การเลือกใบรับรอง HTTPS ที่เหมาะสมสำหรับเว็บไซต์ WordPress ของคุณ

เผยแพร่แล้ว: 2019-09-27

ในบทความก่อนหน้าของเรา WordPress HTTPS, SSL และ TLS – คู่มือสำหรับผู้ดูแลระบบเว็บไซต์ เราได้อธิบายว่า HTTPS และข้อกำหนดทางเทคนิคอื่นๆ คืออะไร และทำงานอย่างไร ในบทความนี้ เราจะพูดถึงใบรับรอง HTTPS วิธีต่างๆ ที่คุณอาจได้รับสำหรับเว็บไซต์ WordPress และเหตุผลที่คุณควรหรือไม่ควรจ่ายสำหรับใบรับรอง ไปดำน้ำกันเลย

ใบรับรอง HTTPS คืออะไร

ก่อนที่เราจะสามารถพูดคุยถึงวิธีการและเหตุผลของใบรับรอง HTTPS เราต้องคุยกันก่อนว่าใบรับรองคืออะไร ใบรับรองใช้เพื่อ:

  • เข้ารหัสการรับส่งข้อมูลระหว่างเว็บเซิร์ฟเวอร์และเว็บเบราว์เซอร์
  • ตรวจสอบว่าเว็บเซิร์ฟเวอร์ที่คุณเชื่อมต่ออยู่จริง ๆ แล้วใครอ้างว่าเป็น (วิธีการระบุตัวตน)

ใบรับรอง HTTPS (ใบรับรอง TLS) มีหลักฐานการเข้ารหัสว่าเอนทิตีที่เบราว์เซอร์ เชื่อถือ สามารถรับรองข้อมูลประจำตัวของเว็บไซต์นั้นได้ เอนทิตี นี้เรียกว่าผู้ ออกใบรับรอง (CA) CA มีบทบาทสำคัญในเรื่องใบรับรอง HTTPS

คุณสามารถนึกถึงผู้ออกใบรับรองที่คล้ายกับ "สำนักงานหนังสือเดินทาง" ซึ่งยืนยันตัวตนของคุณโดยอิสระและให้ "หนังสือเดินทาง" (ใบรับรอง) แก่คุณเพื่อพิสูจน์ตัวตนของคุณต่อผู้อื่น อย่างไรก็ตาม เพื่อให้ใครบางคน (เว็บเบราว์เซอร์) ตรวจสอบ "หนังสือเดินทาง" ของคุณ พวกเขาต้องเชื่อถือ "สำนักงานหนังสือเดินทาง" (ผู้ออกใบรับรอง) ที่ออก "หนังสือเดินทาง" (ใบรับรอง) เช่นเดียวกับหนังสือเดินทาง ใบรับรองจะมีคุณลักษณะด้านความปลอดภัยในตัวเพื่อทำให้ยากต่อการ ปลอมแปลง

กล่าวอีกนัยหนึ่งในการให้บริการเว็บไซต์ของคุณผ่าน HTTPS คุณต้องมี Certificate Authority เพื่อมอบใบรับรองที่พิสูจน์ตัวตนของเว็บไซต์ WordPress ของคุณ (คุณคือคนที่คุณบอกว่าเป็น)

ใบรับรอง HTTPS ประเภทต่างๆ

แม้ว่าจะไม่ชัดเจนในทันที แต่คุณสามารถขอรับใบรับรองได้ 3 ประเภท:

  • การตรวจสอบความถูกต้องของโดเมน (DV)
  • การตรวจสอบองค์กร (OV)
  • การตรวจสอบเพิ่มเติม (EV)

ใบรับรอง DV เป็นใบรับรองทั่วไปมากที่สุด เมื่อคุณได้รับใบรับรอง DV คุณจะเห็นอินเทอร์เฟซผู้ใช้เบราว์เซอร์ตามปกติที่คุณคาดหวัง โปรดทราบว่าสิ่งนี้จะแตกต่างกันไปในแต่ละเบราว์เซอร์ และแม้กระทั่งจากเบราว์เซอร์รุ่นหนึ่งไปยังอีกรุ่นหนึ่ง แต่โดยปกติ คุณจะเห็นแม่กุญแจและบางครั้งคำว่า “ปลอดภัย”

