หากคุณรวบรวมข้อมูลที่ละเอียดอ่อนบนเว็บไซต์ของคุณ (รวมถึงอีเมลและรหัสผ่าน) คุณจะต้องปลอดภัย วิธีที่ดีที่สุดวิธีหนึ่งในการทำให้ตัวเองปลอดภัยคือการเปิดใช้งานใบรับรอง HTTPS หรือที่เรียกว่า SSL (Secure Sockets Layers) เพื่อให้ข้อมูลทั้งหมดที่ไปและกลับจากเซิร์ฟเวอร์ของคุณได้รับการเข้ารหัสโดยอัตโนมัติ ใบรับรอง HTTPS ป้องกันแฮ็กเกอร์จากการแฮ็กข้อมูลที่เป็นความลับของผู้ใช้ของคุณในขณะที่ถูกจัดเก็บไว้ในอินเทอร์เน็ต พวกเขาจะรู้สึกปลอดภัยเมื่อเห็นใบรับรอง HTTPS เมื่อเข้าถึงไซต์ของคุณ โดยรู้ว่าได้รับการคุ้มครองโดยใบรับรองความปลอดภัย
ประโยชน์ของใบรับรอง
สิ่งที่ดีที่สุดเกี่ยวกับใบรับรอง SSL เช่นเดียวกับ HTTPS ก็คือ ตั้งค่าได้ง่าย และเมื่อเสร็จแล้ว คุณจะต้องแนะนำให้ผู้อื่นใช้ใบรับรอง HTTPS แทน HTTP หากคุณพยายามเข้าถึงไซต์ของคุณโดยวาง https:// ไว้ข้างหน้า URL ของคุณทันที คุณจะได้รับข้อผิดพลาดใบรับรอง HTTPS เนื่องจากคุณยังไม่ได้ติดตั้งใบรับรอง HTTPS SSL แต่ไม่ต้องกังวล เราจะตั้งค่าให้ทันที!
ผู้เข้าชมเว็บไซต์ของคุณจะรู้สึกปลอดภัยยิ่งขึ้นเมื่อพวกเขาเห็นใบรับรอง HTTPS เมื่อเข้าถึงเว็บไซต์ของคุณ- รู้ว่าได้รับการคุ้มครองโดยใบรับรองความปลอดภัย
HTTPS คืออะไร
HTTP หรือ HTTPS จะแสดงที่จุดเริ่มต้นของทุก URL ของเว็บไซต์ในเว็บเบราว์เซอร์ HTTP ย่อมาจาก Hypertext Transfer Protocol และ S ใน HTTPS ย่อมาจาก Secure โดยทั่วไป สิ่งนี้จะอธิบายโปรโตคอลที่ใช้ส่งข้อมูลระหว่างเบราว์เซอร์ของคุณและเว็บไซต์ที่คุณกำลังดู
ใบรับรอง HTTPS ช่วยให้มั่นใจได้ว่าการสื่อสารระหว่างเบราว์เซอร์และเว็บไซต์ที่คุณกำลังดูทั้งหมดได้รับการเข้ารหัส ซึ่งหมายความว่าปลอดภัย เฉพาะคอมพิวเตอร์ที่รับและส่งเท่านั้นที่สามารถเห็นข้อมูลในขณะที่กำลังถ่ายโอนข้อมูล (ผู้อื่นสามารถเข้าถึงได้ แต่ไม่สามารถอ่านได้) ในไซต์ที่ปลอดภัย เว็บเบราว์เซอร์จะแสดงไอคอนแม่กุญแจในพื้นที่ URL เพื่อแจ้งให้คุณทราบ
HTTPS ควรอยู่ในเว็บไซต์ใดๆ ที่รวบรวมรหัสผ่าน การชำระเงิน ข้อมูลทางการแพทย์ หรือข้อมูลที่ละเอียดอ่อนอื่นๆ แต่ถ้าคุณสามารถรับใบรับรอง SSL ฟรีและใช้งานได้จริงสำหรับโดเมนของคุณ
