Server_A-min.png

ปัจจุบันความปลอดภัยบนโลกออนไลน์ มีความสำคัญ และเป็นสิ่งที่ผู้ดูแลระบบกังวลใจในเรื่องหนึ่ง เนื่องจากหากโดนผู้ไม่ประสงค์ดีเข้ามายังระบบของผู้ใช้งานได้ อาจจะเกิดความเสียหายขึ้นได้ ซึ่งอาจจะเป็นมูลค่าที่สูงทีเดียว

 

mceclip0.png

ในปัจจุบันมีเว็บไซต์ที่ใช้สำหรับตรวจสอบ Server ของท่าน เพื่อตรวจสอบได้ว่าเว็บไซต์ของท่านที่กำลังใช้งานอยู่บน Server เครื่องนั้นๆ มีช่องโหว่ใดบ้าง มีความปลอดภัยส่วนใด และเมื่อสรุปผลออกมาแล้วก็จะได้เป็นเกรดนั่นเอง ซึ่งสูงสุดคือ A ต่ำสุดคือ F

เว็บไซต์ SSLLabs.com เป็นเว็บไซต์ที่ดำเนินการโดย Qualys เพื่อให้เข้าใจถึงวิธีการของเทคโนโลยี SSL , TLS และ PKI ซึ่งเริ่มต้นพัฒนาตั้งแต่ปี 2009 โดยมีการปรับปรุง วิเคราะห์ และช่วยประเมินว่าควรเป็นอย่างไร ที่ตั้งอยู่บนหลักที่ควรจะเป็นของ Server ที่มีความปลอดภัย

mceclip1.png

 

 

คุณลักษณะของเว็บไซต์ที่ควรมีสำหรับเกรด A

ปัจจุบันช่องโหว่ทางด้านเว็บไซต์ทั้งในด้าน Protocol การเชื่อมต่อ , Cipher Suite , หรือแม้กระทั่ง Configuration ของ Server เอง ก็มีมากมายด้วยกันทั้งหมด ซึ่งมีการอัพเดทมากมายจากผู้ให้บริการ ไม่ว่าจะเป็นทั้งในส่วนของ Open Source หรือเสียค่าบริการก็ตาม

ซึ่งในที่นี้ จะกล่าวถึงคุณลักษณะที่ควรมี ซึ่งมีหลายๆ ท่านผิดพลาดส่วนมาก จึงทำให้ได้เกรดต่ำลง

1. Protocol

      ตามที่ทราบว่า Protocol เป็นช่องทางหลักที่เชื่อมต่อและพูดคุยกันระหว่าง Client กับ Server ดังนั้นจึงมีความสำคัญอย่างยิ่ง หาก Protocol ที่เปิดอยู่ไม่ปลอดภัย ก็ควรที่จะปิด ซึ่งในที่นี้ คือ Protocol SSLv3 ลงไป โดยปัจจุบัน Protocol TLSv1 TLSv1.1 TLSv1.2 ยังไม่ได้ถูกลดเกรดแต่อย่างใด

 

2. Cipher Suites

ค่า Cipher Suites เป็นค่าหนึ่งที่เกี่ยวข้องกันกับ Protocol โดยจะทำงานร่วมกับ Protocol นั่นเอง ซึ่งเมื่อมี Protocol ที่แข็งแกร่งแล้ว ก็ควรมีค่า Cipher Suites ที่แข็งแกร่งเช่นเดียวกัน ซึ่งในปัจจุบัน ค่าที่ร้ายแรงที่ขึ้นเป็น Insecure หลักๆ ก็คือ RC4 , 3DES , DES โดยค่าที่ควรจะเปิดคือ AES , ECDHE

 

3. SSL/TLS Certificate 

      ตัวแปรสำคัญที่ใช้งานทั่วโลก เพื่อให้เว็บไซต์ของท่านมีความปลอดภัย ไม่ให้โดยดักข้อมูลและนำไปใช้งานได้กลางทางคือ SSL/TLS certificate ที่มีความน่าเชื่อถือซึ่งออกโดย Certification Authorities (CA) ซึ่งท่านจะซื้อผู้ให้บริการเจ้าใดก็ได้ที่มี Root CA ที่น่าเชื่อถือ โดยเราเองให้บริการผ่าน ssl.in.th สามารถเข้าดูข้อมูลเพิ่มเติมได้ครับ

 

4. การตั้งค่าในส่วนของ Server ต่างๆ 

      ในส่วนของ Server จะมีความแตกต่างกันไปของแต่ละประเภท ซึ่งก็จะใช้วิธีการแก้ไม่เหมือนกัน แต่ที่มีเหมือนกันแน่นอนคือการ Update เพื่อปิดช่องโหว่ตามที่ผู้ให้บริการปล่อยแพทออกมานั่นเอง โดยท่านสามารถเข้าไปดูคำแนะนำตาม Link ด้านล่างนี้ได้เพิ่มเติมว่ามีส่วนใดที่ท่านจะตรวจสอบเพิ่มเติมหรือไม่

https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices#25-use-forward-secrecy

 

สำหรับบทความนี้ ขอขอบคุณทุกท่านที่มาร่วมงาน Netway Connect ครั้งที่ 16 และฝากถึงทุกท่านที่ได้อ่านบทความนี้ เพื่อตระหนักถึงความปลอดภัยบนโลก Internet

mceclip2.png