ใบรับรอง HTTPS และ SSL: ทำให้เว็บไซต์ของคุณปลอดภัย (และทำไมคุณควร)

เมื่อพูดถึงการส่งข้อมูลส่วนบุคคลทางอินเทอร์เน็ต ไม่ว่าจะเป็นข้อมูลติดต่อ ข้อมูลการเข้าสู่ระบบ ข้อมูลบัญชี ข้อมูลตำแหน่ง หรือสิ่งอื่นใดที่อาจถูกนำไปใช้ในทางที่ผิด สาธารณชนมักจะหวาดระแวงอย่างมากเกี่ยวกับแฮกเกอร์และขโมยข้อมูลระบุตัวตน และถูกต้องเช่นนั้น ความกลัวว่าข้อมูลของคุณอาจถูกขโมย ดัดแปลง หรือยักยอกนั้นยังห่างไกลจากความไร้เหตุผล พาดหัวข่าวเกี่ยวกับการรั่วไหลและการละเมิดความปลอดภัยในช่วงสองสามทศวรรษที่ผ่านมาพิสูจน์ให้เห็นแล้ว แม้จะมีความกลัวนี้ ผู้คนก็ยังคงเข้าสู่ระบบเพื่อทำการธนาคาร ช้อปปิ้ง บันทึกการออกเดท การเข้าสังคม และธุรกิจส่วนตัวและอาชีพอื่นๆ บนเว็บ และมีสิ่งเล็กๆ น้อยๆ อย่างหนึ่งที่ทำให้พวกเขามั่นใจในการทำเช่นนี้ ฉันจะแสดงให้คุณดู:

แม้ว่าจะไม่ใช่ทุกคนเข้าใจวิธีการทำงาน แต่กุญแจเล็กๆ ในแถบที่อยู่จะส่งสัญญาณให้ผู้ใช้เว็บทราบว่าพวกเขามีการเชื่อมต่อที่เชื่อถือได้ไปยังเว็บไซต์ที่ถูกต้อง หากผู้เข้าชมไม่เห็นสิ่งนั้นในแถบที่อยู่เมื่อพวกเขาดึงเว็บไซต์ของคุณขึ้นมา คุณจะไม่—และไม่ควร—ได้ธุรกิจของพวกเขา

หากต้องการใช้แม่กุญแจแถบที่อยู่เล็กๆ สำหรับเว็บไซต์ของคุณ คุณต้องมีใบรับรอง SSL คุณได้รับหนึ่งได้อย่างไร? การอ่านเพื่อหา.

โครงร่างบทความ:

• SSL/TLS คืออะไร?
• วิธีใช้ HTTPS
• ใบรับรอง SSL คืออะไร และฉันจะได้รับได้อย่างไร
• คู่มือการซื้อใบรับรอง SSL
  • ผู้ออกใบรับรอง
  • การตรวจสอบโดเมนกับการตรวจสอบเพิ่มเติม
  • SSL ที่ใช้ร่วมกันกับ SSL ส่วนตัว
  • เชื่อถือซีล
  • ใบรับรอง Wildcard SSL
  • การรับประกัน
  • ใบรับรอง SSL ฟรีและใบรับรอง SSL ที่ลงนามด้วยตนเอง
• การติดตั้งใบรับรอง SSL
• ข้อดีและข้อเสียของ HTTPS

SSL/TLS คืออะไร?

บนเว็บ ข้อมูลจะถูกถ่ายโอนโดยใช้ Hypertext Transfer Protocol นั่นเป็นสาเหตุที่ URL ของหน้าเว็บทั้งหมดมี “http://” หรือ “http s ://” อยู่ข้างหน้า

http และ https ต่างกันอย่างไร S เล็กๆ น้อยๆ ที่พิเศษนั้นมีผลกระทบอย่างมาก: ความปลอดภัย

ให้ฉันอธิบาย.

HTTP คือ “ภาษา” ที่คอมพิวเตอร์และเซิร์ฟเวอร์ของคุณใช้เพื่อสื่อสารกัน ภาษานี้เป็นที่เข้าใจกันทั่วโลกซึ่งสะดวก แต่ก็มีข้อเสียเช่นกัน เมื่อข้อมูลถูกส่งระหว่างคุณและเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ต ข้อมูลจะหยุดระหว่างทางก่อนที่จะถึงจุดหมายปลายทางสุดท้าย สิ่งนี้ก่อให้เกิดความเสี่ยงใหญ่สามประการ:

• อาจมีใครบางคนแอบฟังบทสนทนาของคุณ (เหมือนกับการดักฟังทางดิจิทัล)

