รักษาเว็บไซต์ของคุณให้ปลอดภัยด้วย HTTPS

ปกป้องเว็บไซต์และผู้ใช้ของคุณ

HTTPS คืออะไร

HTTPS (Hypertext Transfer Protocol Secure) คือโปรโตคอลการสื่อสารอินเทอร์เน็ตที่ช่วยรักษาความสมบูรณ์ถูกต้องของข้อมูลผู้ใช้และเก็บข้อมูลไว้เป็นความลับระหว่างคอมพิวเตอร์ของผู้ใช้กับเว็บไซต์ ผู้ใช้คาดหวังประสบการณ์ออนไลน์ที่มีความปลอดภัยและเป็นส่วนตัวระหว่างที่ใช้เว็บไซต์ เราขอแนะนำให้คุณใช้ HTTPS เพื่อปกป้องการเชื่อมต่อของผู้ใช้กับเว็บไซต์ ไม่ว่าเนื้อหาในเว็บไซต์จะเป็นรูปแบบใดก็ตาม

ข้อมูลที่ส่งด้วย HTTPS จะได้รับการรักษาความปลอดภัยผ่านโปรโตคอลความปลอดภัยชั้นการรับส่งข้อมูล (TLS) ซึ่งให้การปกป้องหลัก 3 ชั้นดังนี้

  1. การเข้ารหัส หมายถึง การเข้ารหัสข้อมูลที่แลกเปลี่ยนเพื่อรักษาความปลอดภัยจากผู้ลักลอบดูข้อมูล ซึ่งหมายความว่าขณะที่ผู้ใช้เรียกดูเว็บไซต์ จะไม่มีใครสามารถ "ฟัง" การสนทนาของพวกเขา ติดตามกิจกรรมของพวกเขาไปตลอดหลายหน้า หรือขโมยข้อมูลของพวกเขาได้
  2. ความถูกต้องสมบูรณ์ของข้อมูล หมายถึง จะไม่สามารถแก้ไขหรือทำให้ข้อมูลเสียหายในช่วงที่ถ่ายโอนข้อมูลไม่ว่าจะมีเจตนาหรือไม่ก็ตาม โดยที่ไม่มีการตรวจพบ
  3. การตรวจสอบสิทธิ์ หมายถึง การพิสูจน์ว่าผู้ใช้สื่อสารกับเว็บไซต์ที่เขาต้องการ โดยจะป้องกันการโจมตีจากบุคคลที่อยู่ตรงกลางและทำให้ผู้ใช้เกิดความเชื่อมั่น ซึ่งทำให้เกิดผลประโยชน์อื่นๆ ในทางธุรกิจตามมา

แนวทางปฏิบัติที่ดีที่สุดเมื่อนำ HTTPS มาใช้

ใช้ใบรับรองความปลอดภัยที่ทนทาน

คุณจะต้องได้รับใบรับรองความปลอดภัยเป็นส่วนหนึ่งของการเปิดใช้ HTTPS สำหรับเว็บไซต์ ใบรับรองนี้ออกโดยหน่วยงานผู้ให้การรับรอง (CA) ซึ่งจะมีขั้นตอนยืนยันว่าองค์กรของคุณเป็นเจ้าของที่อยู่เว็บจริงๆ ดังนั้นจึงช่วยปกป้องลูกค้าของคุณจากการโจมตีจากบุคคลที่อยู่ตรงกลาง เมื่อตั้งค่าใบรับรองแล้ว ให้ตรวจสอบว่าความปลอดภัยอยู่ในระดับสูงโดยการเลือกคีย์ 2048 บิต หากคุณมีใบรับรองที่มีคีย์ที่ปลอดภัยน้อยกว่า (1024 บิต) โปรดอัปเกรดเป็น 2048 บิต เมื่อเลือกใบรับรองไซต์แล้ว โปรดทราบถึงหลักการต่อไปนี้

