บทนำสู่ใบรับรอง SSL สำหรับ WooCommerce

เผยแพร่แล้ว: 2015-12-24

ส่วนหนึ่งของกระบวนการเริ่มต้นร้านค้าออนไลน์คือการหาวิธีรักษาความปลอดภัยให้กับนักช้อปของคุณ คุณต้องการให้ผู้มีโอกาสเป็นลูกค้ารู้สึกปลอดภัย และรู้ว่าข้อมูลของพวกเขาจะไม่ตกไปอยู่ในมือของผู้ไม่ประสงค์ดี

หากคุณเพิ่งเริ่มใช้อีคอมเมิร์ซ คุณอาจเคยได้ยินบทสนทนาเกี่ยวกับใบรับรอง SSL หรือ HTTPS ซึ่งเป็นส่วนหนึ่งของกระบวนการรักษาความปลอดภัยนี้ และคุณอาจจะสับสนโดยสิ้นเชิงกับมัน ผ่อนคลาย นั่นเป็นเรื่องปกติ และเราช่วยได้

SSL ดูเหมือน จะเป็นหัวข้อที่ซับซ้อน แต่เมื่อคุณเข้าใจหลักฐานและเหตุผลที่ร้านค้าของคุณอาจต้องการ ก็ไม่ใช่สิ่งที่คุณจะต้องใช้เวลากังวลเกี่ยวกับ ที่จริงแล้ว สำหรับเจ้าของร้านค้าส่วนใหญ่ คุณสามารถรับใบรับรองเพื่อเพิ่ม SSL ให้กับร้านค้าของคุณได้ในเวลาเพียงไม่กี่นาที

มาดูกันว่า SSL คืออะไร เหตุใดคุณจึงจำเป็นต้องใช้ และวิธีขอรับใบรับรองสำหรับร้านค้าของคุณ ในตอนท้ายของโพสต์นี้ ความสับสนของคุณจะหายไป และคุณควรพร้อมมากขึ้นที่จะเริ่มขายออนไลน์

ใบรับรอง SSL อธิบาย

เพื่อทำความเข้าใจว่าใบรับรอง SSL คืออะไรและเหตุใดคุณจึงอาจต้องใช้ ขั้นแรกมาดูเทคโนโลยีเบื้องหลังกันก่อน

บทเรียนสั้นๆ เกี่ยวกับ SSL

SSL ย่อมาจาก “Secure Sockets Layer” แม้ว่าบางครั้งจะเรียกว่า “Transport Layer Security” (หรือ TLS) ด้วยตัวมันเอง SSL เป็นโปรโตคอลที่ใช้ในการรักษาความปลอดภัยและปกป้องธุรกรรม แม้ว่าจะไม่จำเป็นต้องเป็นธุรกรรมทางการเงินก็ตาม — ระหว่างปลายทางในเครือข่าย

SSL อาศัยการเข้ารหัสเพื่อทำให้ธุรกรรมเหล่านี้เป็นส่วนตัว แต่ละข้อความที่ส่งจะต้องผ่านการตรวจสอบภายในเพื่อความสมบูรณ์ของการเข้ารหัสก่อนที่จะสำเร็จ หากการตรวจสอบล้มเหลว (เนื่องจากข้อมูลเสียหาย หรือการพยายามแก้ไขหรือบันทึกข้อมูลโดยไม่คาดคิด) ข้อมูลที่เข้ารหัสจะไม่ถูกเปิดเผย

เราใช้ SSL ทุกวันเมื่อเราเรียกดูเว็บไซต์ทั่วไป เช่น Facebook, YouTube และร้านค้าออนไลน์ การเข้ารหัสที่ใช้ป้องกันผู้ที่มีเจตนาร้ายจากการสกัดกั้นธุรกรรมที่ไร้เดียงสาเหมือนคำค้นหาของคุณ… หรืออันตรายเท่าข้อมูลบัตรเครดิตของคุณ