การป้องกันเว็บไซต์ทำงานอย่างไร
ในการเปิดใช้งานใบรับรองความปลอดภัย HTTPS คุณต้องติดตั้ง SSL (Secure Socket Layer) ประกอบด้วยกุญแจสาธารณะที่จำเป็นสำหรับการเริ่มต้นเซสชันอย่างปลอดภัย เมื่อมีการร้องขอการเชื่อมต่อ HTTPS ไปยังหน้าเว็บ ไซต์จะส่งใบรับรอง SSL ไปยังเบราว์เซอร์ของคุณ จากนั้นพวกเขาจึงเริ่ม "SSL handshake" ซึ่งเกี่ยวข้องกับการแบ่งปัน "ความลับ" เพื่อสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเบราว์เซอร์ของคุณและเว็บไซต์
SSL แบบมาตรฐานและแบบขยาย
หากเว็บไซต์ใช้ใบรับรอง SSL มาตรฐาน คุณจะเห็นไอคอนล็อคในพื้นที่ URL ของเบราว์เซอร์ของคุณ หากใช้ใบรับรอง Extended Validation (EV) แถบที่อยู่หรือ URL จะเป็นสีเขียว มาตรฐาน EV SSL นั้นเหนือกว่ามาตรฐาน SSL EV SSL เป็นเครื่องพิสูจน์ตัวตนของเจ้าของโดเมน การได้รับใบรับรอง EV SSL ยังกำหนดให้ผู้สมัครต้องผ่านขั้นตอนการประเมินที่เข้มงวดเพื่อยืนยันความถูกต้องและความเป็นเจ้าของ
จะเกิดอะไรขึ้นหากคุณใช้ HTTPS โดยไม่มีใบรับรอง
แม้ว่าเว็บไซต์ของคุณจะไม่ยอมรับหรือแชร์ข้อมูลที่ละเอียดอ่อน แต่ก็มีสาเหตุหลายประการที่คุณอาจต้องการมีเว็บไซต์ที่ปลอดภัยและใช้ใบรับรอง SSL ฟรีและถูกต้องสำหรับโดเมนของคุณ
ประสิทธิภาพ. SSL สามารถปรับปรุงเวลาที่ใช้ในการโหลดหน้า
การเพิ่มประสิทธิภาพกลไกค้นหา (SEO) เป้าหมายของ Google คือการทำให้อินเทอร์เน็ตปลอดภัยสำหรับทุกคน ไม่ใช่แค่เฉพาะผู้ที่ใช้ Google Chrome, Gmail และไดรฟ์ เป็นต้น บริษัทกล่าวว่าการรักษาความปลอดภัยจะเป็นปัจจัยในการจัดอันดับเว็บไซต์ในผลการค้นหา เท่านี้ยังไม่พอ อย่างไรก็ตาม หากคุณมีเว็บไซต์ที่ปลอดภัยและคู่แข่งของคุณไม่มี เว็บไซต์ของคุณอาจอยู่ในอันดับที่สูงขึ้น ซึ่งอาจจำเป็นต้องเพิ่มความนิยมจากหน้าผลการค้นหา
หากไซต์ของคุณไม่ปลอดภัยและรวบรวมรหัสผ่านหรือบัตรเครดิต ผู้ใช้ Chrome 56 (เผยแพร่เมื่อมกราคม 2017) จะเห็นคำเตือนว่าว่าไซต์นั้นไม่ปลอดภัย ผู้เข้าชมที่ไม่คุ้นเคยกับเทคโนโลยี (ผู้ใช้เว็บไซต์ส่วนใหญ่) อาจตื่นตระหนกเมื่อเห็นช่อง "ข้อผิดพลาดใบรับรอง HTTPS" และออกจากไซต์ของคุณเพียงเพราะพวกเขาไม่เข้าใจความหมาย ในทางกลับกัน หากไซต์ของคุณปลอดภัย ก็สามารถทำให้ผู้เข้าชมรู้สึกสบายใจขึ้น ทำให้พวกเขามีแนวโน้มที่จะกรอกแบบฟอร์มลงทะเบียนหรือแสดงความคิดเห็นในไซต์ของคุณ Google มีแผนระยะยาวในการแสดงไซต์ HTTP ทั้งหมดว่าไม่ปลอดภัยใน Chrome