• ใครบางคนอาจแอบอ้างเป็นฝ่ายใดฝ่ายหนึ่ง (หรือทั้งสอง) ทั้งสองฝ่าย

• ว่ามีคนอาจยุ่งเกี่ยวกับข้อความที่กำลังถ่ายโอน

แฮกเกอร์และผู้ไม่ประสงค์ดีใช้สิ่งที่กล่าวมาข้างต้นร่วมกันในการหลอกลวงและการปล้น รวมถึงอุบายฟิชชิ่ง การโจมตีแบบแทรกกลาง และการโฆษณาที่ล้าสมัย การโจมตีที่เป็นอันตรายอาจทำได้ง่ายเพียงแค่ดมข้อมูลประจำตัวของ Facebook โดยการสกัดกั้นคุกกี้ที่ไม่ได้เข้ารหัส (การดักฟัง) หรืออาจมีความซับซ้อนมากขึ้น ตัวอย่างเช่น คุณอาจคิดว่าคุณกำลังบอกธนาคารของคุณ: “โปรดโอนเงิน $100 ไปยัง ISP ของฉัน” แต่มีคนที่อยู่ตรงกลางอาจแก้ไขข้อความเป็น: “โปรดโอนเงินทั้งหมดของฉัน $100 ไปยัง ISP Peggy ในไซบีเรียของฉัน” (การดัดแปลงข้อมูล และการแอบอ้าง)

นั่นคือปัญหาของ HTTP เพื่อแก้ไขปัญหาเหล่านั้น HTTP สามารถซ้อนชั้นกับโปรโตคอลความปลอดภัยได้ ส่งผลให้เกิด HTTP Secure (HTTPS) โดยทั่วไปแล้ว S ใน HTTPS นั้นมาจากโปรโตคอล Secure Sockets Layer (SSL) หรือโปรโตคอล Transport Layer Security (TLS) ที่ใหม่กว่า เมื่อใช้งาน HTTPS จะมีการเข้ารหัส แบบสองทิศทาง (เพื่อป้องกันการดักฟัง) การตรวจสอบความถูกต้องของเซิร์ฟเวอร์ (เพื่อป้องกันการแอบอ้างบุคคลอื่น) และการตรวจสอบความถูกต้องของข้อความ (เพื่อป้องกันการปลอมแปลงข้อมูล)

วิธีใช้ HTTPS

เช่นเดียวกับภาษาพูด HTTPS ใช้งานได้ก็ต่อเมื่อทั้งสองฝ่ายเลือกที่จะพูดเท่านั้น ในฝั่งไคลเอ็นต์ การเลือกใช้ HTTPS สามารถทำได้โดยการพิมพ์ “https” ลงในแถบที่อยู่ของเบราว์เซอร์ก่อน URL (เช่น แทนที่จะพิมพ์ http://www.facebook.com ให้พิมพ์ https://www.facebook .com) หรือโดย การติดตั้งส่วนขยายที่บังคับใช้ HTTPS โดยอัตโนมัติ เช่น HTTPS ทุกที่สำหรับFirefoxและChrome เมื่อเว็บเบราว์เซอร์ของคุณใช้ HTTPS คุณจะเห็นไอคอนรูปแม่กุญแจ แถบเบราว์เซอร์สีเขียว ยกนิ้วโป้ง หรือสัญญาณอื่นๆ ที่ยืนยันว่าการเชื่อมต่อของคุณกับเซิร์ฟเวอร์นั้นปลอดภัย

อย่างไรก็ตาม หากต้องการใช้ HTTPS เว็บเซิร์ฟเวอร์จะต้องรองรับ หากคุณเป็นเว็บมาสเตอร์และต้องการเสนอ HTTPS ให้กับผู้เยี่ยมชมเว็บ คุณจะต้องมีใบรับรอง SSL หรือใบรับรอง TLS คุณจะได้รับใบรับรอง SSL หรือ TLS ได้อย่างไร อ่านต่อ

อ่านเพิ่มเติม: เว็บแอปยอดนิยมบางตัวให้คุณเลือก HTTPS ในการตั้งค่าผู้ใช้ของคุณ อ่านบทความของเราบนFacebook , GmailและTwitter