วิธีการใช้ SSL กับใบรับรองเว็บไซต์

เมื่อเว็บไซต์ต้องการรักษาความปลอดภัยในการทำธุรกรรม เว็บไซต์จะได้รับใบรับรอง SSL สำหรับโดเมนนั้น ใบรับรอง SSL ใช้การเข้ารหัสที่อธิบายข้างต้นกับกิจกรรมเว็บไซต์ทั้งหมด รวมถึงการส่งหน้าและแบบฟอร์ม ธุรกรรมทางการเงิน และอื่นๆ ซึ่งจะป้องกันการโจรกรรมข้อมูลหรือการโจมตีอื่นๆ

ใบรับรอง SSL ยังมีข้อมูลความปลอดภัยที่สำคัญ ซึ่งรวมถึง:

  • ชื่อ บริษัท
  • ที่ตั้งบริษัท
  • ระยะเวลาที่ใบรับรองดีสำหรับ
  • รายละเอียดของผู้มีอำนาจออกใบรับรอง

ซึ่งช่วยให้ผู้ที่ไม่แน่ใจเกี่ยวกับความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์สามารถคลิกไอคอน "ล็อก" สีเขียวในเบราว์เซอร์เพื่อตรวจสอบข้อมูลเพิ่มเติม หากยังรู้สึกไม่ปลอดภัยก็สามารถออกจากไซต์ได้

ตัวอย่างประเภทข้อมูลที่คุณสามารถดูได้เมื่อตรวจสอบใบรับรอง SSL ในกรณีนี้คือบล็อก Webmaster Central ของ Google
ตัวอย่างประเภทข้อมูลที่คุณสามารถดูได้เมื่อตรวจสอบใบรับรอง SSL ในกรณีนี้คือบล็อก Webmaster Central ของ Google

จะทราบได้อย่างไรว่าเว็บไซต์ใช้ SSL/TLS

มีสองวิธีที่รวดเร็วในการบอกได้ว่าเว็บไซต์ใดมีใบรับรอง SSL มองหา:

  • ไอคอน "ล็อค" สีเขียว ในแถบที่อยู่และ
  • URL ที่ขึ้นต้นด้วย https แทนที่จะเป็น http

ขึ้นอยู่กับวิธีที่เว็บไซต์ใช้ SSL ซึ่งอาจใช้ไม่ได้กับทุกหน้า ดังที่คุณจะได้เรียนรู้ด้านล่าง

การใช้งาน SSL เปลี่ยนไปอย่างไร

มาระยะหนึ่งแล้ว มาตรฐานอินเทอร์เน็ตแนะนำให้ใช้ใบรับรอง SSL สำหรับโดเมนหรือหน้าเฉพาะของเว็บไซต์ที่จะส่งหรือรับข้อมูลที่ละเอียดอ่อน (เช่น ข้อมูลทางการเงิน) อย่างไรก็ตาม คำแนะนำนั้นกำลังเปลี่ยนแปลงอย่างช้าๆ

ในเดือนสิงหาคม 2014 Google ประกาศว่า จะเพิ่มการรักษาความปลอดภัยของเว็บไซต์เป็น "สัญญาณการจัดอันดับแบบเบา" สำหรับผลลัพธ์ในเครื่องมือค้นหา ซึ่งหมายความว่าเว็บไซต์ที่มีการรักษาความปลอดภัยด้วย SSL/TLS มีโอกาสที่ดีกว่าในการจัดอันดับที่สูงกว่าสำหรับข้อความค้นหาที่ไม่ปลอดภัย โดยถือว่าปัจจัยอื่นๆ เหมือนกันทั้งหมด

จากประกาศ:

[W] ได้ทำการทดสอบโดยพิจารณาว่าไซต์ใช้การเชื่อมต่อที่ปลอดภัยและเข้ารหัสเป็นสัญญาณในอัลกอริธึมการจัดอันดับการค้นหาของเราหรือไม่ เราเห็นผลในเชิงบวก ดังนั้นเราจึงเริ่มใช้ HTTPS เป็นสัญญาณการจัดอันดับ สำหรับตอนนี้ เป็นเพียงสัญญาณที่เบามาก […] ในขณะที่เราให้เวลาผู้ดูแลเว็บเปลี่ยนไปใช้ HTTPS แต่เมื่อเวลาผ่านไป เราอาจตัดสินใจที่จะเสริมความแข็งแกร่ง เนื่องจากเราต้องการสนับสนุนให้เจ้าของเว็บไซต์ทั้งหมดเปลี่ยนจาก HTTP เป็น HTTPS เพื่อให้ทุกคนปลอดภัย