ใบรับรอง OV หาได้ยากกว่าใบรับรอง DV เนื่องจากต้องมีการตรวจสอบมากกว่า อย่างไรก็ตาม ไม่ค่อยได้ใช้ ผู้ใช้ปลายทางจะดูเหมือนกันทุกประการ ไม่มีประโยชน์ที่เป็นรูปธรรมเหนือใบรับรอง DV และมีราคาสูงกว่า

ซึ่งจะทำให้ใบรับรอง EV — ใบรับรอง Extended Validation จำเป็นต้องมีกระบวนการตรวจสอบอย่างละเอียดเพื่อให้องค์กรได้รับ มีราคาแพงกว่ามาก และ เคย ได้รับการปฏิบัติที่ต่างไปจากเดิมเล็กน้อยจากเบราว์เซอร์ในแง่ของ UI

กุญแจ HTTPS ในแถบ URL ของเบราว์เซอร์

อย่างไรก็ตาม ในเวอร์ชันล่าสุดของ Chrome, Firefox และ Safari ตัวบ่งชี้นี้ได้ถูกย้ายไปยังส่วนที่ไม่เด่นชัดกว่ามาก สาเหตุส่วนใหญ่มาจากข้อเท็จจริงที่ว่าไม่มีหลักฐานว่าใบรับรอง EV มอบความไว้วางใจในระดับที่มีความหมายต่อผู้ใช้ปลายทาง ในบางกรณี EV อาจทำให้ผู้ใช้เกิดความสับสนมากขึ้น มากเสียจนเว็บไซต์ยอดนิยมของอินเทอร์เน็ตส่วนใหญ่ย้ายจากใบรับรอง EV ไปเป็นใบรับรอง DV

ใบรับรอง HTTPS พร้อม EV

คุณต้องการใบรับรองประเภทใดสำหรับเว็บไซต์ WordPress ของคุณ

กล่าวโดยย่อ คุณต้องการ ใบรับรองการตรวจสอบโดเมน (DV) สำหรับเว็บไซต์ WordPress ของคุณ ไม่มีเหตุผลที่แท้จริงว่าทำไมคุณควรต้องมีใบรับรอง Extended Validation (EV) โดยเฉพาะอย่างยิ่งตอนนี้เบราว์เซอร์แทบจะเอาข้อดีของการเป็นเจ้าของใบรับรองนั้นออกไป (แถมยังมีราคาแพงอีกด้วย)

การรับใบรับรอง HTTPS

ตามเนื้อผ้า การได้รับใบรับรอง HTTPS หมายถึงการชำระค่าธรรมเนียมรายปีแก่ผู้ออกใบรับรอง (CA) กระบวนการนี้ดำเนินการด้วยตนเองและค่อนข้างน่ารำคาญสำหรับผู้ดูแลระบบ

มาเข้ารหัสโลโก้กันเถอะ

โชคดีที่ย้อนกลับไปในปี 2012 Mozilla เริ่มทำงานกับสิ่งที่รู้จักกันในชื่อ Let's Encrypt ; ผู้ออกใบรับรองที่ไม่แสวงหาผลกำไรที่ดำเนินการโดย Internet Security Research Group (ISRG) มีใบรับรอง HTTPS โดย ไม่มีค่าใช้จ่าย สำหรับ ทุกคน ไม่น่าแปลกใจเลยที่ในเวลาไม่กี่เดือน มันก็กลายเป็น CA ที่ใหญ่ที่สุดบนอินเทอร์เน็ต