ใบรับรอง SSL คืออะไร และฉันจะได้รับใบรับรองได้อย่างไร

ในการใช้ HTTPS เว็บเซิร์ฟเวอร์ของคุณต้องมีใบรับรอง SSL หรือใบรับรอง TLS ติดตั้งอยู่ ใบรับรอง SSL / TLS นั้นเหมือนกับบัตรประจำตัวที่มีรูปถ่ายสำหรับเว็บไซต์ของคุณ เมื่อเบราว์เซอร์ที่ใช้ HTTPS เข้าถึงหน้าเว็บของคุณ เบราว์เซอร์จะทำการ "แฮนด์เชค" ซึ่งในระหว่างนั้นคอมพิวเตอร์ไคลเอนต์จะขอใบรับรอง SSL จากนั้นใบรับรอง SSL จะได้รับการตรวจสอบโดยผู้ออกใบรับรองที่เชื่อถือได้ (CA) ซึ่งจะตรวจสอบว่าเซิร์ฟเวอร์เป็นใครตามที่แจ้งไว้ หากทุกอย่างเรียบร้อยดี ผู้เยี่ยมชมเว็บไซต์ของคุณจะได้รับเครื่องหมายถูกสีเขียวหรือไอคอนแม่กุญแจ หากมีสิ่งผิดปกติเกิดขึ้น พวกเขาจะได้รับคำเตือนจากเว็บเบราว์เซอร์ที่ระบุว่าไม่สามารถยืนยันตัวตนของเซิร์ฟเวอร์ได้

การเลือกซื้อใบรับรอง SSL

เมื่อเป็นเรื่องของการติดตั้งใบรับรอง SSL บนเว็บไซต์ของคุณ มีพารามิเตอร์มากมายให้เลือกตัดสินใจ มาดูสิ่งที่สำคัญที่สุดกันดีกว่า:

ผู้ออกใบรับรอง

ผู้ออกใบรับรอง (CA) คือบริษัทที่ออกใบรับรอง SSL ของคุณ และเป็นบริษัทที่จะตรวจสอบใบรับรองของคุณทุกครั้งที่มีผู้เยี่ยมชมมาที่เว็บไซต์ของคุณ แม้ว่าผู้ให้บริการใบรับรอง SSL แต่ละรายจะแข่งขันกันในด้านราคาและฟีเจอร์ต่างๆ แต่สิ่งสำคัญอันดับหนึ่งที่ต้องพิจารณาเมื่อตรวจสอบผู้ออกใบรับรองก็คือพวกเขามีใบรับรองที่ติดตั้งไว้ล่วงหน้าบนเว็บเบราว์เซอร์ยอดนิยมหรือไม่ หากผู้ออกใบรับรองที่ออกใบรับรอง SSL ของคุณไม่อยู่ในรายการนั้น ผู้ใช้จะได้รับคำเตือนว่าใบรับรองความปลอดภัยของเว็บไซต์ไม่น่าเชื่อถือ แน่นอนว่า นี่ไม่ได้หมายความว่าเว็บไซต์ของคุณผิดกฎหมาย แต่เพียงหมายความว่า CA ของคุณยังไม่อยู่ในรายชื่อ (ยัง) นี่เป็นปัญหาเนื่องจากผู้ใช้ส่วนใหญ่จะไม่ต้องกังวลกับการอ่านคำเตือนหรือค้นหา CA ที่ไม่รู้จัก พวกเขาอาจจะคลิกออกไป

โชคดีที่รายการ CA ที่ติดตั้งไว้ล่วงหน้าบนเบราว์เซอร์หลักๆ มีขนาดค่อนข้างใหญ่ ประกอบด้วยแบรนด์ดังๆ รวมถึง CA ที่ไม่ค่อยมีคนรู้จักและมีราคาไม่แพงนัก ชื่อครัวเรือน ได้แก่Verisign , Go Daddy , Comodo, Thawte, Geotrust และ Entrust

คุณยังสามารถดูการตั้งค่าเบราว์เซอร์ของคุณเองเพื่อดูว่ามีผู้ออกใบรับรองรายใดบ้างที่ติดตั้งไว้ล่วงหน้า

• สำหรับ Chrome ให้ไปที่การตั้งค่า -> แสดงการตั้งค่าขั้นสูง… -> จัดการใบรับรอง
• สำหรับ Firefox ให้ทำตัวเลือก -> ขั้นสูง -> ดูใบรับรอง
• สำหรับ IE ตัวเลือกอินเทอร์เน็ต -> เนื้อหา -> ใบรับรอง
• สำหรับ Safari ให้ไปที่ Finder แล้วเลือก Go -> Utilities -> KeyChain Access แล้วคลิก System

