ปกป้องเว็บไซต์ของคุณด้วย Let's Encrypt!
เผยแพร่แล้ว: 2016-11-22Let's Encrypt เป็นความคิดริเริ่มที่ให้วิธีการรักษาความปลอดภัยปริมาณการใช้งาน HTTP ของเว็บไซต์ของคุณโดยอัตโนมัติและฟรี การตั้งค่า HTTPS ที่ปลอดภัยเป็นกระบวนการที่เกี่ยวข้องเสมอ และเรายินดีที่จะสนับสนุนความพยายามใดๆ ที่ทำให้กระบวนการทั้งหมดง่ายขึ้นและตรงไปตรงมามากขึ้นสำหรับผู้คน
โดยทั่วไปแล้ว ในการเปิดใช้งาน HTTPS บนเว็บไซต์ของคุณ คุณจะต้องได้รับใบรับรองความปลอดภัยจากผู้ออกใบรับรอง (CA) ผู้ออกใบรับรองถือเป็นบุคคลที่สามที่เชื่อถือได้ซึ่งสามารถตรวจสอบตัวตนของเว็บไซต์ต่อผู้เยี่ยมชมของคุณได้ ใบรับรองความปลอดภัย (หรือที่เรียกว่าใบรับรอง SSL) ได้รับการติดตั้งบนเว็บเซิร์ฟเวอร์และมีฟังก์ชันสองประการ: a) เข้ารหัสการรับส่งข้อมูล HTTP ทั้งหมดระหว่างเว็บไซต์ของคุณและผู้เยี่ยมชมของคุณ b) รับรองความถูกต้องของข้อมูลประจำตัวของเว็บไซต์ของคุณ เพื่อให้ผู้เยี่ยมชมของคุณรู้ว่าเป็น ไม่ได้ไปเยี่ยมของปลอม
การรักษาความปลอดภัยข้อมูลประจำตัวของเว็บไซต์และการเข้าชมของผู้เข้าชมเป็นประโยชน์ที่ชัดเจน แต่ก็มีอีกสองสามข้อที่ต้องการคำอธิบายเพิ่มเติม
ก่อน Let's Encrypt คุณต้องเลือกประเภทใบรับรองที่ต้องการ ซึ่งเป็นกระบวนการที่ค่อนข้างสับสนสำหรับผู้ใช้ที่ไม่คุ้นเคยกับระบบคีย์สาธารณะ จากนั้นคุณต้องสร้างคีย์ของคุณ ลงนามในคำขอสร้างใบรับรอง และสุดท้ายใช้เงินเป็นจำนวนมาก ของเงินเพื่อซื้อ
เดี๋ยวก่อน แต่ SSL คืออะไร?
Secure Sockets Layer หรือ SSL เป็นโปรโตคอลการเข้ารหัสที่รักษาความปลอดภัยการสื่อสารของเครือข่าย รับรองความเป็นส่วนตัวของการสื่อสาร หมายความว่าข้อมูลที่แลกเปลี่ยนระหว่างสองฝ่ายได้รับการเข้ารหัสและบุคคลที่สามไม่สามารถดักฟังได้ นอกจากนี้ยังตรวจสอบความถูกต้องของข้อมูลประจำตัวของฝ่ายสื่อสาร ซึ่งปกติคือเซิร์ฟเวอร์ โดยใช้ใบรับรอง SSL ที่เรากล่าวถึงก่อนหน้านี้
คุณจะทราบได้อย่างไรว่าเว็บไซต์มีความปลอดภัยหรือไม่?
