GOOGLE CHROME ขึ้นแจ้งเตือน “NOT SECURE” กับเว็บไซต์ที่ไม่ได้เข้ารหัส HTTPS และแนวทางเลือกใช้ SSL CERTIFICATE กับเว็บไซต์ เพื่อการเชื่อมต่อแบบ HTTPS

Google Chrome ขึ้นแจ้งเตือน “Not Secure” กับเว็บไซต์ที่ไม่ได้เข้ารหัส HTTPS สิ่งนี้ส่งผลกระทบต่อความน่าเชื่อถือ ความเชื่อมมั่นของผู้ใช้บริการที่เข้าถึงเว็บไซต์ของหน่วยงาน ทั้งนี้จะทำให้เว็บไซต์ของเราเชื่อมต่อแบบ HTTPS ต้องทำอย่างไรบ้างบทความนี้มีคำตอบ

Source: Blog Google

เมื่อปี 2016 Google ประกาศนโยบายผลักดันให้ทุกเว็บไซต์หันมาใช้การเชื่อมต่อแบบเข้ารหัส หรือ HTTPS แทนการเชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP โดยเว็บไซต์ที่เชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP จะเปิดโอกาสให้ผู้ประสงค์ร้ายสามารถลอบฟัง (Eavesdropping) แก้ไขให้เสียหาย (Tampering) และปลอมแปลงข้อมูล (Message forgery) ในระหว่างการเรียกเว็บไซต์นั้น ๆ ได้ แต่ถ้าเว็บไซต์เชื่อมต่อแบบเข้ารหัส หรือ HTTPS แล้ว การเชื่อมต่อ และข้อมูลทั้งหมด เช่น รหัสผ่านหรือข้อมูลบัตรเครดิต จะถูกเข้ารหัสไว้ ป้องกันไม่ให้ผู้ประสงค์ร้ายสามารถลอบฟัง แก้ไขและปลอมแปลงข้อมูลนั้น ๆ ได้

ซึ่ง Google เปิดเผยสถิติว่าหลังจากประกาศไปแล้วนั้น อัตราส่วนของเว็บไซต์ที่ใช้การเชื่อมต่อแบบเข้ารหัส HTTPS มีเพิ่มขึ้นมาก จากเดิมที่มีอัตราส่วนการใช้ HTTPS 67% เพิ่มเป็น 85% และในกลุ่มเว็บไซต์ยอดนิยม Top100 จากเดิมที่ใช้การเชื่อมต่อแบบ HTTPS เป็น default มี 37% ก็เพิ่มขึ้นเป็น 83%

เมื่อก่อน เวลาเข้าเว็บไซต์ที่เชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP บน Address Bar จะแสดง URL แบบปกติ แต่ในเดือนกรกฎาคม 2018 นี้ Chrome ได้ปล่อยให้ผู้ใช้บริการอัพเดต Chrome เวอร์ชัน 68 ซึ่งในเวอร์ชันนี้การเปลี่ยนแปลงที่สำคัญคือ Chrome จะแสดงข้อความ “Not Secure” หรือ “ไม่ปลอดภัย” เป็นตัวอักษรสีเทา กับทุกเว็บไซต์ที่ยังใช้การเชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP ดังรูป

และ Google ได้ประกาศต่ออีกว่าใน Chrome เวอร์ชัน 70 ที่จะปล่อยให้เริ่มอัพเดตในเดือนตุลาคมนี้ ถ้าผู้ใช้บริการป้อนข้อมูลลงในแบบฟอร์ม เช่น หน้าสำหรับ Login บนเว็บไซต์ที่เชื่อมต่อแบบไม่เข้ารหัส หรือ HTTP คำว่า “Not Secure” สีเทา จะเปลี่ยนเป็นสีแดง เพื่อเพิ่มระดับการเตือนผู้ใช้งานให้ทราบว่าข้อมูลที่กรอกลงไปนั้นจะถูกส่งผ่านอินเทอร์เน็ตโดยไม่มีการเข้ารหัส ดังรูป