การตรวจสอบโดเมนกับการตรวจสอบเพิ่มเติม

ใบรับรอง SSL มีไว้เพื่อพิสูจน์ตัวตนของเว็บไซต์ที่คุณกำลังส่งข้อมูลไป เพื่อให้แน่ใจว่าผู้คนไม่ได้ใช้ใบรับรอง SSL ปลอมสำหรับโดเมนที่พวกเขาไม่ได้ควบคุมอย่างถูกต้อง ผู้ออกใบรับรองจะตรวจสอบว่าบุคคลที่ขอใบรับรองนั้นเป็นเจ้าของชื่อโดเมนจริง ๆ โดยทั่วไป การดำเนินการนี้จะกระทำผ่านการตรวจสอบอีเมลหรือโทรศัพท์อย่างรวดเร็ว คล้ายกับการที่เว็บไซต์ส่งอีเมลพร้อมลิงก์ยืนยันบัญชีถึงคุณ สิ่งนี้เรียกว่าใบรับรอง SSL ที่ผ่านการตรวจสอบโดเมน ข้อดีคือสามารถออกใบรับรอง SSL ได้เกือบจะในทันที คุณอาจไปรับใบรับรอง SSL ที่ผ่านการตรวจสอบโดเมนได้ในเวลาน้อยกว่าที่คุณอ่านโพสต์บนบล็อกนี้ ด้วยใบรับรอง SSL ที่ตรวจสอบโดเมนแล้ว คุณจะได้รับกุญแจล็อคและความสามารถในการเข้ารหัสการรับส่งข้อมูลของเว็บไซต์ของคุณ

ข้อดีของใบรับรอง SSL ที่ตรวจสอบโดเมนแล้วคือ ได้มาอย่างรวดเร็ว ง่ายดาย และราคาถูก นี่เป็นข้อเสียเปรียบของพวกเขาด้วย ดังที่คุณคงจินตนาการได้ การหลอกลวงระบบอัตโนมัตินั้นง่ายกว่าระบบที่ดำเนินการโดยมนุษย์ มันเหมือนกับว่าเด็กมัธยมปลายบางคนเดินเข้าไปใน DMV โดยบอกว่าเขาคือบารัค โอบามา และต้องการขอบัตรประจำตัวที่ออกโดยรัฐบาล คนที่โต๊ะจะมองดูเขาแล้วโทรหา Feds (หรือถังขยะ) แต่ถ้าเป็นหุ่นยนต์ที่ทำงานตู้แสดงบัตรประจำตัว เขาอาจมีโชคอยู่บ้าง ในทำนองเดียวกัน นักฟิชชิ่งสามารถรับ “รหัสปลอม” สำหรับเว็บไซต์ เช่น Paypal, Amazon หรือ Facebook โดยการหลอกระบบตรวจสอบความถูกต้องของโดเมน ในปี 2009 Dan Kaminsky เผยแพร่ตัวอย่างวิธีการหลอกลวง CA เพื่อรับใบรับรองที่จะทำให้เว็บไซต์ฟิชชิ่งดูเหมือนเป็นการเชื่อมต่อที่ปลอดภัยและถูกกฎหมาย สำหรับมนุษย์ การหลอกลวงนี้สังเกตได้ง่าย อย่างไรก็ตาม การตรวจสอบความถูกต้องของโดเมนแบบอัตโนมัติในขณะนั้นยังขาดการตรวจสอบที่จำเป็นเพื่อป้องกันเหตุการณ์เช่นนี้

เพื่อตอบสนองต่อช่องโหว่ของ SSL และใบรับรอง SSL ที่ผ่านการตรวจสอบโดเมน อุตสาหกรรมจึงได้เปิดตัวใบรับรองExtended Validation ในการรับใบรับรอง EV SSL บริษัทหรือองค์กรของคุณจะต้องผ่านการตรวจสอบอย่างเข้มงวดเพื่อให้แน่ใจว่าอยู่ในสถานะที่ดีกับรัฐบาลของคุณและควบคุมโดเมนที่คุณสมัครอย่างถูกต้อง การตรวจสอบเหล่านี้จำเป็นต้องใช้องค์ประกอบของมนุษย์ จึงใช้เวลานานกว่าและมีราคาแพงกว่า

ในบางอุตสาหกรรม จำเป็นต้องมีใบรับรอง EV แต่สำหรับคนอื่นๆ ผลประโยชน์จะอยู่ที่สิ่งที่ผู้เยี่ยมชมของคุณจะจดจำได้เท่านั้น สำหรับผู้เยี่ยมชมเว็บไซต์ทุกวัน ความแตกต่างนั้นเล็กน้อย นอกจากไอคอนแม่กุญแจแล้ว แถบที่อยู่จะเปลี่ยนเป็นสีเขียวและแสดงชื่อบริษัทของคุณ หากคุณคลิกเพื่อดูข้อมูลเพิ่มเติม คุณจะเห็นว่าข้อมูลประจำตัวของบริษัทได้รับการยืนยันแล้ว ไม่ใช่แค่เว็บไซต์เท่านั้น