ฉันจะรับใบรับรอง HTTPS ฟรีได้ที่ไหน
คุณได้รับใบรับรอง SSL จากผู้ออกใบรับรอง ใบรับรองดังกล่าวมีอายุ 90 วัน แต่แนะนำให้ต่ออายุ 60 วัน แหล่งข้อมูลฟรีที่เชื่อถือได้:
- Cloudflare: ฟรีสำหรับเว็บไซต์และบล็อกส่วนตัว
- FreeSSL: ฟรีสำหรับองค์กรไม่แสวงผลกำไรและสตาร์ทอัพในขณะนี้ ไม่สามารถเป็นไคลเอนต์ Symantec, Thawte, GeoTrust หรือ RapidSSL ได้
- StartSSL: ใบรับรองมีอายุ 1 ถึง 3 ปี
- GoDaddy: ใบรับรองสำหรับโครงการโอเพ่นซอร์ส มีอายุ 1 ปี
ประเภทใบรับรองและระยะเวลาที่ใช้ได้ขึ้นอยู่กับแหล่งที่มา หน่วยงานส่วนใหญ่เสนอใบรับรอง SSL มาตรฐานฟรีและเรียกเก็บเงินสำหรับใบรับรอง EV SSL หากจัดหาให้ Cloudflare เสนอแผนแบบฟรีและแบบชำระเงินพร้อมตัวเลือกเพิ่มเติมมากมาย
สิ่งที่ต้องพิจารณาเมื่อรับใบรับรอง SSL?
Google แนะนำใบรับรองที่มีคีย์ 2048 บิตที่นี่ หากคุณมีใบรับรอง 1024 บิตที่อ่อนแอกว่าอยู่แล้ว ขอแนะนำให้อัปเดต
คุณจะต้องตัดสินใจว่าคุณต้องการหนึ่งโดเมน หลายโดเมน หรือใบรับรองไวด์การ์ด:
- หนึ่งใบรับรองจะใช้สำหรับหนึ่งโดเมน (เช่น www.example.com)
- ใบรับรองหลายโดเมนจะใช้สำหรับโดเมนที่มีชื่อเสียงหลายโดเมน (เช่น www.example.com, cdn.example.com, example.co.uk)
- ใบรับรองตัวแทนจะใช้สำหรับโดเมนที่ปลอดภัยซึ่งมีโดเมนย่อยแบบไดนามิกจำนวนมาก (เช่น a.example.com, b.example.com)
ฉันจะติดตั้งใบรับรอง SSL ได้อย่างไร
โฮสต์เว็บของคุณสามารถติดตั้งใบรับรองได้ฟรีหรือเสียค่าธรรมเนียม โฮสต์บางแห่งมีตัวเลือกในการติดตั้ง Let's Encrypt ใน cPanel ส่วนตัว ซึ่งทำให้สิ่งต่างๆ ง่ายขึ้น ถามโฮสต์ปัจจุบันของคุณหรือค้นหาโฮสต์ที่รองรับ Let's Encrypt โดยตรง หากโฮสต์ไม่ได้ให้บริการนี้ บริษัทดูแลเว็บไซต์หรือผู้พัฒนาสามารถติดตั้งใบรับรองให้คุณได้ คุณต้องเตรียมพร้อมสำหรับความจริงที่ว่าคุณจะต้องต่ออายุใบรับรองบ่อยมาก ตรวจสอบกรอบเวลาพร้อมใบรับรอง