สถิติเกี่ยวกับใบรับรอง HTTPS และโดเมนจาก Let's Encrypt

นอกเหนือจากการเป็น CA ฟรีแล้ว Let's Encrypt ยังปฏิวัติวงการเพราะเป็น CA แห่งแรกที่ใช้โปรโตคอล ACME โปรโตคอล ACME อนุญาตให้ต่ออายุใบรับรองโดยอัตโนมัติ ซึ่งช่วยให้ Let's Encrypt สร้างใบรับรองที่มีอายุการใช้งานสั้นลง (90 วัน) ซึ่งมีความปลอดภัยมากขึ้น นอกจากนี้ ผู้ดูแลระบบไม่จำเป็นต้องกังวลเกี่ยวกับการต่ออายุใบรับรองด้วยเครื่องมือ เช่น Certbot

มาเข้ารหัสข้อ จำกัด ใบรับรอง HTTPS กันเถอะ

แม้ว่าจะมีบทความหลายพันบทความออนไลน์เกี่ยวกับวิธีการทำให้ Let's Encrypt ทำงานบนเว็บไซต์ WordPress ของคุณได้ สิ่งสำคัญคือต้องตระหนักว่าอาจมีบางกรณีที่คุณอาจไม่สามารถใช้ใบรับรองของพวกเขาได้ โดยเฉพาะอย่างยิ่งหากคุณชำระเงินสำหรับใบรับรอง HTTPS ซึ่งเป็นส่วนหนึ่งของแผนบริการเว็บโฮสติ้งของคุณ หรือคุณไม่มีสิทธิ์ควบคุมเว็บเซิร์ฟเวอร์ของคุณอย่างเต็มที่

ในกรณีนี้ ให้ตรวจสอบว่าคุณสามารถใช้ใบรับรอง Let's Encrypt กับฝ่ายสนับสนุนลูกค้าของผู้ให้บริการโฮสต์ของคุณก่อนที่จะใช้จ่ายเงินในใบรับรอง ปัจจุบัน บริการโฮสติ้ง WordPress ส่วนใหญ่รองรับใบรับรอง Let's Encrypt

หากไม่สามารถใช้ใบรับรอง Let's Encrypt กับแผนบริการโฮสติ้งของคุณได้ คุณอาจต้องมีใบรับรอง HTTPS เชิงพาณิชย์ หรือคุณอาจใช้บริการไฟร์วอลล์ WordPress / CDN ออนไลน์ได้ ส่วนใหญ่มีใบรับรอง HTTPS ฟรีซึ่งเป็นส่วนหนึ่งของบริการ

การตั้งค่า WordPress ของคุณบน HTTPS

นอกเหนือจากการรับใบรับรอง HTTPS และการเปิดใช้งาน HTTPS บนเว็บเซิร์ฟเวอร์ของคุณแล้ว คุณจะต้องแน่ใจว่าไซต์ WordPress ของคุณได้รับการตั้งค่าสำหรับ HTTPS ด้วย แม้ว่าคุณจะทำได้โดยไม่ต้องใช้ปลั๊กอิน แต่ผู้ดูแลระบบ WordPress ส่วนใหญ่อาจใช้ปลั๊กอินยอดนิยมอย่าง Really Simple SSL ได้ง่ายขึ้น ด้วยปลั๊กอินดังกล่าว คุณต้องแน่ใจว่าลิงก์ทั้งหมดของคุณชี้ไปที่เวอร์ชัน HTTPS ของเว็บไซต์ของคุณอย่างถูกต้อง

สิ่งสำคัญที่ควรทราบคือเสิร์ชเอ็นจิ้นถือว่าเว็บไซต์ HTTP และ HTTPS เป็นไซต์ที่ แตกต่างกัน ดังนั้น คุณควรส่งไซต์ HTTPS ไปยัง Google Search Console เว้นแต่ว่าคุณได้ดำเนินการดังกล่าวแล้ว