นี่คือตัวอย่างของไซต์ HTTPS ปกติ:

และนี่คือตัวอย่างไซต์ HTTPS ของใบรับรอง EV:

ใบรับรอง EV อาจไม่คุ้มค่า ทั้งนี้ขึ้นอยู่กับอุตสาหกรรมของคุณ นอกจากนี้ คุณต้องเป็นธุรกิจหรือองค์กรจึงจะรับได้ แม้ว่าบริษัทขนาดใหญ่มีแนวโน้มจะได้รับการรับรอง EV คุณจะสังเกตเห็นว่าไซต์ HTTPS ส่วนใหญ่ยังคงใช้รูปแบบที่ไม่ใช่ EV ถ้ามันดีพอสำหรับ Google, Facebook และ Dropbox บางทีมันอาจจะดีพอสำหรับคุณ

อีกประการหนึ่ง: มีตัวเลือกกลางทางที่เรียกว่าการรับรองที่ตรวจสอบโดยองค์กรหรือ ที่ตรวจ สอบโดยธุรกิจ นี่เป็นการตรวจสอบที่ละเอียดกว่าการตรวจสอบความถูกต้องของโดเมนแบบอัตโนมัติ แต่ก็ไม่ได้เป็นไปตามข้อบังคับอุตสาหกรรมสำหรับใบรับรอง Extended Validation (โปรดสังเกตว่า Extended Validation เป็นตัวพิมพ์ใหญ่อย่างไร และ “การตรวจสอบระดับองค์กร” ไม่ได้เป็นเช่นนั้น) การรับรอง OV หรือการรับรองทางธุรกิจมีค่าใช้จ่ายสูงและใช้เวลานานกว่า แต่จะไม่แสดงแถบที่อยู่สีเขียวและข้อมูลการยืนยันตัวตนของบริษัท จริงๆ แล้ว ฉันไม่สามารถนึกถึงเหตุผลที่ต้องจ่ายค่าใบรับรอง OV ได้ หากคุณสามารถคิดได้โปรดให้ความกระจ่างแก่ฉันในความคิดเห็น

SSL ที่ใช้ร่วมกันกับ SSL ส่วนตัว

โฮสต์เว็บบางแห่งเสนอบริการ SSL ที่ใช้ร่วมกัน ซึ่งมักจะมีราคาไม่แพงกว่า SSL ส่วนตัว นอกเหนือจากราคาแล้ว ข้อดีของ SSL ที่ใช้ร่วมกันก็คือ คุณไม่จำเป็นต้องได้รับที่อยู่ IP ส่วนตัวหรือโฮสต์เฉพาะ ข้อเสียคือคุณไม่สามารถใช้ชื่อโดเมนของคุณเองได้ ส่วนที่ปลอดภัยของไซต์ของคุณจะเป็นดังนี้:

https://www.hostgator.com/~yourdomain/secure.php

ตรงกันข้ามกับที่อยู่ SSL ส่วนตัว:

https://www.yourdomain.com/secure.php

สำหรับไซต์ที่เปิดเผยต่อสาธารณะ เช่น ไซต์อีคอมเมิร์ซและไซต์เครือข่ายสังคมออนไลน์ นี่เป็นเรื่องยุ่งยากอย่างเห็นได้ชัดเนื่องจากดูเหมือนว่าคุณถูกเปลี่ยนเส้นทางจากไซต์หลัก แต่สำหรับพื้นที่ที่คนทั่วไปไม่สามารถมองเห็นได้ เช่น อวัยวะภายในของระบบเมลหรือพื้นที่ผู้ดูแลระบบ SSL ที่ใช้ร่วมกันอาจเป็นข้อเสนอที่ดี

เชื่อถือซีล

ผู้ออกใบรับรองหลายแห่งอนุญาตให้คุณประทับตราความน่าเชื่อถือบนหน้าเว็บของคุณ หลังจากที่คุณได้สมัครรับใบรับรองใบใดใบหนึ่งของพวกเขาแล้ว ข้อมูลนี้จะให้ข้อมูลเหมือนกับการคลิกแม่กุญแจในหน้าต่างเบราว์เซอร์ แต่มีการมองเห็นที่สูงกว่า ไม่จำเป็นต้องมีการประทับตราที่เชื่อถือได้ และไม่ได้ขยายการรักษาความปลอดภัยของคุณ แต่หากมันทำให้ผู้เยี่ยมชมของคุณเข้าใจอย่างคลุมเครือโดยรู้ว่าใครเป็นผู้ออกใบรับรอง SSL ก็โยนมันขึ้นไปตรงนั้น

