตั้งครบถ้วน โดยทั่วไปมักได้แก่
                    ก. Intermediate certificate : เป็น certificate ที่มีมาเพื่อรับรององค์กรที่ร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์ว่ามีตัวตนจริง Intermediate certificate จะออกโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Subordinate CA) ซึ่งได้รับการรับรองจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Root CA)
                    ข. SSL Certificate เป็นใบรับรองอิเล็กทรอนิกส์ของโดเมนเนมที่ร้องขอใช้งาน SSL Certificate
          (2) ผู้ดูแลเครื่องบริการเว็บติดตั้ง Intermediate certificate และ SSL Certificate ตามคู่มือการติดตั้งของบริษัทผู้ให้บริการเครื่องบริการเว็บแต่ละบริษัท ซึ่งวิธีการติดตั้งจะมีอยู่ในอีเมลที่ผู้ดูแลเครื่องบริการเว็บได้รับจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
          (3) เมื่อติดตั้งเสร็จเรียบร้อยแล้ว ผู้ดูแลเครื่องบริการเว็บรีสตาร์ทเครื่องบริการเว็บ

4.การปรับแต่งค่าติดตั้งที่เกี่ยวกับใบรับรองอิเล็กทรอนิกส์​

ปรับแต่งค่าต่าง ๆ ของเครื่องบริการเว็บ (Web Server) เพื่อให้เว็บไซต์ใช้งานใบรับรองอิเล็กทรอนิกส์ได้อย่างสมบูรณ์ โดยการใช้บริการ Configuration Checker จากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เพื่อเป็นการตรวจสอบความครบถ้วนของการปรับแต่งค่าเครื่องบริการเว็บ เช่น GlobalSign จะมีบริการตรวจสอบความครบถ้วนในการติดตั้งและปรับแต่งค่าเพื่อใช้งาน SSL ตาม URL: https://sslcheck.globalsign.com/en_US โดยสามารถใส่ URL ของเว็บไซต์ที่ต้องการทดสอบ เมื่อประมวลผลเสร็จก็จะแสดงระดับที่เว็บไซต์นั้นได้รับ A-F และมีรายการของข้อบกพร่องที่ต้องแก้ไขเพิ่มเติมพร้อมทั้งรายละเอียดโดยคร่าว ผู้ดูแลเครื่องบริการเว็บสามารถนำรายการข้อบกพร่องที่พบทั้งหมดไปปรับปรุงเพิ่มได้ ซึ่งขั้นตอนการปรับแต่งค่าบางอย่างของเครื่องบริการเว็บและเว็บไซต์จะแตกต่างกันไปตามบริษัทผู้ให้บริการของเครื่องบริการเว็บแต่ละบริษัท และใช้เครื่องมือ JavaScript Console ของ Web Browser เพื่อช่วยในการตรวจสอบหน้าเว็บเพจ ว่ามีส่วนใดที่ต้องปรับปรุงแก้ไขเพื่อให้ใช้งานใบรับรองอิเล็กทรอนิกส์ได้อย่างเต็มประสิทธิภาพ ยกตัวอย่างเช่น Google Chrome ให้เปิด Google Chrome แล้วกดปุ่ม Tool > JavaScript Console ก็จะปรากฏหน้าต่างดังภาพ ซึ่งถ้ามีข้อบกพร่องใด ๆ ก็จะปรากฏในหน้าต่างนี้

