SSL/TLS | คืออะไร? มีความสำคัญมากแค่ไหน

ธุรกรรมต่างๆ ซึ่งถือเป็นอีกช่องทางหนึ่งที่สร้างโอกาสในการดําเนินธุรกิจการค้า หรือธุรกิจออนไลน์ เพราะมีความสะดวกและรวดเร็วในการการติดต่อสื่อสาร แต่ช่องทางการใช้ระบบอินเตอร์เน็ตก็มีความเสี่ยงสูงเช่นกัน เนื่องจากกลุ่มแฮกเกอร์ พยายามค้นหาช่องโหว่ต่างๆ เพื่อดักจับข้อมูลต่างๆ ซึ่งอาจจะทำให้เกิดความสูญเสียตามมาได้ ดังนั้น เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นผ่านระบบอินเตอร์เน็ต SSL Certificate จึงเป็นทางเลือกหนึ่งในการปกป้องข้อมูลของท่าน

 

SSL ย่อมาจาก Secure Sockets Layer ซึ่งเป็น Protocol ที่ใช้สำหรับเข้ารหัสและป้องกันข้อมูลในขณะที่มีการส่งข้อมูลกันข้าม Internet พัฒนาขึ้นในปี ค.ศ.1995 โดย Netscape แต่ปัจจุบันได้มีการแทนที่ด้วย Protocol ที่มีการพัฒนาให้ดียิ่งขึ้น เราเรียกกันว่า TLS ซึ่งย่อมาจาก Transport Layer Security ครับ ในบางครั้งเราก็นิยมเรียกกันว่า SSL อยู่นั่นเอง

วิธีสังเกตได้ว่า Website ไหนมีการใช้งาน SSL/TLS จะดูได้จาก URL

 

HTTP (Hypertext Transfer Protocol) เป็น Protocol ที่ใช้ในการสื่อสารกันระหว่าง Web Server กับ Web Browser จะนิยมใช้กับ Website โดยทั่วไป

HTTPS (Hypertext Transfer Protocol Secure) จากการที่มีคำว่า Secure เพิ่มเข้ามา รู้กันเลยใช่ไหมครับว่าต้องมี SSL/TLS ติดตั้งอยู่ ซึ่งการทำงานทั่วไปก็จะเหมือนกัน HTTP

 

SL/TLS มีหลักการทำงานอย่างไร?

ขั้นตอนของการป้องกันจะเริ่มจากการสื่อสารที่มีชื่อว่า TLS Handshake แปลเป็นไทยก็คือ การจับมือกันนั่นแหละครับ ซึ่งจะจับเอา 2 ฝั่งมาสื่อสารกันโดยการเปิดการเชื่อมต่อที่มีความปลอดภัยเพื่อทำการแลก Public Key กันโดยในระหว่างขั้นตอน TLS Handshake ทั้ง 2 ฝั่งจะทำการสร้าง Session Key ขึ้นมา ตัว Session Key จะมีการเข้ารหัส และถอดรหัสหลังจากขั้นตอนของ TLS Handshake ดำเนินการเสร็จสิ้นแล้ว โดย Session Key ที่ต่างกันจะใช้ในการเข้ารหัสอีกครั้งกรณีที่มีการสร้าง Session ใหม่

TLS จะช่วยทำให้มั่นใจได้ว่าคนที่ใช้งานฝั่งของ Server หรือ Website เป็นคน ๆ นั้นจริง ๆ และก็ยังช่วยป้องกันการปลอมแปลงข้อมูลโดยการใช้ Message Authentication Code (MAC) ใส่รวมไปในการส่งข้อมูลโดยใช้ TLS นั่นเองด้วยการใช้ TLS ทั้งข้อมูลแบบ HTTP ที่ User ส่งไปหา Website (การคลิก, การกรอกแบบฟอร์มต่าง ๆ และอื่น ๆ) และข้อมูลแบบ HTTP ที่ Website ส่งกลับไปยัง User จะมีการเข้ารหัส ที่ถ้าหากต้องการถอดรหัสก็จำเป็นต้องใช้ Key

ในสมัยก่อน ข้อมูลที่อยู่บน Web มีการส่งข้อมูลกันในรูปแบบตัวอักษรทำให้หลาย ๆ คนสามารถที่จะอ่านได้ ผู้ไม่หวังดีจึงสามารถปลอมแปลงข้อมูลได้ง่าย เช่น ถ้าลูกค้าเข้าไปดู