ใบรับรอง Wildcard SSL

ใบรับรอง SSL จะตรวจสอบตัวตนของโดเมนเดียว ดังนั้น หากคุณต้องการมี HTTPS บนโดเมนย่อยหลายรายการ เช่น groovypost.com, mail.groovypost.com และforum.groovypost.comคุณจะต้องซื้อใบรับรอง SSL ที่แตกต่างกันสามรายการ เมื่อถึงจุดหนึ่ง ใบรับรอง SSL แบบไวด์การ์ดจะประหยัดมากขึ้น นั่นคือใบรับรองหนึ่งใบที่ครอบคลุมหนึ่งโดเมนและโดเมนย่อยทั้งหมด เช่น *.groovypost.com

การรับประกัน

ไม่ว่าชื่อเสียงที่ดีของบริษัทจะยืนยาวเพียงใด ก็ยังมีช่องโหว่อยู่ แม้กระทั่ง CA ที่เชื่อถือได้ก็สามารถตกเป็นเป้าหมายของแฮกเกอร์ได้ ดังที่เห็นได้จากการละเมิดที่ VeriSign ซึ่งไม่ได้รับการรายงานย้อนกลับไปในปี 2010 นอกจากนี้ สถานะของ CA ในรายการที่เชื่อถือได้สามารถถูกเพิกถอนได้อย่างรวดเร็ว ดังที่เราเห็นในDigiNotar snafuย้อนกลับไปในปี 2011 สิ่งต่างๆ เกิดขึ้น .

เพื่อบรรเทาความไม่สบายใจที่อาจเกิดขึ้นจากการกระทำแบบสุ่มของการหลอกลวง SSL ขณะนี้ CA หลายแห่งเสนอการรับประกัน ความคุ้มครองมีตั้งแต่ไม่กี่พันดอลลาร์ไปจนถึงมากกว่าหนึ่งล้านดอลลาร์ และรวมถึงความสูญเสียที่เกิดจากการใช้ใบรับรองของคุณในทางที่ผิดหรืออุบัติเหตุอื่น ๆ ฉันไม่รู้ว่าการรับประกันเหล่านี้เพิ่มมูลค่าจริงหรือไม่ หรือมีใครเคยชนะการเรียกร้องได้สำเร็จหรือไม่ แต่พวกเขาอยู่ที่นั่นเพื่อการพิจารณาของคุณ

ใบรับรอง SSL ฟรีและใบรับรอง SSL ที่ลงนามด้วยตนเอง

มีใบรับรอง SSL ฟรีสองประเภทให้เลือก ลงนามด้วยตนเอง ใช้สำหรับการทดสอบส่วนตัวเป็นหลักและใบรับรอง SSL สาธารณะเต็มรูปแบบที่ออกโดยหน่วยงานออกใบรับรองที่ถูกต้อง ข่าวดีก็คือ ในปี 2018 มีตัวเลือกไม่กี่ตัวในการรับใบรับรอง SSL ฟรี 100% ที่ถูกต้อง 90 วันจากทั้งSSL ฟรีหรือLet's Encrypt SSL ฟรีส่วนใหญ่เป็น GUI สำหรับ Let's Encrypt API ข้อดีของเว็บไซต์ SSL สำหรับฟรีคือใช้งานง่ายเนื่องจากมี GUI ที่ดี อย่างไรก็ตาม มาเข้ารหัสกันดีกว่าเพราะคุณสามารถส่งคำขอใบรับรอง SSL จากพวกเขาได้โดยอัตโนมัติ เหมาะอย่างยิ่งหากคุณต้องการใบรับรอง SSL สำหรับหลายเว็บไซต์/เซิร์ฟเวอร์