ในปีที่ผ่านมา ผลกระทบที่อาจเกิดขึ้นจากการเปลี่ยนแปลงนี้ได้ทำให้เจ้าของเว็บไซต์จำนวนมาก — ไม่ใช่แค่เจ้าของร้านค้า — เข้ารหัสเว็บไซต์ของตนด้วยใบรับรอง SSL แบบเต็ม โดยเปลี่ยน URL เป็น “https” แทนที่จะเป็น “http”

อย่างไรก็ตาม การดำเนินการนี้ไม่ได้ กำหนดให้ ใครต้องรักษาความปลอดภัยทั้งไซต์ด้วย SSL หากพวกเขาเลือก เจ้าของเว็บไซต์และร้านค้ายังสามารถวางหน้าที่ละเอียดอ่อนทั้งหมดของตนไว้ในโดเมนย่อย และซื้อใบรับรองสำหรับโดเมนนั้นเพียงอย่างเดียว โดยปล่อยให้หน้าที่เหลือไม่มีการเข้ารหัส

จะทราบได้อย่างไรว่าร้านค้าออนไลน์ของคุณต้องการ SSL

อ่านทั้งหมดนี้ คุณอาจมั่นใจว่าคุณต้องมีใบรับรอง SSL ท้ายที่สุดการรักษาความปลอดภัยเป็นสิ่งสำคัญสำหรับคุณใช่ไหม

อย่างไรก็ตาม หากคุณไม่ได้บันทึกหรือจัดเก็บข้อมูลที่ละเอียดอ่อน คุณอาจไม่จำเป็นต้องใช้ใบรับรอง มันอาจจะฟังดูแปลกๆ งั้นเราไปกันเถอะ

สถานการณ์สมมติที่พบบ่อยที่สุดที่ทำให้เจ้าของร้านค้าได้รับการยกเว้นจากความต้องการ SSL คือการใช้ตัวประมวลผลการชำระเงินนอกสถานที่ ตัวอย่างเช่น PayPal เนื่องจาก PayPal มีหน้าที่รับผิดชอบในการเก็บรวบรวมและจัดเก็บข้อมูลการชำระเงินที่ละเอียดอ่อนทั้งหมดของลูกค้าของคุณ ดังนั้นจึง ไม่เคยจัดเก็บไว้ในฐานข้อมูลของคุณ

ผู้ประมวลผลการชำระเงินนอกสถานที่มีมาตรฐานความปลอดภัย ใบรับรอง และวิธีการส่งข้อมูลอย่างปลอดภัยจากและไปยังร้านค้าของคุณ ดังนั้นคุณไม่จำเป็นต้องมี SSL เพราะมันครอบคลุม

หากคุณไม่เก็บข้อมูลการชำระเงินที่ละเอียดอ่อน คุณอาจไม่จำเป็นต้องใช้ SSL
หากคุณไม่เก็บข้อมูลการชำระเงินที่ละเอียดอ่อน คุณอาจไม่จำเป็นต้องใช้ SSL

อีกกรณีหนึ่งคือ หากคุณไม่อนุญาตให้ลูกค้าสร้างบัญชีหรือเข้าสู่ระบบโดยใช้รหัสผ่านใดๆ แม้ว่าคุณจะใช้เกตเวย์การชำระเงินภายนอกทั้งหมดซึ่งเป็นบุคคลที่สาม คุณอาจยังมีลูกค้าที่สร้างบัญชีร่วมกับคุณเพื่อบันทึกที่อยู่สำหรับจัดส่งและเรียกเก็บเงิน