เว็บไซต์ที่มีการรักษาความปลอดภัยด้วย SSL นั้นสามารถระบุได้อย่างง่ายดายด้วยสองสิ่ง:

- มีไอคอนแม่กุญแจสีเขียวถัดจากที่อยู่ URL (ขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้)
- URL เริ่มต้นด้วย https แทนที่จะเป็น http
อย่างไรก็ตาม ใบรับรอง SSL ยังมีวันหมดอายุ เมื่อวันดังกล่าวผ่านไป การสื่อสารจะไม่ปลอดภัยอีกต่อไป และจำเป็นต้องต่ออายุใบรับรอง คุณสามารถตรวจสอบได้ง่ายๆ ว่าใบรับรอง SSL ของเว็บไซต์ของคุณหมดอายุหรือไม่โดยคลิกที่ไอคอนแม่กุญแจก่อน และดำเนินการดังต่อไปนี้ ขึ้นอยู่กับเบราว์เซอร์ที่คุณใช้:
บน Firefox ให้คลิกปุ่มลูกศรทางด้านขวา จากนั้นคลิกลิงก์ ข้อมูลเพิ่มเติม สุดท้ายคลิกที่ปุ่ม ดูใบรับรอง ใต้แท็บ ความปลอดภัย เพื่อดูรายละเอียดใบรับรอง
หากคุณใช้ Chrome ให้คลิกที่ลิงก์ รายละเอียด จากนั้นคลิกปุ่ม ดูใบรับรอง ใต้แท็บ ภาพรวมความปลอดภัย
ในส่วน ระยะเวลา ที่ใช้ได้ จะมีวันที่ที่เกี่ยวข้องกับใบรับรองสองวัน ออกเมื่อ และ หมดอายุเมื่อวันที่ อันดับแรกคือวันที่เปิดใช้งานใบรับรอง ในขณะที่วันที่สองคือวันที่หมดอายุ หาก วันหมดอายุหมดอายุ ใบรับรองจำเป็นต้องต่ออายุและการสื่อสารไม่ปลอดภัยอีกต่อไป!
ทำไมต้องสนใจ SSL?
มีเหตุผลหลายประการ! รักษาความปลอดภัยในการสื่อสารระหว่างเว็บไซต์ของคุณและผู้เยี่ยมชม ตรวจสอบตัวตนของเว็บไซต์ของคุณ ตรวจสอบความถูกต้องของข้อมูลระหว่างเบราว์เซอร์และเว็บเซิร์ฟเวอร์ และแม้กระทั่งการได้รับอันดับ SEO ที่สูงขึ้น
การสื่อสารที่ปลอดภัยและการระบุตัวตนที่แท้จริงนั้นฟังดูดี แต่สิ่งที่พวกเขาปกป้องเว็บไซต์ของคุณจาก ? แนวคิดนี้อาจดูเหมือนคลุมเครือสำหรับบางคน ในความเป็นจริงทั้งสองทำงานร่วมกันในการต่อสู้บางทีอาจเป็นหนึ่งในวิธีการโจมตีแบบคลาสสิกที่สุดที่ได้รับการบันทึกไว้ในความปลอดภัยของคอมพิวเตอร์ การโจมตีแบบ "คนตรงกลาง" (หรือเรียกย่อว่า MitM)
สมมติว่าเรามีเว็บไซต์ที่ดำเนินการโดย Alice ซึ่ง Bob เข้าเยี่ยมชม (การโจมตียังใช้ได้กับบริการต่างๆ ไม่ใช่แค่เว็บไซต์) จนถึงตอนนี้ดีมาก จากนั้นก็มีคนเลวคนนี้ชื่อชาร์ลส์ (คนเลวในความปลอดภัยของคอมพิวเตอร์มักเรียกว่าชาร์ลส์ด้วยเหตุผลบางอย่าง นึกถึงมาร์ตินี่แบบแห้งและที่ซ่อนลับ)
ชาร์ลส์ใช้เทคนิคต่างๆ มากมายซึ่งซับซ้อนเกินกว่าจะอธิบายในบทความนี้ ได้เข้าควบคุมช่องทางการสื่อสารระหว่างอลิซกับบ็อบ เขานั่งเงียบ ๆ และมองไม่เห็นระหว่างพวกเขา

เมื่อบ็อบเยี่ยมชมเว็บไซต์ของอลิซ เขาคิดว่าเขาส่งและรับข้อมูลจากอลิซ ในความเป็นจริง ข้อมูลที่เขาส่งผ่านชาร์ลส์ ซึ่งส่งต่อไปยังอลิซ (ตรวจสอบให้แน่ใจก่อนทำอย่างนั้นเพื่อเก็บไว้ หรือแก้ไขในลักษณะที่ชั่วร้าย) เมื่อเว็บไซต์ของ Alice ตอบกลับ ข้อมูลจาก Charles ถึง Bob อีกครั้ง มันเหมือนกับการดักฟังเสียงอันทรงพลัง นอกเหนือจากความสามารถในการจัดเก็บข้อมูลที่ละเอียดอ่อน เช่น อีเมล รหัสผ่าน และบัตรเครดิตแล้ว ชาร์ลส์ยังสามารถแอบอ้างเป็นส่วนหนึ่งของเว็บไซต์ของอลิซ หรือเซสชันการท่องเว็บของบ็อบได้อีกด้วย
ดังนั้นที่นี่เราจะเห็นว่าพันธมิตร SSL ของเราสองคน การระบุตัวตนที่พิสูจน์ตัวตน และการสื่อสารที่ปลอดภัย มาช่วยเหลือที่ใด!