ใบรับรอง SSL ที่ลงนามด้วยตนเองนั้นฟรีตลอดไป ด้วยใบรับรองที่ลงนามด้วยตนเอง คุณจะเป็น CA ของคุณเอง อย่างไรก็ตาม เนื่องจากคุณไม่ได้อยู่ในกลุ่ม CA ที่เชื่อถือได้ซึ่งสร้างไว้ในเว็บเบราว์เซอร์ ผู้เยี่ยมชมจะได้รับคำเตือนว่าระบบปฏิบัติการไม่รู้จักสิทธิ์ดังกล่าว ด้วยเหตุนี้ จึงไม่รับประกันได้ว่าคุณเป็นใคร (เหมือนกับการออกบัตรประจำตัวที่มีรูปถ่ายให้ตัวเองและพยายามส่งต่อที่ร้านเหล้า) อย่างไรก็ตาม ประโยชน์ของใบรับรอง SSL ที่ลงนามด้วยตนเองคือสามารถเปิดใช้งานการเข้ารหัสสำหรับการรับส่งข้อมูลเว็บได้ อาจเป็นผลดีสำหรับการใช้งานภายใน โดยคุณสามารถให้พนักงานเพิ่มองค์กรของคุณเป็น CA ที่เชื่อถือได้ เพื่อกำจัดข้อความเตือนและทำงานบนการเชื่อมต่อที่ปลอดภัยผ่านอินเทอร์เน็ต

สำหรับคำแนะนำในการตั้งค่าใบรับรอง SSL ที่ลงนามด้วยตนเอง โปรดดูเอกสารประกอบสำหรับ OpenSSL (หรือหากมีความต้องการเพียงพอ ฉันจะเขียนบทช่วยสอน)

การติดตั้งใบรับรอง SSL

เมื่อคุณซื้อใบรับรอง SSL แล้ว คุณจะต้องติดตั้งใบรับรองนั้นบนเว็บไซต์ของคุณ เว็บโฮสต์ที่ดีจะเสนอให้ทำสิ่งนี้เพื่อคุณ บางคนอาจไปไกลถึงการซื้อให้คุณ บ่อยครั้ง นี่เป็นวิธีที่ดีที่สุดเนื่องจากทำให้การเรียกเก็บเงินง่ายขึ้นและช่วยให้แน่ใจว่ามีการตั้งค่าอย่างเหมาะสมสำหรับเว็บเซิร์ฟเวอร์ของคุณ

ถึงกระนั้น คุณก็ยังมีตัวเลือกในการติดตั้งใบรับรอง SSL ที่คุณซื้อด้วยตัวเองเสมอ หากคุณทำเช่นนั้น คุณอาจต้องการเริ่มต้นด้วยการปรึกษาฐานความรู้ของโฮสต์เว็บของคุณ หรือโดยการเปิดตั๋วโปรแกรมช่วยเหลือ พวกเขาจะนำคุณไปสู่คำแนะนำที่ดีที่สุดในการติดตั้งใบรับรอง SSL ของคุณ คุณควรศึกษาคำแนะนำจาก CA ด้วย สิ่งเหล่านี้จะให้คำแนะนำที่ดีกว่าคำแนะนำทั่วไปใดๆ ที่ฉันสามารถให้ได้ที่นี่

คุณอาจต้องการดูคำแนะนำต่อไปนี้สำหรับการติดตั้งใบรับรอง SSL:

• วิธีการใช้ SSL ใน IIS (Windows Server)
• การเข้ารหัส Apache SSL/TLS

คำแนะนำทั้งหมดนี้จะเกี่ยวข้องกับการสร้างคำขอลงนามใบรับรอง SSL (CSR) ที่จริงแล้ว คุณจะต้องมี CSR เพียงเพื่อที่จะออกใบรับรอง SSL ขอย้ำอีกครั้งว่าเว็บโฮสต์ของคุณสามารถช่วยเหลือคุณได้ สำหรับข้อมูล DIY เฉพาะเจาะจงเพิ่มเติมเกี่ยวกับการสร้าง CSR โปรดดูบทความนี้จากDigiCert

ข้อดีและข้อเสียของ HTTPS

เราได้กำหนดข้อดีของ HTTPS ไว้แล้ว: ความปลอดภัย ความปลอดภัย ความปลอดภัย สิ่งนี้ไม่เพียงช่วยลดความเสี่ยงของการละเมิดข้อมูลเท่านั้น แต่ยังสร้างความไว้วางใจและเพิ่มชื่อเสียงให้กับเว็บไซต์ของคุณอีกด้วย ลูกค้าที่มีความชำนาญอาจไม่สนใจที่จะสมัครหากพวกเขาเห็น “http://” ในหน้าเข้าสู่ระบบ

อย่างไรก็ตาม มีข้อเสียบางประการสำหรับ HTTPS เมื่อพิจารณาถึงความจำเป็นของ HTTPS สำหรับเว็บไซต์บางประเภท จึงสมเหตุสมผลมากกว่าที่จะคิดว่าสิ่งเหล่านี้เป็น " การพิจารณา อย่างรอบคอบ " แทนที่จะเป็นแง่ลบ