แม้ว่า ข้อมูลนี้ จะเป็นข้อมูลที่ละเอียดอ่อนน้อยกว่ามาก แต่ลูกค้าจำนวนมากมักใช้รหัสผ่านเดียวกันสำหรับทุกบัญชี ดังนั้นวิศวกรรมย้อนกลับเล็กน้อยอาจทำให้แฮ็กเกอร์เข้าถึง เช่น บัญชีอีเมลของนักช้อป บัญชีธนาคาร... คุณตั้งชื่อมัน ซึ่งหมายความว่า เว้นแต่ว่าการสร้างบัญชีถูกปิดใช้งานในร้านค้าของคุณ คุณจะต้องใช้ SSL เพื่อปกป้องรหัสผ่านและการเข้าสู่ระบบเหล่า นั้น

โดยสรุป ปัจจัยสองประการที่สามารถกำจัด SSL ตามความต้องการคือ:

  • การใช้เกตเวย์การชำระเงินนอกสถานที่โดยสมบูรณ์ และ
  • ลูกค้าไม่อนุญาตให้ใช้ฟังก์ชันบัญชีหรือรหัสผ่านโดยเด็ดขาด

หากคุณไม่มีปัจจัยทั้งสองนี้ คุณจะต้องมีใบรับรองสำหรับร้านค้าของคุณ และถึงแม้ว่าคุณจะทำเช่นนั้น คุณก็ยังควรพิจารณา เนื่องจากความเป็นไปได้ที่ HTTPS จะมีความสำคัญมากขึ้นสำหรับการจัดอันดับ และความอุ่นใจของลูกค้าในอนาคต

ต้องการ SSL? วิธีรับใบรับรอง (สองวิธี)

วิธีมาตรฐานในการรักษาความปลอดภัยร้านค้าของคุณด้วย SSL จนกระทั่งเมื่อไม่นานนี้ก็คือ การจ่ายใบรับรองให้กับบุคคลที่สาม ขณะนี้มีตัวเลือกอื่นตามที่กล่าวไว้ใน The State of the Word ที่ WordCamp US

มีสองวิธีในการรักษาความปลอดภัยร้านค้าและทำให้ลูกค้ามีความสุข

ชำระค่าใบรับรอง

ใบรับรอง SSL สามารถซื้อได้จากบุคคลที่สามที่หลากหลาย ผู้ค้าปลีกโดเมนหลายรายเสนอให้แก่ลูกค้าของตน (บางครั้งอาจรวมอยู่ในชื่อโดเมนของคุณด้วย) และยังมีบริษัทอิสระที่ขายเฉพาะใบรับรอง SSL อีกด้วย

ทางออกที่ดีที่สุดของคุณอาจเป็นการเริ่มต้นกับบริษัทที่คุณซื้อ (หรือกำลังวางแผนที่จะซื้อ) ชื่อโดเมนของร้านค้าของคุณเพื่อพิจารณาว่าพวกเขามีใบรับรองหรือชุดรวมประเภทใดๆ หรือไม่ หากไม่เป็นเช่นนั้น การค้นหาอย่างง่ายจะมีตัวเลือกที่เชื่อถือได้หลายตัว

ก่อนที่คุณจะซื้อ โปรด ใช้เวลาสองสามนาทีอย่างรอบคอบเพื่อพิจารณาประเภทของใบรับรองที่คุณต้องการ ใบรับรอง SSL พื้นฐานครอบคลุมโดเมนเดียวเท่านั้น — เช่น example.com หรือ subdomain.example.com แต่คุณยังสามารถซื้อใบรับรองแบบหลายโดเมน หรือใบรับรอง “ตัวแทน” เพื่อให้ครอบคลุมหลายโดเมนย่อย (example1.domain.com, example2.domain.com…)

ราคาสำหรับใบรับรองแบบชำระเงินมักมีตั้งแต่ 30 ถึง 50 เหรียญต่อปีสำหรับโดเมนเดียว และสูงสุด 300 เหรียญต่อปีสำหรับตัวเลือกหลายโดเมนหรือไวด์การ์ด

ใบรับรองฟรีจาก Let's Encrypt

ขณะนี้ Internet Security Research Group (ISRG) มีโปรแกรมชื่อ Let's Encrypt ในรุ่นเบต้าสาธารณะ Let's Encrypt ช่วยให้ทุกคนสามารถรักษาความปลอดภัยให้กับเว็บไซต์ของตนด้วย SSL/TLS ได้ฟรี — ทำให้เว็บไซต์และร้านค้าได้รับใบรับรอง SSL ถาวรฟรีอย่างมีประสิทธิภาพ