เมื่อเว็บไซต์ของคุณได้รับการปกป้องโดย SSL การโจมตีแบบคนกลางก็ยากขึ้นมาก เมื่อ Bob เชื่อมต่อกับเว็บไซต์ของ Alice เขาจะได้รับใบรับรองของเซิร์ฟเวอร์และตรวจสอบกับ CA หลังจากตรวจสอบใบรับรองแล้ว เซิร์ฟเวอร์และไคลเอ็นต์จะแลกเปลี่ยนข้อมูลเพิ่มเติม จากนั้นการสื่อสารข้อมูลจะเริ่มต้นขึ้น (เช่น การเข้ารหัสประเภทใดที่พวกเขาจะใช้ กระบวนการที่เรียกว่าการจับมือกัน) ถ้าชาร์ลส์พยายามปลอมตัวเป็นอลิซโดยส่งกุญแจสาธารณะให้กับบ็อบ เขาก็คงไม่ไปไกลมาก ภายในใบรับรอง มีสตริงข้อมูลที่เรียกว่าลายเซ็นดิจิทัล ซึ่งรับรองความสมบูรณ์ของไฟล์ หากส่วนใดส่วนหนึ่งของใบรับรองเปลี่ยนแปลง ลายเซ็นก็จะเปลี่ยนไปด้วย
ดังนั้น หาก Charles พยายามเปลี่ยนกุญแจสาธารณะ CA จะปฏิเสธใบรับรองและแจ้งให้ Bob ทราบ (เนื่องจากลายเซ็นดิจิทัลที่คำนวณโดย CA จะไม่ตรงกับลายเซ็นปัจจุบันบนใบรับรอง) เนื่องจากชาร์ลสไม่มีคีย์ส่วนตัวของอลิซ เขาจึงถอดรหัสการสื่อสารไม่ได้ วิธีเดียวที่ Charles จะทำได้คือพยายามประนีประนอมเซิร์ฟเวอร์ของ CA ด้วย
แต่นอกจากจะปกป้องคุณจากคนเลวที่ดื่มมาร์ตินี่แล้ว ยังช่วยปรับปรุงอันดับ SEO ของคุณอีกด้วย! ตามบล็อกโพสต์ของ Google Webmasters โดย Zineb Ait Bahajji และ Gary Illyes นั้น HTTPS ถูกใช้เป็นสัญญาณการจัดอันดับ:

“ เราเห็นผลในเชิงบวก ดังนั้นเราจึงเริ่มใช้ HTTPS เป็นสัญญาณการจัดอันดับ สำหรับตอนนี้ก็เป็นเพียงสัญญาณที่เบามากเท่านั้น แต่เมื่อเวลาผ่านไป เราอาจตัดสินใจที่จะเสริมความแข็งแกร่ง เนื่องจากเราต้องการสนับสนุนให้เจ้าของเว็บไซต์ทั้งหมดเปลี่ยนจาก HTTP เป็น HTTPS เพื่อให้ทุกคนปลอดภัยบนเว็บ “
นอกจากนี้ ในเดือนกันยายน บล็อก Google Security ได้ประกาศว่าเบราว์เซอร์ Chrome จะเริ่มติดป้ายกำกับเว็บไซต์อย่างชัดแจ้งว่า "ไม่ปลอดภัย" สิ่งนี้ทำในความพยายามที่จะ "ก้าวไปสู่เว็บที่ปลอดภัยยิ่งขึ้น" และสร้างความตระหนักรู้ในผู้ใช้
มันทำงานอย่างไร?