• HTTPS มีค่าใช้จ่าย สำหรับผู้เริ่มต้น มีค่าใช้จ่ายในการซื้อและต่ออายุใบรับรอง SSL ของคุณเพื่อให้แน่ใจว่ามีอายุการใช้งานปีต่อปี แต่ยังมี “ข้อกำหนดของระบบ” บางประการสำหรับ HTTPS เช่น ที่อยู่ IP เฉพาะหรือแผนโฮสติ้งเฉพาะ ซึ่งอาจมีราคาสูงกว่าแพ็คเกจโฮสติ้งที่ใช้ร่วมกัน
• HTTPS อาจทำให้การตอบสนองของเซิร์ฟเวอร์ช้าลง มีสองประเด็นที่เกี่ยวข้องกับ SSL / TLS ที่อาจทำให้ความเร็วในการโหลดหน้าเว็บของคุณช้าลง ขั้นแรก เพื่อเริ่มสื่อสารกับเว็บไซต์ของคุณเป็นครั้งแรก เบราว์เซอร์ของผู้ใช้จะต้องผ่านกระบวนการแฮนด์เชค ซึ่งจะตีกลับไปยังเว็บไซต์ของผู้ออกใบรับรองเพื่อตรวจสอบใบรับรอง หากเว็บเซิร์ฟเวอร์ของ CA ทำงานช้า การโหลดหน้าเว็บของคุณก็จะเกิดความล่าช้า สิ่งนี้อยู่นอกเหนือการควบคุมของคุณเป็นส่วนใหญ่ ประการที่สอง HTTPS ใช้การเข้ารหัสซึ่งต้องใช้พลังการประมวลผลมากขึ้น ปัญหานี้สามารถแก้ไขได้ด้วยการปรับเนื้อหาให้เหมาะสมสำหรับแบนด์วิธและอัปเกรดฮาร์ดแวร์บนเซิร์ฟเวอร์ของคุณ CloudFareมีบล็อกโพสต์ที่ดีเกี่ยวกับวิธีการและสาเหตุที่ SSL อาจทำให้เว็บไซต์ของคุณช้าลง
• HTTPS อาจส่งผลกระทบต่อการทำ SEO เมื่อคุณเปลี่ยนจาก HTTP เป็น HTTPS คุณกำลังย้ายไปยังเว็บไซต์ใหม่ ตัวอย่างเช่น http://www.groovypost.com จะไม่เหมือนกับhttps://www.groovypost.com สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าคุณได้เปลี่ยนเส้นทางลิงก์เก่าของคุณ และเขียนกฎที่เหมาะสมไว้ภายใต้เซิร์ฟเวอร์ของคุณ เพื่อหลีกเลี่ยงการสูญเสียลิงก์อันมีค่าใดๆ
• เนื้อหาผสมสามารถโยนธงสีเหลืองได้ สำหรับเบราว์เซอร์บางประเภท หากคุณมีส่วนหลักของหน้าเว็บที่โหลดจาก HTTPS แต่รูปภาพและองค์ประกอบอื่นๆ (เช่น สไตล์ชีทหรือสคริปต์) โหลดจาก HTTP URL ป๊อปอัปอาจปรากฏขึ้นเพื่อเตือนว่าหน้านั้นมีเนื้อหาที่ไม่ปลอดภัย . แน่นอนว่าการมีเนื้อหาที่ปลอดภัยย่อมดีกว่าไม่มีเลย แม้ว่าอย่างหลังจะไม่ส่งผลให้เกิดป๊อปอัปก็ตาม แต่ถึงกระนั้น มันก็อาจคุ้มค่าที่จะทำให้แน่ใจว่าคุณไม่มี "เนื้อหาผสม" บนหน้าเว็บของคุณ
• บางครั้ง การขอรับผู้ประมวลผลการชำระ เงินจากบุคคลที่สาม อาจง่ายกว่า ไม่ใช่เรื่องน่าละอายที่จะปล่อยให้ Google Checkout, Paypal หรือ Checkout โดย Amazon จัดการการชำระเงินของคุณ หากทั้งหมดที่กล่าวมาข้างต้นดูเหมือนจะทะเลาะกันมากเกินไป คุณสามารถให้ลูกค้าของคุณแลกเปลี่ยนข้อมูลการชำระเงินบนเว็บไซต์ที่ปลอดภัยของ Paypal หรือไซต์ที่ปลอดภัยของ Google และช่วยตัวเองให้พ้นจากปัญหา

คุณมีคำถามหรือความคิดเห็นอื่นๆ เกี่ยวกับใบรับรอง HTTPS และ SSL / TLS หรือไม่ ให้ฉันได้ยินมันในความคิดเห็น