  • รับใบรับรองจาก CA ที่เชื่อถือได้ซึ่งให้การสนับสนุนทางเทคนิค
  • ตัดสินใจว่าต้องการใช้ใบรับรองชนิดใด ดังนี้
    • ใบรับรองเดียวสำหรับต้นกำเนิดที่ปลอดภัยที่เดียว (เช่น www.example.com)
    • ใบรับรองหลายโดเมนหลายสำหรับต้นกำเนิดที่ปลอดภัยที่มีชื่อเสียง (เช่น www.example.com, cdn.example.com, example.co.uk)
    • ใบรับรองสัญลักษณ์แทนสำหรับต้นกำเนิดที่ปลอดภัยที่มีโดเมนย่อยแบบไดนามิกจำนวนมาก (เช่น a.example.com, b.example.com)

ใช้การเปลี่ยนเส้นทาง 301 ฝั่งเซิร์ฟเวอร์

เปลี่ยนเส้นทางผู้ใช้และเครื่องมือค้นหาไปยังหน้า HTTPS หรือทรัพยากรที่มีการเปลี่ยนเส้นทาง 301 HTTP ฝั่งเซิร์ฟเวอร์

ตรวจสอบว่า Google สามารถรวบรวมข้อมูลและจัดทำดัชนีหน้า HTTPS ของคุณได้

  • อย่าบล็อกหน้า HTTPS โดยใช้ไฟล์ robots.txt
  • อย่ารวมเมตาแท็ก noindex ในหน้า HTTPS
  • ใช้เครื่องมือตรวจสอบ URL เพื่อทดสอบว่า Googlebot เข้าถึงหน้าเว็บได้หรือไม่

รองรับ HSTS

เราขอแนะนำให้เว็บไซต์ HTTPS รองรับ HSTS (ความปลอดภัยที่เข้มงวดในการรับส่งข้อมูลแบบ HTTP) โดย HSTS จะบอกให้เบราว์เซอร์ขอหน้า HTTPS โดยอัตโนมัติ แม้ว่าผู้ใช้จะป้อน http ในแถบที่อยู่ของเบราว์เซอร์ นอกจากนี้ยังบอกให้ Google แสดง URL ที่ปลอดภัยในผลการค้นหาด้วย ซึ่งทั้งหมดนี้จะช่วยลดความเสี่ยงในการแสดงเนื้อหาที่ไม่ปลอดภัยให้แก่ผู้ใช้

หากต้องการรองรับ HSTS ให้ใช้เว็บเซิร์ฟเวอร์ที่รองรับและเปิดใช้ฟังก์ชันดังกล่าว

แม้ว่า HSTS ช่วยเพิ่มความปลอดภัย แต่ฟังก์ชันดังกล่าวจะทำให้กลยุทธ์การย้อนกลับซับซ้อนขึ้น เราขอแนะนำให้เปิดใช้ HSTS โดยทำดังต่อไปนี้

  1. เปิดหน้า HTTPS โดยไม่ใช้ HSTS ก่อน
  2. เริ่มส่งส่วนหัว HSTS ที่มีค่า max-age ระยะสั้น ตรวจสอบการเข้าชมของคุณทั้งจากผู้ใช้และไคลเอ็นต์อื่นๆ รวมถึงประสิทธิภาพของผู้ที่พึ่งพาเว็บไซต์ของคุณ เช่น โฆษณา
  3. ค่อยๆ เพิ่มค่า max-age ของ HSTS
  4. หาก HSTS ไม่ได้ส่งผลลบต่อผู้ใช้หรือเครื่องมือค้นหา ในกรณีที่คุณต้องการ คุณก็ขอให้เพิ่มเว็บไซต์ของคุณลงในรายการโหลดล่วงหน้าของ HSTS ซึ่งเบราว์เซอร์หลักส่วนใหญ่ใช้กันได้