ประเด็นสำคัญ: Let's Encrypt ไม่ได้ตรงไปตรงมาเหมือนกับการทำงานกับผู้รับจดทะเบียนโดเมนเพื่อซื้อและติดตั้งใบรับรองของคุณ มันยังอยู่ในช่วงเบต้า ดังนั้นข้อบกพร่องจึงเป็นไปได้ อย่างไรก็ตาม มันยังคงฟรีอย่างสมบูรณ์และเป็นโอเพ่นซอร์สในตอนนั้น

ไดอะแกรมจาก Let's Encrypt แสดงให้เห็นว่าใบรับรองทำงานอย่างไร
ไดอะแกรมจาก Let's Encrypt แสดงให้เห็นว่าใบรับรองทำงานอย่างไร

หากคุณสนใจในเส้นทางนี้ เราขอแนะนำให้คุณส่งเอกสาร Let's Encrypt ให้กับนักพัฒนาของคุณ ซึ่งสามารถระบุปลั๊กอินและไคลเอนต์ที่คุณต้องการสำหรับเซิร์ฟเวอร์ของคุณ และจัดการกระบวนการติดตั้งใบรับรองให้กับคุณ

ผลของการไม่มีใบรับรอง

คุณอาจสงสัยว่า “จะเกิดอะไรขึ้นหากฉันเพิกเฉยต่อสิ่งนี้และไม่ได้รับใบรับรอง SSL”

จริงอยู่ไม่มีอะไรเกิดขึ้น แต่อาจมีผลร้ายแรงเช่นกัน ได้แก่:

  • นักช้อปหมดความไว้วางใจในตัวคุณเพราะร้านค้าของคุณไม่มีหลักประกัน
  • บุคคลที่น่ารังเกียจ “ปลอมแปลง” ร้านค้าของคุณเพราะไม่มีทางพิสูจน์ได้ว่าคุณเป็นเจ้าของหรือผู้ผลิตสินค้าของคุณจริงๆ
  • แฮ็กเกอร์ที่ใช้วิศวกรรมย้อนกลับเพื่อจี้อีเมลของลูกค้า โซเชียลมีเดีย หรือบัญชีออนไลน์อื่นๆ ที่มีข้อมูลที่ได้รับจากร้านค้าของคุณ
  • การขโมยข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินที่ละเอียดอ่อนซึ่งจัดเก็บไว้ในเซิร์ฟเวอร์ของคุณ
  • ฟันเฟืองทางการเงินของสาธารณะและที่อาจเกิดขึ้นจากเหตุการณ์ใดเหตุการณ์หนึ่งข้างต้น

อย่างที่คุณเห็น เป็นการดีกว่าที่จะจ่ายสำหรับใบรับรอง SSL และมีความอุ่นใจมากกว่าที่จะเสี่ยง แม้แต่การมีผู้มีโอกาสเป็นลูกค้ามารบกวนคุณเกี่ยวกับไอคอนแม่กุญแจที่หายไป – และอาจออกโดยไม่ได้ซื้อเพราะมันหายไป – ก็คุ้มกับเงิน $30 หรือประมาณนั้นต่อปีใช่ไหม

SSL ไม่จำเป็นต้องเป็นเรื่องที่ซับซ้อน

เราหวังว่าการแนะนำ SSL Certificate สำหรับอีคอมเมิร์ซจะช่วยให้คุณเข้าใจดีขึ้นเล็กน้อยว่าทำไมคุณอาจต้องการใบรับรองสำหรับร้านค้าออนไลน์ของคุณเอง

หากโชคดี SSL และความปลอดภัยของร้านค้าน่าจะเข้าใจได้ง่ายขึ้นในตอนนี้ แต่ถ้าคุณมีคำถามที่เหลือ เรายินดีที่จะตอบคำถามเหล่านี้ให้คุณในความคิดเห็นด้านล่าง! ถามออกไป เราพร้อมให้ความช่วยเหลือเสมอ