จนถึงตอนนี้ เราได้พูดคุยเกี่ยวกับใบรับรอง SSL และความสำคัญในการให้ความปลอดภัยและการรับรองความถูกต้องของข้อมูลประจำตัว ในส่วนนี้เราจะพับแขนเสื้อขึ้นและลงลึกในรายละเอียด!
SSL ทำงานโดยใช้ระบบที่เรียกว่าโครงสร้างพื้นฐานของกุญแจสาธารณะ (หรือ PKI สำหรับการเรียงลำดับ)
PKI เป็นระบบรักษาความปลอดภัยคอมพิวเตอร์ที่ใช้ในการแก้ปัญหาวิธีการสื่อสารอย่างปลอดภัยผ่านเครือข่ายที่ไม่ปลอดภัย พูดง่ายๆ ก็คือ หากอลิซและบ็อบต้องการสื่อสารอย่างปลอดภัยผ่านอินเทอร์เน็ต พวกเขาจำเป็นต้องแลกเปลี่ยนคีย์เข้ารหัสบางประเภท แต่ถ้าพวกเขาทำเช่นนี้ และใครบางคนที่อยู่ในระหว่างพวกเขาและเป็นเจ้าของคอมพิวเตอร์ได้รับกุญแจนั้น เขาจะสามารถอ่านการสื่อสารทั้งหมดในอนาคตได้! (อาจไม่ใช่บุคคลประเภท Charles ผู้ดูแลระบบเนื่องจากลักษณะงานมีสิทธิ์เข้าถึงข้อมูลข้อความธรรมดาทั้งหมดที่ส่งผ่านเซิร์ฟเวอร์ของตนด้วย)
นี่อาจดูเหมือนเป็นปัญหาที่ขัดแย้งกัน แต่มันแก้ไขได้ด้วยการใช้คีย์ร่วมกันไม่ใช่เพียงคีย์เดียว แต่ด้วยคีย์คู่ สาธารณะและส่วนตัว:
- Alice และ Bob แลกเปลี่ยน กุญแจสาธารณะ ของพวกเขา เนื่องจากข้อมูลเหล่านี้เป็นแบบสาธารณะ จึงสามารถส่งผ่านเครือข่ายที่ไม่ปลอดภัยได้โดยไม่ต้องกังวล อันที่จริงแล้ว การโพสต์ในที่สาธารณะคือจุดประสงค์ของพวกมัน!
- จากนั้น Alice จะเข้ารหัสข้อความที่เธอต้องการส่งถึง Bob โดยใช้ คีย์ส่วนตัวของเธอกับกุญแจ สาธารณะของ Bob
- Bob ได้รับข้อความและถอดรหัสโดยใช้ คีย์ส่วนตัวของเขากับกุญแจ สาธารณะของ Alice
คีย์ส่วนตัวมักจะเก็บไว้ในคอมพิวเตอร์ของคุณ (หรือไดรฟ์ USB หรือที่ใดที่หนึ่งที่คุณรู้ว่าปลอดภัย) ไม่ว่าใครจะอ่านอีเมลของคุณหรือการสื่อสารในเครือข่าย พวกเขาจะได้รับเฉพาะข้อความที่ดูสับสนโดยไม่มีคีย์ส่วนตัวของคุณ
อีกแง่มุมที่เป็นประโยชน์ของการเข้ารหัสคีย์สาธารณะคือแนวคิดของลายเซ็นดิจิทัล เราพูดถึงเรื่องนี้ก่อนหน้านี้เมื่อ Charles พยายามแก้ไขใบรับรอง
