KB-SSL-Certificate.jpg

ปัจจุบัน SSL Certificate เป็นสิ่งจำเป็นที่ทุกเว็บไซต์ต้องมี สาเหตุหลักที่ต้องได้รับการติดตั้งก็คือ เรื่องความปลอดภัยของข้อมูลสำคัญที่รับส่งผ่านระบบอินเตอร์เน็ต และเรื่องความน่าเชื่อถือของเว็บไซต์ของท่าน​ เพราะตอนนี้ Browser หลักเริ่มมีการแจ้งบน Address Bar สำหรับเว็บไซต์ที่ไม่ได้ติดตั้ง SSL Certificate ว่าไม่ปลอดภัย​แล้ว

not-secure.png

แต่ถึงแม้เว็บไซต์ของท่านได้รับการติดตั้ง SSL Certificate แล้ว ก็ใช่ว่าจะจบปัญหา เพราะเว็บไซต์ของท่านอาจจะไม่ได้รับการติดตั้งที่สมบูรณ์ก็เป็นไปได้

ทางทีมงาน SSL.in.th ได้รวบรวมปัญหาที่พบบ่อยซึ่งเป็นส่วนมากจะเป็นปัญหาที่คาดไม่ถึง หรือไม่ได้ตรวจสอบการใช้งานให้ดีพอ ทำให้เกิดการใช้งาน SSL Certificate ที่ไม่สมบูรณ์

 

Self Signed Certificate​ 
คือ SSL Certificate ที่ถูกสร้างโดยคอมพิวเตอร์เครื่องใดก็ได้ ใครก็สามารถสร้าง SSL Certificate นี้ได้ แต่ SSL Certificate ที่ได้รับมา จะไม่ผ่านการรับรองที่เป็นมาตรฐานจากทาง CA ทำให้ถึงแม้ติดตั้ง SSL Certificate สมบูรณ์แล้ว แต่ Browser ไม่ยอมรับเพราะแหล่งที่มาของ SSL Certificate ไม่มีความน่าเชื่อถือ ทำให้เมื่อเข้าเว็บไซต์ที่ใช้ Self Signed Certificate จะมีการแจ้งเตือนจาก Browser ว่าเว็บไซต์นี้ไม่ปลอดภัย

Selfsign.png

วิธีการตรวจสอบ
ให้ดูในส่วน Certificate Information https://netway.co.th/kb/SSL%20Certificate/ข้อมูลทั่วไป/115005099227 ในส่วน Issued By จะต้องเป็นชื่อของผู้ให้บริการ SSL Certificate เช่น Digicert, Symantec, Entrust และอื่นๆ

 

Incomplete-chain​
ปกติการติดตั้ง SSL Certificate จะต้องมี 2 Certificates หลักๆ ก็คือ SSL Certificate และ Intermediate CA ซึ่งขั้นตอนติดตั้ง จำเป็นต้องติดตั้งทั้งสอง Certificates ลงไป แต่บ่อยครั้งที่พบก็คือไม่ได้ติดตั้ง Intermediate CA เมื่อมีการใช้งานผ่าน Browser บนระบบคอมพิวเตอร์จะไม่พบปัญหาการใช้งาน แต่จะเกิดปัญหาที่ Browser บนระบบ Mobile เช่น Tablet หรือโทรศัพท์มือถือ จะขึ้นแจ้งเตือนไม่ปลอดภัย สาเหตุเกิดจากหน่วยความจำบนระบบ Mobile มีจำกัด ทำให้ไม่สามารถเก็บข้อมูล Certificate Authority ได้ทั้งหมดจึงต้องอาศัยข้อมูลจาก Intermediate CA แต่เมื่อไม่พบ Intermediate CA ก็ไม่สามารถตรวจสอบทีมาของ Certificate ได้ทำให้เกิด error

 

วิธีการตรวจสอบ
สามารถตรวจสอบการติดตั้งได้ที่ https://ssl.in.th/ssl-checker/ หรือ https://www.digicert.com/help/

 

Mixed Content​
ในการใช้งาน https จำเป็นที่จะต้องให้ Coding เรียกใช้ไปยัง Protocol https ด้วย เมื่อได้ก็ตามที่มีส่วนผสมใน coding ที่เป็น https และ http อยู่ในเว็บไซต์ของคุณ Browser จะมีแจ้งเตือนว่า "your connection to this site is not fully secure" สาเหตุเกิดจาก Mixed Content​ 

Mixed_Content_.PNG 

วิธีการตรวจสอบ
สามารถตรวจสอบได้ที่ https://www.whynopadlock.com/

 

Force HTTPS​
ปัญหาหลักที่เจออยู่บ่อยๆคือ ถึงแม้จะมีการติดตั้ง SSL Certificate อย่างสมบูรณ์แล้ว แต่บ่อยครัั้ง ไม่ได้การตั้งค่าบังคับใช้งาน https คุณยังเปิดโอกาสให้สามารถเข้าใช้งานเว็บของคุณผ่าน Protocol http ดังนั้นเว็บของคุณก็เสมือนไม่ได้มรการใช้งา SSL Certificate เพราะเวลามีคนเรียกใช้งานเว็บของคุณ ก็จะเข้าไปยัง Protocol http อยู่ดี ยกเว้นผู้ใช้ได้งานพิมพ์ https เพื่อเข้าใช้งาน Protocol https แต่จะมีผู้ใช้สักกี่หลายที่พิมพ์ https ก่อนเข้าใช้งานเว็บของคุณ

วิธีการตรวจสอบ
ให้เปิดเว็บไซต์ของคุณผ่าน ฺBrowser Incognito Mode ยกตัวอย่างเช่น เปิด Chrome ขึ้นมาแล้วกด Ctrl + Shift +N แล้วพิมพ์ชื่อ URL โดยไม่ต้องใส่ Protocol http หรือ https แล้วดูว่าสุดท้ายแล้วเว็บของคุณเรียกไปที่ Protocol ไหน ซึ่งถ้าไม่ไปที่ https ก็แสดงว่าเว็บของคุณไม่ได้ force https ไว้

 

Vulnerability
สิ่งสำคัญที่สุดของความปลอดภัยของเว็บไซต์ของคุณคือต้องคอยตรวจสอบช่องโหว่ที่เกิดขึ้นบน ฺServer ถึงแม้จะมีการติดตั้ง SSL Certificate อยู่แล้ว แต่หาก Server มีช่องโหว่อยู่ ก็ไม่ได้เกิดความปลอดภัย

วิธีการตรวจสอบ
สามารถตรวจสอบได้ที่ https://www.ssllabs.com/ssltest/



สนใจอ่านศึกษาเพิ่มเติม Download ได้แล้วที่นี่

download_100_25_pix.png