Hypertext Transfer Protocol (HTTP) เป็นชุดกฎที่เบราว์เซอร์ใช้เพื่อกำหนดวิธีอ่านและโอนข้อมูลผ่านเว็บ เมื่อ URL มีคำว่า "http" เบราว์เซอร์จะรู้ว่าต้องใช้โปรโตคอลนี้เพื่อให้โหลดหน้าเว็บได้สำเร็จ
HTTPS เหมือนกับ HTTP เว้นแต่ว่า HTTPS จะบอกเบราว์เซอร์ให้เข้ารหัสข้อมูลที่แลกเปลี่ยนกับหน้าเว็บ การเข้ารหัสจะปิดบังข้อมูลและลดโอกาสที่ผู้อื่นจะดูหรือจัดการข้อมูลของคุณได้ ซึ่งเป็นสิ่งสำคัญเมื่อเว็บไซต์มีข้อมูลที่ละเอียดอ่อน เช่น รายละเอียดส่วนตัวหรือข้อมูลทางการเงิน
ตั้งค่า HTTPS
หากต้องการใช้ HTTPS กับชื่อโดเมน คุณต้องติดตั้งใบรับรอง SSL หรือ TLS บนเว็บไซต์ โฮสต์เว็บ (ผู้ให้บริการเว็บโฮสติ้ง) ของคุณอาจมีการรักษาความปลอดภัยด้วย HTTPS หรือคุณจะขอใบรับรอง SSL/TLS จากผู้ออกใบรับรองและติดตั้งด้วยตนเองก็ได้ โดยอาจต้องต่ออายุใบรับรอง SSL/TLS เป็นระยะๆ
เว็บเซิร์ฟเวอร์มีหลายประเภท โดยแต่ละประเภทมีกระบวนการติดตั้งและอัปเดตใบรับรอง SSL/TLS ที่แตกต่างกันออกไป คุณจะต้องค้นหาว่าเว็บไซต์ของคุณใช้เว็บเซิร์ฟเวอร์ใด และทำตามวิธีการติดตั้งและอัปเดตใบรับรองของเว็บเซิร์ฟเวอร์นั้น
บริการของ Google ต่อไปนี้จะออก ติดตั้ง และต่ออายุใบรับรอง SSL/TLS ให้อัตโนมัติโดยไม่มีค่าใช้จ่ายเพิ่มเติม
โฮสต์เว็บของบุคคลที่สามหลายรายก็ออก ติดตั้ง และต่ออายุใบรับรอง SSL/TLS ได้เช่นเดียวกัน โดยคุณจะใช้โฮสต์เว็บใดก็ได้ร่วมกับ Google Domains เช่น Bluehost, Shopify, Squarespace, Weebly และ Wix
หากโฮสต์เว็บไม่มีการรักษาความปลอดภัย HTTPS คุณจะรับใบรับรอง SSL/TLS สำหรับโดเมนได้จากผู้ออกใบรับรอง (CA) Google มี CA เป็นของตนเอง ซึ่งก็คือ Google Trust Services ลูกค้า Google Domains จะรับใบรับรองจาก Google Trust Services ได้โดยทำตามวิธีการใน "หน้าความปลอดภัย" ของโดเมน
CA ยอดนิยมอีกรายที่ออกใบรับรองเพื่อเป็นประโยชน์ต่อการสร้างอินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้นคือ Let's Encrypt
หลังจากที่รับใบรับรองแล้ว คุณต้องทำงานร่วมกับโฮสต์เว็บเพื่อติดตั้งใบรับรอง หากคุณฝากเว็บไซต์ไว้ในเซิร์ฟเวอร์ของตัวเอง โปรดดูวิธีเปิดใช้ HTTPS หากใช้โปรโตคอล Automatic Certificate Management Environment (ACME) เพื่อจัดการใบรับรอง ให้ทำตามขั้นตอนด้านล่างเพื่อจัดการใบรับรองด้วย ACME และ DNS
วิธีรับใบรับรองจาก Google Trust Services
- ลงชื่อเข้าใช้ Google Domains
- เลือกโดเมนที่คุณต้องการรับใบรับรอง
- ที่ด้านซ้ายบน ให้แตะเมนู ความปลอดภัย
- ในส่วน "ใบรับรอง SSL/TLS สำหรับโดเมน" ให้ขยาย "Google Trust Services"
- คลิกรับคีย์ EAB
- กล่องโต้ตอบจะเปิดขึ้นพร้อมค่า 2 ค่า ได้แก่ "รหัสคีย์ EAB" และ "คีย์ HMAC ของ EAB"
- คัดลอกทั้ง 2 ค่าโดยการแตะปุ่มคัดลอกข้างแต่ละค่า