เมื่ออลิซส่งข้อความถึงบ๊อบ เธอยังสามารถเซ็นชื่อแบบดิจิทัลโดยใช้คีย์ส่วนตัวของเธอ เพื่อให้แน่ใจว่าข้อความนั้นส่งโดยอลิซ ไม่ใช่ใครอื่น ลายเซ็นดิจิทัลเป็นตัวเลขฐานสิบหกแบบยาวที่คำนวณโดยใช้ข้อมูลของใบรับรอง แม้ว่าใบรับรองจะเปลี่ยนแปลงไปหนึ่งไบต์ ลายเซ็นดิจิทัลก็จะเปลี่ยนไปเช่นกัน และ CA จะปฏิเสธ
ใบรับรอง SSL เป็นเพียงไฟล์ข้อมูลที่ติดตั้งบนระบบ (โดยทั่วไปแล้วบนเว็บเซิร์ฟเวอร์) และทำงานในลักษณะเดียวกัน มันเข้ารหัสการสื่อสารและรับรองตัวตนของเอนทิตี (ในกรณีของเราคือเว็บไซต์) มันมีข้อมูลเช่น:
- ชื่อเจ้าของใบรับรอง
- ที่อยู่อีเมล
- ระยะเวลาที่ใช้ได้
- ชื่อโดเมนแบบเต็มของเว็บเซิร์ฟเวอร์
- กุญแจสาธารณะของเจ้าของ
- ลายเซ็นดิจิทัลที่รับประกันว่าใบรับรองจะไม่มีการเปลี่ยนแปลงแต่อย่างใด
ใช้ข้อมูลทั้งหมดนี้เพื่อเชื่อมโยงหน่วยงาน/องค์กรกับระบบนั้นอย่างมีประสิทธิภาพ
มีสองวิธีในการออกใบรับรอง อย่างแรกคือต้องเซ็นต์เอง (เซ็นเอง) ส่วนที่สองคือต้องเซ็นต์ผ่าน Certificate Authority (ที่ไว้ใจได้)
ใบรับรองที่ลงนามเองและใบรับรองที่เชื่อถือได้ต่างกันอย่างไร
ใบรับรองที่ลงนามเองจะให้การเข้ารหัสระดับเดียวกับใบรับรองที่เชื่อถือได้ แต่ไม่รับประกันตัวตนของเจ้าของ ส่วนใหญ่จะใช้สำหรับการทดสอบหรือในโครงสร้างพื้นฐานเครือข่ายท้องถิ่นที่ไม่จำเป็นต้องมีเจ้าของที่เชื่อมโยงกับระบบ
ในทางกลับกัน ใบรับรองที่เชื่อถือได้ ให้ทั้งการเข้ารหัสและการตรวจสอบตัวตน ใบรับรองออกโดยบุคคลที่สาม (CA) ที่ยืนยันตัวตนของเจ้าของใบรับรองโดยใช้การตรวจสอบภูมิหลังจำนวนหนึ่ง
นี่หมายความว่าคุณต้องเชื่อถือ CA ถ้าเป็นคนโกงแล้วจะรู้ได้อย่างไร?
สิ่งนี้สามารถเกิดขึ้นได้อย่างแน่นอนและเคยเกิดขึ้นมาแล้วหลายครั้ง เนื่องจากเป็นเรื่องของความไว้วางใจอย่างแท้จริง ทางออกเดียวคือต้องแน่ใจว่า CA ที่คุณใช้อยู่นั้นเป็นองค์กรที่เป็นที่รู้จักและเป็นที่ยอมรับและมีเกียรติ CAs เรียกเก็บเงินสำหรับการออกใบรับรอง (โดยปกติจากเพียง $ 10 ถึงผลรวมสามหลัก) แต่ไม่ควรตกหลุมพรางของการคิดว่า CA ที่มีราคาแพงหมายถึงความไว้วางใจและความปลอดภัยที่มากขึ้น!