จะต่างกับเว็บไซต์ที่เข้ารหัสด้วย HTTPS แล้ว ผู้ใช้บริการจะเห็นข้อความ “Secure” สีเขียว พร้อมรูปแม่กุญแจ เพื่อแสดงให้ผู้ใช้บริการรู้ว่าเว็บไซต์ที่กำลังใช้งานอยู่ได้เข้ารหัสเรียบร้อย เพิ่มความมั่นใจให้ผู้ใช้บริการได้อีกขั้นว่าสามารถใช้งานได้อย่างปลอดภัย ดังรูป

ซึ่งต่อไป การทำให้เว็บไซต์เชื่อมต่อแบบเข้ารหัส HTTPS จะกลายเป็นเรื่องพื้นฐาน ผู้ดูแลเว็บไซต์ควรตระหนัก และปรับเปลี่ยนให้เว็บไซต์ที่อยู่ในความดูแลเป็น HTTPS ทั้งหมด

เปลี่ยนมาใช้การเชื่อมต่อแบบเข้ารหัส HTTPS

เริ่มจากขอใบรับรองอิเล็กทรอนิกส์ประเภทเว็บไซต์ หรือ SSL Certificate จากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือ และเลือกประเภทของ SSL Certificate ให้เหมาะสมกับเว็บไซต์ ซึ่งจะขึ้นอยู่กับลักษณะงานขององค์กรและเนื้อหาของเว็บไซต์ ดังนั้นควรเลือกใช้งานใบรับรองอิเล็กทรอนิกส์ที่เหมาะสม โดยใบรับรองอิเล็กทรอนิกส์สำหรับเว็บไซต์มีอยู่ 3 ประเภท ได้แก่

ประเภทที่ 1 Domain Validation : เป็นใบรับรองที่เข้ารหัสระดับ 128-256 บิต ตรวจสอบความเป็นเจ้าของ โดเมนว่าตรงกับข้อมูลผู้ขอใบรับรอง SSL หรือไม่ก่อนการอนุมัติ ทำให้มีความมั่นคงปลอดภัยและมีความน่าเชื่อถือ

ประเภทที่ 2 Organization Validation : เป็นใบรับรองสำหรับองค์กรที่ต้องการเพิ่มความน่าเชื่อถือ โดยมีการตรวจสอบองค์กรที่ขอใบรับรอง SSL ว่ามีอยู่จริงหรือไม่ มีการยืนยันข้อมูลผู้ขอใบรับรอง SSL ทางโทรศัพท์ (Verify Call) โดยขั้นต้นเข้ารหัสลับที่ 128 บิต และ สูงสุดที่ 256 บิต ทำให้มีความมั่นคงปลอดภัยและมีความน่าเชื่อถือสูง

ประเภทที่ 3 Extended Validation : เป็นใบรับรองระดับสูงสุด โดยมีการตรวจสอบข้อมูลอย่างเข้มงวดถึงความเป็นเจ้าของโดเมนและตรวจสอบตัวตนขององค์กร เช่น การตรวจสอบว่าองค์กรมีอยู่จริง โดยอาจจะมีการขอเอกสารทางกฎหมายอื่น ๆ ของหน่วยงาน, การให้เจ้าหน้าที่มาตรวจสอบที่อยู่ขององค์กรว่ามีตัวตนตั้งอยู่ตามที่อยู่ที่ลงทะเบียนไว้หรือไม่ เป็นต้น โดยต้องให้นักกฎหมาย (Third Party) หรือผู้ที่มีตั๋วทนายจากสภาทนายความแห่งประเทศไทย ลงนามรับรองเอกสารขององค์กรด้วย โดยขั้นต้นเข้ารหัสลับที่ 128 บิต และ สูงสุดที่ 256 บิต ซึ่งเหมาะกับองค์กรที่ต้องการความน่าเชื่อถือสูง เช่น เว็บไซต์ธนาคาร เป็นต้น

เมื่อเลือกประเภทของใบรับรองอิเล็กทรอนิกส์ที่เหมาะสมได้แล้ว ก็จะเข้าสู่กระบวนการส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์และการติดตั้งใบรับรองอิเล็กทรอนิกส์ ซึ่งมีขั้นตอนที่เกี่ยวข้องทั้งหมด 5 ขั้นตอน ได้แก่
1. เลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์สำหรับเว็บไซต์ที่น่าเชื่อถือ
2. การส่งคำร้องขอใช้งานใบรับรองอิเล็กทรอนิกส์
3. การติดตั้งใบรับรองอิเล็กทรอนิกส์
4. การปรับแต่งค่าติดตั้งที่เกี่ยวกับใบรับรองอิเล็กทรอนิกส์
5. การบำรุงรักษาใบรับรองอิเล็กทรอนิกส์
รายละเอียดแต่ละขั้นตอน ดังนี้

1. เลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
2. การส่งคำร้อง
3. การติดตั้ง
4. การปรับแต่งค่าติดตั้ง
5. การบำรุงรักษา

เลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์สำหรับเว็บไซต์ที่น่าเชื่อถือ

การเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เป็นตัวแปรหนึ่งที่มีความสำคัญต่อความมั่นคงปลอดภัย เพราะจะเป็นส่วนที่ทำให้ผู้ใช้บริการเว็บไซต์สามารถมั่นใจได้ว่าเว็บไซต์ที่ตัวเองกำลังใช้บริการนั้นมีตัวตนอยู่จริงและได้รับการรับรองจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือ ซึ่งแนวทางสำหรับการเลือกใช้บริการจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ มีดังต่อไปนี้
(1) สำหรับการเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่น่าเชื่อถือภายในประเทศไทย เจ้าของเว็บไซต์หรือผู้ดูแลเครื่องบริการเว็บควรขอใบรับรองอิเล็กทรอนิกส์จากผู้ให้บริการที่ได้รับการรับรองจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (Thailand National Root Certification Authority) ซึ่งสามารถตรวจสอบรายชื่อของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่ได้รับการรับรองจาก URL: www.nrca.go.th/content/issue-cert.html
(2) สำหรับการเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ในต่างประเทศ เจ้าของเว็บไซต์หรือผู้ดูแลเครื่องบริการเว็บควรเลือกผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ที่ผ่านการตรวจประเมินการดำเนินกิจการตามมาตรฐานสากลเช่น มาตรฐาน Web Trust เป็นต้น ยกตัวอย่างเช่น DigiCert และ GlobalSign เป็นต้น
(3) เจ้าของเว็บไซต์หรือผู้ดูแลเครื่องบริการเว็บ (Web Server Administrator) ที่ขอใช้บริการควรศึกษารายละเอียดของแนวนโยบาย (Certificate policy) และแนวปฏิบัติ (Certification practice statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์อย่างรอบคอบ รวมถึงศึกษารายละเอียดและเงื่อนไขการให้บริการของใบรับรองอิเล็กทรอนิกส์แต่ละประเภท
(4) ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์อย่างน้อยต้องให้บริการข้อมูลของรายการเพิกถอนใบรับรองอิเล็กทรอนิกส์ (Certificate Revocation List (CRL)) โดยในส่วนของบริการอื่น ๆ ผู้ใช้บริการสามารถนำมาใช้ในการพิจารณาเลือกใช้บริการได้เช่น มีบริการโพรโทคอลโอซีเอสพี (Online Certificate Status Protocol (OCSP)) สำหรับการตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส์ทางออนไลน์ หรือมีบริการออกใบรับรองอิเล็กทรอนิกส์ประเภท Domain-validated และใบรับรองอิเล็กทรอนิกส์ประเภท Extended Validation เป็นต้น

Tips:
เมื่อเว็บไซต์ของท่านสามารถเชื่อมต่อแบบเข้ารหัส HTTPS ได้แล้ว ก็ต้องหมั่นตรวจสอบข่าวสารของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์อยู่เสมอ ว่ามีความน่าเชื่อถือมากขึ้นหรือน้อยลงอย่างไร เพื่อช่วยเลือกใช้บริการกับผู้ให้บริการฯ ที่น่าเชื่อถือที่สุด โดยผู้ดูแลเว็บไซต์สามารถเปลี่ยนผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ได้ โดยขั้นตอนนั้นก็จะเหมือนกับขั้นตอนการขอใช้งานใบรับรองอิเล็กทรอนิกส์ใหม่นั่นเอง

แหล่งข้อมูล:
https://blog.google/products/chrome/milestone-chrome-security-marking-http-not-secure/
https://support.google.com/chrome/a/answer/7679408?hl=en#68
https://www.blognone.com/node/104098
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices

ที่มา : ETDA