ใบรับรอง HTTPS ฟรีดีจริงหรือ

เจ้าของเว็บไซต์ WordPress หลายคนยังคงสงสัยเกี่ยวกับการใช้ใบรับรอง HTTPS ฟรีจาก Let's Encrypt บางคนกังวลเกี่ยวกับการแสดงภาพที่ว่าพวกเขาไม่ได้ให้ความสำคัญกับความปลอดภัยอย่างจริงจัง ดังนั้น ให้กลัวว่าจะสูญเสียลูกค้าไป บางคนคิดว่าใบรับรอง HTTPS ฟรีไม่ดีเท่าใบรับรองแบบชำระเงิน ฉันไม่โทษพวกเขา – ไม่มีผลิตภัณฑ์/บริการดีๆ ที่สามารถใช้ได้ฟรีจริงๆ อย่างไรก็ตาม นี่เป็นกรณีที่แตกต่างออกไป

Let's Encrypt ให้บริการฟรีสำหรับคุณในฐานะผู้ใช้ แต่ไม่ใช่โครงการฟรี พวกเขาสามารถออกใบรับรอง HTTPS ได้ฟรี ขอบคุณผู้สนับสนุนเช่น Google, Facebook, Microsoft, Cisco และอื่น ๆ อีกมากมาย! สมมติว่าบริษัทใหญ่ๆ เหล่านี้จ่ายเงินสำหรับใบรับรอง HTTPS ของเว็บไซต์ WordPress ของคุณ

Let's Encrypt เป็นผู้ออกใบรับรองที่สมบูรณ์ ไม่มีอะไรแตกต่างกัน โดยเฉพาะอย่างยิ่งในแง่ของความสามารถในการเข้ารหัส ระหว่างใบรับรอง TLS ฟรีจาก Let's Encrypt และใบรับรองแบบชำระเงิน ต้องบอกว่าไม่มีอันตรายในการจ่ายเงินสำหรับใบรับรอง HTTPS หากคุณสามารถปรับค่าใช้จ่ายได้

HTTPS ทำให้ไซต์ของฉัน "ปลอดภัย" หรือไม่

น่าเสียดายที่ไม่มีสิ่งใดปลอดภัย 100% และ HTTPS ก็ไม่มีข้อยกเว้นสำหรับกฎนี้อย่างแน่นอน HTTPS เป็นเพียงส่วนเล็กๆ ส่วนหนึ่งของโปรแกรมรักษาความปลอดภัยเว็บไซต์ WordPress ของคุณ จะช่วยให้:

  • ผู้ใช้ของคุณจะ เชื่อมต่อกับเว็บไซต์ของคุณได้อย่างปลอดภัย โดยที่การสื่อสารของพวกเขาไม่ได้ถูกดักฟังโดยสอดส่องเครือข่ายเดียวกัน
  • ช่วยด้วย ส่วนหนึ่ง ของความท้าทายอย่างต่อเนื่องนั่นคือการรักษาความปลอดภัยของเว็บไซต์

อย่างไรก็ตาม นี่ไม่ใช่สัญลักษณ์แสดงหัวข้อย่อยสีเงิน แม้ว่าคุณควรติดตั้งใช้งานและบังคับใช้ HTTPS อย่างไม่ต้องสงสัย แต่ก็ไม่ได้หมายความว่าคุณรักษาความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณเรียบร้อยแล้ว

ฉันจะทำอะไรได้อีกบ้างเพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของฉันปลอดภัย

มีหลายสิ่งที่คุณทำได้เพื่อปรับปรุงความปลอดภัยของเว็บไซต์ WordPress ของคุณ เราขอแนะนำให้คุณเริ่มต้นด้วยด้านล่าง:

  • ใช้ไฟร์วอลล์ WordPress
  • บังคับใช้นโยบายรหัสผ่าน WordPress ที่รัดกุม
  • ติดตั้งปลั๊กอินตรวจสอบความสมบูรณ์ของไฟล์
  • เก็บบันทึกการเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นบน WordPress
  • ทำให้ WordPress core, ปลั๊กอิน, ธีม และซอฟต์แวร์ทั้งหมดที่คุณใช้เป็นปัจจุบันอยู่เสมอ