วิธี SSL รักษาความปลอดภัยเว็บไซต์ของคุณโดยใช้ Let's Encrypt
มีหลายวิธีในการสร้างใบรับรอง Let's Encrypt และติดตั้งบนเว็บเซิร์ฟเวอร์ของคุณ กระบวนการขึ้นอยู่กับว่าคุณจะทำงานจากเชลล์ Unix หรือไม่ ประเภทของเว็บเซิร์ฟเวอร์ที่คุณกำลังใช้งาน ฯลฯ ชี้เบราว์เซอร์ของคุณไปที่หน้าเริ่มต้นใช้งาน Let's Encrypt เพื่อค้นหาข้อมูลเพิ่มเติม
หากคุณเป็นลูกค้าของ Pressidium อยู่แล้ว สิ่งต่างๆ จะไม่ง่ายไปกว่านี้แล้ว!
ขั้นแรก เข้าสู่ระบบบัญชี Pressidium Portal ของคุณ:
- คลิกที่แท็บ ใบรับรอง SSL
- คลิกที่ปุ่ม สร้างใบรับรอง Let's Encrypt ฟรี
- เลือกเว็บไซต์ที่คุณต้องการติดตั้งใบรับรองโดยเลือกจากเมนูดรอปดาวน์ Install Let's Encrypt
- สุดท้าย คลิกที่ปุ่ม Create & Install SSL Certificate เสร็จแล้ว!
เพื่อทดสอบว่าเปิดใช้งาน SSL บนเว็บไซต์ของคุณหรือไม่ ให้เปิดเบราว์เซอร์และไปที่ URL ของเว็บไซต์ของคุณโดยใช้ https ในที่อยู่ หากเบราว์เซอร์ของคุณแสดงสัญลักษณ์แม่กุญแจสีเขียวที่คุ้นเคย แสดงว่าคุณอยู่ในธุรกิจ!
ใบรับรอง Let's Encrypt ใหม่ของคุณมีช่วงเวลา 90 วัน แต่จะสร้างขึ้นใหม่เองโดยอัตโนมัติ คุณยังสามารถจัดการและติดตั้งใบรับรองที่คุณซื้อได้จากพอร์ทัล อ่านโพสต์ฐานความรู้นี้เพื่อค้นหาข้อมูลทั้งหมด!
การรักษาความปลอดภัยเป็นกระบวนการ ไม่ใช่โซลูชันแบบเบ็ดเสร็จ
ความจริงที่ยากคือคุณไม่สามารถซื้อบางอย่างหรือติดตั้งซอฟต์แวร์แล้วลืมมันไป และคิดว่าคุณจัดการกับปัญหาด้านความปลอดภัยทั้งหมดได้สำเร็จ ความปลอดภัยของคอมพิวเตอร์เป็นปริศนาขนาดใหญ่ที่เกี่ยวข้องกับกลไกทางเทคนิค นโยบาย คอมพิวเตอร์ และเหนือสิ่งอื่นใดคือผู้คนและจิตวิทยาของมนุษย์! คุณต้องทำให้จิ๊กซอว์ทุกชิ้นถูกต้องและดูแลมันอย่างต่อเนื่อง เป็นกระบวนการและไม่ใช่วิธีแก้ปัญหาแบบเบ็ดเสร็จ
ปัจจัยมนุษย์คือสิ่งที่ผู้ใช้ที่มุ่งร้ายใช้ประโยชน์ซ้ำแล้วซ้ำเล่า เราสำรอง 100% ความคิดริเริ่มใด ๆ ที่พยายามแจ้ง จัดหาเครื่องมือ และเพิ่มการรับรู้ของสาธารณชนในเรื่องความปลอดภัยทางอินเทอร์เน็ต ในบทความต่อๆ ไป เราจะเจาะลึกประเด็นด้านความปลอดภัยของ WordPress อย่างลึกซึ้งและละเอียดยิ่งขึ้น ผู้คนและองค์กรใช้ WordPress เพื่อมอบคุณค่าและอาหารบนโต๊ะสำหรับคนจำนวนมาก เหตุการณ์ด้านความปลอดภัยไม่ได้เกี่ยวกับการทำลายเว็บไซต์และกราฟิตีในโลกไซเบอร์อีกต่อไปแต่จะส่งผลกระทบต่อชีวิตของผู้อื่นอย่างเป็นรูปธรรม และนี่คือสิ่งที่เราให้ความสำคัญอย่างมาก