- ใช้ 2 ค่านี้ลงทะเบียนบัญชีกับ CA อย่าง Google Trust Services การใช้งานไคลเอ็นต์ ACME แต่ละรายการจะมีวิธีระบุ EAB นี้ต่างกันเล็กน้อย โปรดอ่านเอกสารประกอบเกี่ยวกับไคลเอ็นต์ ACME ที่คุณต้องการใช้
- ตัวอย่างการกำหนดค่าที่มีไคลเอ็นต์ Certbot ACME ยอดนิยมมีดังนี้
- วิธีลงทะเบียนบัญชี
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- หลังจากสร้างบัญชีแล้ว คุณจะออกใบรับรองได้โดยการเรียกใช้สิ่งต่อไปนี้
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- วิธีลงทะเบียนบัญชี
- ตัวอย่างการกำหนดค่าที่มีไคลเอ็นต์ Certbot ACME ยอดนิยมมีดังนี้
- กล่องโต้ตอบจะเปิดขึ้นพร้อมค่า 2 ค่า ได้แก่ "รหัสคีย์ EAB" และ "คีย์ HMAC ของ EAB"
จัดการใบรับรองด้วย ACME และ DNS
Automatic Certificate Management Environment (ACME) คือโปรโตคอลทั่วไปที่ใช้เพื่อทำให้การจัดการใบรับรองระหว่างผู้ออกใบรับรอง (CA) กับเซิร์ฟเวอร์เป็นไปโดยอัตโนมัติ การทำงานอัตโนมัตินี้ช่วยให้ผู้ใช้หลายรายลดโอกาสในการหยุดทำงานเนื่องจากต่ออายุใบรับรอง HTTPS ไม่สำเร็จได้
โปรโตคอล ACME ใช้ชาเลนจ์เพื่อพิสูจน์ว่าคุณเป็นผู้ควบคุมชื่อโดเมน Google Domains รองรับชาเลนจ์ประเภท DNS-01 ด้วยเซิร์ฟเวอร์ DNS ผ่านการใช้โทเค็น API
วิธีสร้างโทเค็น API
- ลงชื่อเข้าใช้ Google Domains
- เลือกโดเมนที่คุณต้องการใช้
- ที่ด้านซ้ายบน ให้แตะเมนู ความปลอดภัย
- ในส่วน "ACME DNS API" ให้แตะสร้างโทเค็น
สำคัญ: ระบบจะแสดงค่านี้เพียงครั้งเดียว หลังจากปิดกล่องโต้ตอบแล้ว คุณจะค้นหาโทเค็น API นี้ไม่ได้อีก โปรดเก็บโทเค็นนี้ไว้ในที่ปลอดภัยเนื่องจากคนที่มีโทเค็นนี้สามารถแก้ไขระเบียน DNS บางรายการในโดเมนของคุณได้
- กล่องโต้ตอบจะเปิดขึ้นพร้อม "โทเค็น API"
- คุณต้องมีโทเค็น API นี้เพื่อเข้าสู่ไคลเอ็นต์ ACME
- หากต้องการคัดลอกค่านี้ ให้แตะปุ่มคัดลอกข้างโทเค็น API
- หากไม่ได้บันทึกค่านี้ก่อนปิดกล่องโต้ตอบ คุณก็ลบและสร้างโทเค็น API ใหม่ได้ง่ายๆ
- คุณมีโทเค็น API ได้สูงสุดครั้งละ 10 โทเค็นต่อโดเมน
- เมื่อกล่องโต้ตอบปิดลง ระเบียนจะปรากฏในรายการ คุณลบโทเค็นนี้ได้ทุกเมื่อเพื่อเพิกถอนสิทธิ์เข้าถึง
- โทเค็น API สามารถใช้ในไคลเอ็นต์ ACME ที่รองรับ ACME DNS API ของ Google Domains ได้ การใช้งาน ACME แต่ละรายการจะมีวิธีระบุโทเค็น API นี้ต่างกันเล็กน้อย โปรดอ่านเอกสารประกอบเกี่ยวกับไคลเอ็นต์ ACME ที่คุณต้องการใช้
- กล่องโต้ตอบจะเปิดขึ้นพร้อม "โทเค็น API"
ปกป้องใบรับรอง SSL/TLS
HTTPS จะช่วยป้องกันการโจมตีแบบแทรกกลาง (MitM) แต่หากมีผู้แอบอ้างใบรับรอง SSL/TLS ของคุณ การโจมตีเหล่านั้นก็ยังคงเกิดขึ้นได้ หากต้องการป้องกันการโจมตีนี้ คุณควรตรวจสอบใบรับรองที่ออกให้กับเว็บไซต์ที่คุณไม่รู้จัก นอกจากนี้ คุณยังจำกัดผู้ที่มีสิทธิ์ออกใบรับรองให้กับโดเมนของคุณได้ด้วยระเบียนทรัพยากรการให้สิทธิ์ผู้ออกใบรับรอง (CAA)
ดูใบรับรองที่ออกให้กับโดเมน
หากต้องการตรวจสอบใบรับรองที่ออกให้กับโดเมน ให้ค้นหาใน censys.io