ต้องทำอะไรอีก
หลังจากได้รับและติดตั้งใบรับรอง SSL คุณต้องบังคับใช้ SSL บนไซต์ อีกครั้ง คุณสามารถถามผู้ให้บริการพื้นที่เว็บ บริษัทที่ให้บริการ หรือนักพัฒนาเพื่อดำเนินการนี้ อย่างไรก็ตาม หากคุณต้องการทำเองและไซต์ของคุณขับเคลื่อนโดย WordPress คุณสามารถทำได้โดยดาวน์โหลด ติดตั้ง และใช้ปลั๊กอิน ด้วยตัวเลือกหลัง อย่าลืมตรวจสอบความเข้ากันได้กับ WordPress เวอร์ชันของคุณ
สองปลั๊กอินการบังคับใช้ SSL ยอดนิยม: SSLWP ธรรมดา, ปลั๊กอิน SSLSSL ที่บังคับใช้ อย่าลืมสำรองข้อมูลไซต์ของคุณและระมัดระวังในการดำเนินการดังกล่าว หากคุณกำหนดค่าบางอย่างผิดพลาด อาจส่งผลร้ายแรง: ผู้เข้าชมจะไม่เห็นไซต์ของคุณ รูปภาพจะไม่แสดง สคริปต์ไม่โหลด ซึ่งจะส่งผลต่อการทำงานของบางสิ่งในไซต์ของคุณ เช่น การพิมพ์และสี แสดงไม่ถูกต้อง วิธี
คุณต้องเปลี่ยนเส้นทางผู้ใช้และเครื่องมือค้นหาไปยังหน้า HTTPS โดยใช้การเปลี่ยนเส้นทาง 301 ในไฟล์.htaccess ในโฟลเดอร์รูทบนเซิร์ฟเวอร์ ไฟล์.htaccess เป็นไฟล์ล่องหน ดังนั้นตรวจสอบให้แน่ใจว่าโปรแกรม FTP ของคุณได้รับการตั้งค่าให้แสดงไฟล์ที่ซ่อนอยู่ ตัวอย่างเช่น ใน FileZilla ให้ไปที่ Server> Force view of hidden files FileZilla ก่อนเพิ่มการเปลี่ยนเส้นทาง ขอแนะนำให้สำรองไฟล์.htaccess ของคุณ บนเซิร์ฟเวอร์ ให้เปลี่ยนชื่อไฟล์ชั่วคราวโดยลบจุด (ซึ่งทำให้มองไม่เห็นตั้งแต่แรก) ดาวน์โหลดไฟล์ (ซึ่งขณะนี้จะปรากฏบนคอมพิวเตอร์ของคุณเนื่องจากช่วงเวลาที่ถูกลบ) แล้วเพิ่มจุดกลับ ไปยังสิ่งที่อยู่บนเซิร์ฟเวอร์
เปลี่ยนการตั้งค่าGoogle Analytics
หลังจากทำตามขั้นตอนเหล่านี้เสร็จแล้ว คุณต้องเปลี่ยน URL ที่คุณต้องการในบัญชี Google Analytics เพื่อแสดงโดเมนเวอร์ชัน HTTPS ของคุณ มิฉะนั้น สถิติการรับส่งข้อมูลของคุณจะถูกปิดใช้งานเนื่องจากเวอร์ชัน HTTP ของ URL ถือเป็นไซต์ที่แตกต่างจากเวอร์ชัน HTTPS ของใบรับรองโดยสิ้นเชิง Google Search Console ถือว่า HTTP และ HTTPS เป็นโดเมนที่แยกจากกัน ดังนั้นให้เพิ่มบัญชีโดเมน HTTPS เข้าไป โปรดจำไว้ว่า เมื่อคุณเปลี่ยนจากใบรับรอง HTTP เป็น HTTPS หากไซต์ของคุณมีปุ่มการเข้าถึงพิเศษ ตัวนับจะถูกรีเซ็ต