SSL4-4-1.png

ซึ่งส่วนใหญ่ข้อกำหนดพื้นฐานที่ต้องนำไปปฏิบัติตาม มีดังนี้
          ก. Disable การใช้งาน PCT1.0, SSL2.0, SSL3.0
          ข. Enable การใช้งาน TLS1.0, TLS1.1, TLS1.2
          ค. กำหนดรูปแบบการเข้ารหัสลับในการรับ-ส่งข้อมูลผ่านโพรโทคอล https ตาม Cipher suite ที่เลือก (รายละเอียดตาม 5.1.3)
          ง. ปรับค่าเครื่องบริการเว็บให้รับ-ส่งข้อมูลจาก port 443 ซึ่งเป็น port พื้นฐานของการใช้โพรโทคอล https ซึ่งถ้าก่อนหน้านี้ เครื่องบริการเว็บไม่เคยใช้งาน port 443 นี้มาก่อน port 443 จะถูกปิดอยู่
          จ. ปิด port ทั้งหมดที่นอกเหนือจาก port 443 และ อัพเดตโครงสร้างระบบเครือข่าย เช่น firewall ควร block request ทั้งหมดที่พยายามเชื่อมต่อมาทาง port อื่น ๆ แต่ถ้าเครื่องบริการเว็บเป็นแม่ข่ายให้ทั้ง HTTP และ HTTPS ก็ควรเปิด port 80 ไว้ด้วย
          ฉ. ปรับแต่งค่าโครงสร้างเว็บไซต์เพื่อให้รองรับ SSL/TLS เช่น ตรวจสอบและแก้ไข URL ทั้งหมดในเว็บไซต์ ให้มีการเรียกใช้จากโพรโทคอล HTTPS เท่านั้น และตรวจสอบการเรียกใช้ URL จากภายนอกที่โพรโทคอล HTTPS แจ้งเตือนว่าไม่มั่นคงปลอดภัย
เมื่อติดตั้งและปรับแต่งค่าทั้งหมดเสร็จเรียบร้อย ผู้ดูแลเว็บไซต์ทดลองเข้าเว็บไซต์จาก Web Browser ต่าง ๆ เพื่อตรวจสอบเว็บไซต์ว่าสามารถเข้าถึงด้วย HTTPS หรือไม่ ซึ่งถ้ากระบวนการต่าง ๆ เสร็จสมบูรณ์จะปรากฏ ดังนี้

1. Google Chrome

SSL4-4-2.png
 ในกรณีที่ไม่เป็นสัญลักษณ์กุญแจสีเขียว สามารถตรวจสอบสาเหตุได้ตาม URL: https://support.google.com/chrome/

 2. Internet Explorer​
 
SSL4-4-3.png

3. Mozilla Firefox

SSL4-4-4.png

และผู้ดูแลเครื่องบริการเว็บต้องทำการสำรองข้อมูลไฟล์ SSL Certificate ไว้ด้วย โดยข้อมูลในส่วนนี้ต้องเก็บเป็นความลับ

5.การบำรุงรักษาใบรับรองอิเล็กทรอนิกส์​

เมื่อติดตั้งและปรับแต่งค่าเครื่องบริการเว็บและเว็บไซต์เพื่อให้ใช้งานใบรับรองอิเล็กทรอนิกส์เรียบร้อย ผู้ดูแลเครื่องบริการเว็บ (Web Server Administrator) ดำเนินการตังนี้เพื่อบำรุงรักษาใบรับรองอิเล็กทรอนิกส์
          (1) หมั่นตรวจสอบวันหมดอายุของใบรับรองอิเล็กทรอนิกส์
เนื่องจากใบรับรองอิเล็กทรอนิกส์จะมีอายุใช้งานคราวละ 1 ปี ทำให้เมื่อใกล้ครบอายุ ผู้ดูแลเครื่องบริการเว็บต้องทำการ Renew Certificate จากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เดิม โดยขั้นตอนการ Renew Certificate ก็จะเหมือนกับขั้นตอนการขอใช้งานใบรับรองอิเล็กทรอนิกส์ใหม่ เริ่มต้นตั้งแต่การส่งคำรัองขอใช้งานใบรับรองอิเล็กทรอนิกส์ เพราะในการต่ออายุใบรับรองอิเล็กทรอนิกส์นั้น จะดำเนินการสร้างกุญแจคู่รหัสขึ้นมาใหม่และออกใบรับรองอิเล็กทรอนิกส์ใบใหม่แทนใบเดิมที่หมดอายุ
          (2) หมั่นตรวจสอบความต้องการและลักษณะขององค์กรเสมอ ว่าต้องการใบรับรองอิเล็กทรอนิกส์ที่มั่นคงปลอดภัยมากขึ้นหรือไม่


Tips:
เมื่อเว็บไซต์ของท่านสามารถเชื่อมต่อแบบเข้ารหัส HTTPS ได้แล้ว ก็ต้องหมั่นตรวจสอบข่าวสารของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์อยู่เสมอ ว่ามีความน่าเชื่อถือมากขึ้นหรือน้อยลงอย่างไร เพื่อช่วยเลือกใช้บริการกับผู้ให้บริการฯ ที่น่าเชื่อถือที่สุด โดยผู้ดูแลเว็บไซต์สามารถเปลี่ยนผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ได้ โดยขั้นตอนนั้นก็จะเหมือนกับขั้นตอนการขอใช้งานใบรับรองอิเล็กทรอนิกส์ใหม่นั่นเอง


แหล่งข้อมูล:
https://blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/
https://support.google.com/chrome/a/answer/7679408?hl=en#68
https://www.blognone.com/node/104098
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices


 

Rating :
Avg: 0 (0 ratings)