มาตรวจสุขภาพของ HTTPS อย่างง่ายๆ

Secure Socket Layer (SSL) เป็นการเข้ารหัสของโปรโตคอล Hyper Text Transfer Protocol หรือรู้จักกันในนามของ HTTP วิธีการสังเกตว่าเว็บใดใช้ SSL ก็ให้ดูที่ชื่อเว็บด้านบนของเว็บเบราเซอร์ที่กำลังใช้งานอยู่ว่าเป็น HTTPS หรือไม่

HTTPS นิยมนำมาใช้กับเว็บที่ให้บริการซื้อขายหรือทำธุรกรรมออนไลน์ ไม่ว่าจะเป็นเว็บไซต์ของธนาคาร สถาบันการเงิน หรือแม้กระทั้งร้านค้าออนไลน์ต่างๆ เนื่องจากไม่ใช้วิธีการเข้ารหัสข้อมูลของลูกค้าแล้ว จะทำให้ลูกค้าไม่เชื่อถือ รู้สึกถึงความเสี่ยงที่อาจเกิดขึ้น และอาจจะส่งผลให้ลูกค้าไม่กล้าที่จะทำธุรกรรมต่างๆในเว็บของเราได้ ดังนั้นจึงไม่น่าแปลกใจเลยว่าทำไมแฮกเกอร์จึงพยายามโจมตี HTTPS

ถ้าหากส่งข้อมูลด้วย HTTP ธรรมดา แล้วลองดักจับแพ็กเก็ตที่ถูกส่งออกจากเว็บเบราเซอร์ของเราแล้วจะพบว่าข้อมูลที่ถูกส่งนั้นจะเป็นตัวอักษรที่ไม่ได้เข้ารหัสไว้ (Plain Text) ซึ่งหากเรากรอกข้อมูลส่วนตัว ไม่ว่าจะเป็นรหัสบัตรเครดิต รหัสผ่านต่างๆ ก็จะทำให้แฮกเกอร์สามารถอ่านข้อมูลเหล่านี้ได้อย่างง่ายดาย แต่ถ้าหากส่งข้อมูลด้วย HTTPS จะเป็นการเข้ารหัสข้อมูลก่อนที่จะส่งออกจากหน้าเว็บเบราเซอร์ ทำให้ถึงแฮกเกอร์มาดักข้อมูลของเราไป ก็ยังเปิดไม่ได้อยู่ดี อย่างไรก็ตามก็ต้องขึ้นอยู่ระดับการปรับแต่งค่าต่างๆของเซิร์ฟเวอร์ให้มีความปลอดภัยด้วย ซึ่งในบทความนี้ผู้เขียนจะมาแนะนำเว็บไซต์สำหรับตรวจสอบความแข็งแรงของโปรโตคอล HTTPS ที่ใช้อยู่ในเว็บไซต์ของเราด้วย เพื่อไม่ให้ลูกค้าของเราตกเป็นเหยื่อ และเว็บไซต์ของเราจะได้มีระดับความปลอดภัยสูงขึ้น ส่งผลให้ความน่าเชื่อถือของเรา และลูกค้าของเราเพิ่มขึ้นอีกด้วย

เว็บไซต์ https://www.ssllabs.com/ssldb/index.html ของ Qualys SSL Labs ให้บริการตรวจสอบหาจุดอ่อนของ HTTPS ของเว็บต่างๆโดยไม่คิดค่าใช้จ่าย และวิธีการตรวจสอบก็ทำได้อย่างง่าย เพียงกรอกชื่อเว็บไซต์ที่ต้องการจะตรวจสอบ  จากนั้นก็กดปุ่ม "Submit" เพื่อยืนยันการตรวจสอบ ดังรูปที่ 1 แล้วก็นั่งรอผลไม่เกิน 5 นาที

 รูปที่ 1 แสดงหน้าของเว็บไซต์ https://www.ssllabs.com/ssldb/index.html

จากนั้นหากเว็บไซต์ดังกล่าวมีเซิร์ฟเวอร์หลายเครื่อง โปรแกรมดังกล่าวจะแจ้งรายการเซิร์ฟเวอร์ออกมา เพื่อให้ผู้ใช้สามารถเลือกเซิร์ฟเวอร์ที่เราต้องการจะดูได้ จากในรูปที่ 2 ผู้เขียนได้ลองให้ตรวจ SSL ของเว็บ Facebook.com จะเห็นว่าจะมีรายละเอียดของเซิร์ฟเวอร์หลายเครื่องด้วยกัน ทำให้เราสามารถเห็นภาพรวมของเซิร์ฟเวอร์ที่เราดูแลต่างๆ ว่ามีเครื่องเซิร์ฟเวอร์ดังบ้างอาจจะเป็นจุดอ่อนของระบบ เพื่อให้ผู้ดูแลต้องทำการตรวจสอบเพิ่ม และปรับปรุงระบบด้วยต่อไป และที่สำคัญคือสามารถดูผลการประเมินว่าเว็บเซิร์ฟเวอร์ของเรานั้นมี HTTPS ที่ปลอดภัยอยู่ในระดับใด

รูปที่ 2 แสดงผลการตรวจสอบ SSL แล้วมีเครื่องเซิร์ฟเวอร์หลายเครื่อง

หากเราเลือกดูรายละเอียดเพิ่มเติม ที่ผลจากรูปที่ 2  เมื่อเลือกที่รายงานผลการตรวจสอบสัก 1  ฉบับ ก็จะเห็นรายละเอียดต่างๆ ดังรูปที่ 3

 

รูปที่ 3 แสดงรายละเอียดผลการตรวจสอบจุดอ่อนของ HTTPS 

ถ้าหากเว็บผู้ให้บริการได้รับการประเมินอยู่ในระดับสูง แล้วจะส่งผลต่อความเชื่อมั่นของเราที่เป็นลูกค้าอย่างมาก อย่างไรก็ตามถึงแม้ว่าทางผู้ให้บริการนั้นจะเตรียมระบบที่มีความปลอดภัยสูงอยู่แล้ว ก็ยังไม่เพียงพอ ดังนั้นเราที่เป็นลูกค้าก็จะเป็นจะต้องดูแลความปลอดภัยของเครื่องคอมพิวเตอร์และอุปกรณ์เชื่อมต่ออินเทอร์เน็ตของเราด้วย เช่นการป้องกันไวรัสคอมพิวเตอร์ การอัพเดตโปรแกรมต่างๆ การมีความตระหนักก่อนที่หลงเชื่อเว็บไซต์ที่อาจจะถูกปลอมแปลงมา เป็นต้น