E-Commerce Website แล้วกดสั่งซื้อสินค้า จะต้องกรอกข้อมูลของบัตรเครดิต ซึ่งข้อมูลนี้จะส่งผ่าน Internet โดยไม่ได้มีการป้องกันใด ๆSSL สร้างมาเพื่อแก้ปัญหาข้างต้น และเป็นการป้องกันความเป็นส่วนตัวของผู้ใช้งาน โดยการเข้ารหัสข้อมูลใด ๆ ก็ตามที่ส่งผ่านระหว่าง User และ Web Server จะโดนแปลงเป็นตัวอักษรมั่ว ๆ ที่ไม่สามารถอ่านได้ ทำให้ข้อมูลของบัตรเครดิตที่ลูกค้าใช้ไม่รั่วไหล โดยจะมีแค่ Website เท่านั้นที่ได้รับข้อมูลไป SSL ยังเพิ่มความอุ่นใจให้กับผู้ใช้งานอีกด้วย เนื่องจาก SSL จะมีการเรียก Authenticate ไปยัง Web Server ซึ่งสำคัญมากเพราะว่าการโจมตีโดยส่วนใหญ่จะมีการสร้าง Website ปลอม ๆ ขึ้นมาเพื่อที่จะให้ผู้ใช้การกรอกข้อมูลสำคัญลงไปเพื่อขโมยข้อมูล อีกทั้ง SSL ก็ยังช่วยให้ข้อมูลไม่ถูกดักจับระหว่างทางเวลาที่ส่งผ่านข้อมูลด้วย Internet

 

SSL และ TLS คือสิ่งเดียวกันใช่หรือไม่?

SSL เป็น Protocol ที่การพัฒนามานานมากแล้ว แต่ปัจจุบันได้เปลี่ยนชื่อไปใช้เป็น TLS (Transport Layer Security) ซึ่งมีการพัฒนาในปี ค.ศ. 1999 โดยองค์กรชื่อ Internet Engineering Task Force (IETF) ก็คือมีการเปลี่ยนจาก SSL มาเป็น TLS เพราะว่าทีมพัฒนาเปลี่ยนจาก Netscape เป็น IETF ซึ่งความแตกต่างของ Version สุดท้ายของ SSL (Version 3.0) กับ Version แรกของ TLS (Version 1.0) ก็ไม่ได้แตกต่างกันเลย ต่างกันแค่ชื่อเพราะว่าเปลี่ยนผู้ดูแลตั้งแต่นั้นเป็นต้นมา SSL กับ TLS ก็มีความเกี่ยวข้องกันมาตลอด ซึ่งทั้ง 2 คำนี้มักจะถูกเอามาใช้กันให้สับสนอยู่บ่อย ๆ บางคนยังเรียก SSL อยู่ ซึ่งก็หมายถึง TLS นั้นแหละ บางคนก็เรียกว่า SSL/TLS ไปเลย ที่เป็นอย่างนี้ก็เพราะว่า SSL ยังเป็นชื่อที่ทุกคนยังจำได้ดีอยู่ แต่ SSL ไม่ได้มีการ Update มานานแล้วตั้งแต่ปี ค.ศ. 1996 ที่เป็น SSL Version 3.0 และปัจจุบันเค้าเลิกใช้กันไปแล้วเพราะว่ามีปัญหาเกี่ยวกับเรื่องของช่องโหว่หลาย ๆ อย่างใน SSL Protocol ทำให้ผู้เชี่ยวชาญทางด้าน Security แนะนำให้หยุดใช้ ความจริงแล้วก็คือ Web Browser ในปัจจุบันไม่ได้มีการ Support SSL แล้วครับกลับมาดูต่อกันตัวปัจจุบันอย่าง TLS ที่เป็น Protocol ที่ใช้ในปัจจุบัน ถึงแม้ว่าบางคนจะยังเรียกว่า SSL อยู่ แต่ความจริงแล้ว Vendor ที่ให้บริการ SSL ในทุกวันนี้ ก็คือ TLS ทั้งหมดครับ ซึ่งเป็นมาตรฐานมามากกว่า 20 ปี แล้ว แต่หลาย ๆ คนชอบใช้ Keyword ว่า SSL Protection อยู่ ทำให้ Vendor ต้องหยิบ Keyword นี้มาใช้เวลาให้บริการ

 

“READY Hosting” จาก READY IDC

ยินดีเป็นผู้ช่วยคนใหม่…ให้คุณ

 

สนใจติดต่อหรือสอบถามรายละเอียดการให้บริการเพิ่มเติมได้ทาง

Email: [email protected] หรือ www.readyidc.com

By Ready IDC