พิจารณาการใช้การโหลดล่วงหน้าของ HSTS

หากคุณเปิดใช้ HSTS คุณจะเลือกรองรับการโหลดล่วงหน้าของ HSTS เพื่อยกระดับความปลอดภัยได้ หากต้องการเปิดใช้งานการโหลดล่วงหน้า คุณต้องไปที่ hstspreload.org และทำตามข้อกำหนดการส่งสำหรับเว็บไซต์

หลีกเลี่ยงข้อผิดพลาดที่พบบ่อยเหล่านี้

โปรดหลีกเลี่ยงความผิดพลาดต่อไปนี้ ในทุกขั้นตอนของการทำให้เว็บไซต์มีความปลอดภัยด้วย TLS

ปัญหา การทำงาน
ใบรับรองหมดอายุ ตรวจสอบว่าใบรับรองเป็นรุ่นล่าสุดอยู่เสมอ
ลงทะเบียนใบรับรองด้วยชื่อเว็บไซต์ที่ไม่ถูกต้อง ตรวจสอบว่าคุณได้รับใบรับรองสำหรับชื่อโฮสต์ทั้งหมดที่เว็บไซต์ของคุณแสดง ตัวอย่างเช่น ถ้าใบรับรองของคุณครอบคลุมเพียง www.example.com ผู้เข้าชมที่โหลดเว็บไซต์โดยใช้เพียง example.com (แบบไม่มี "www." นำหน้า) จะถูกบล็อกไม่ให้เข้าเว็บไซต์จากข้อผิดพลาดชื่อใบรับรองไม่ตรงกัน
ไม่มีการรองรับการระบุชื่อเซิร์ฟเวอร์ (SNI) ตรวจสอบว่าเว็บเซิร์ฟเวอร์สนับสนุน SNI และผู้ชมใช้เบราว์เซอร์ที่สนับสนุนโดยทั่วไป แม้ว่าเบราว์เซอร์สมัยใหม่ทั้งหมดจะสนับสนุน SNI คุณจะต้องใช้ IP เฉพาะหากคุณต้องการสนับสนุนเบราว์เซอร์รุ่นเก่าๆ ด้วย
ปัญหาการรวบรวมข้อมูล อย่าบล็อกไซต์ HTTPS ไม่ให้มีการรวบรวมข้อมูลโดยใช้ robots.txt
ปัญหาการจัดทำดัชนี อนุญาตให้เครื่องมือค้นหาจัดทำดัชนีหน้าเท่าที่เป็นไปได้ และหลีกเลี่ยงเมตาแท็ก noindex
โปรโตคอลเป็นเวอร์ชันเก่า โปรโตคอลเวอร์ชันเก่ามีความเสี่ยง โปรดตรวจสอบว่าคุณมีไลบรารี TLS เวอร์ชันล่าสุดและใช้โปรโตคอลเวอร์ชันล่าสุด
องค์ประกอบความปลอดภัยที่ปะปนกัน ฝังเฉพาะเนื้อหาแบบ HTTPS ในหน้า HTTPS
เนื้อหาที่แตกต่างกันใน HTTP และ HTTPS ตรวจสอบว่าเนื้อหาบนไซต์ HTTP และ HTTPS เหมือนกัน
ข้อผิดพลาดรหัสสถานะ HTTP บน HTTPS ตรวจสอบว่าเว็บไซต์ของคุณส่งคืนรหัสสถานะ HTTP ที่ถูกต้อง ตัวอย่างเช่น 200 OK สำหรับหน้าที่เข้าถึงได้หรือ 404 หรือ 410 สำหรับหน้าที่ไม่มีอยู่จริง

เคล็ดลับเพิ่มเติม

ดูคำถามที่พบบ่อยเกี่ยวกับการย้ายไปเป็น HTTPS สำหรับเคล็ดลับเพิ่มเติมในการใช้หน้า HTTPS บนเว็บไซต์ของคุณ

การย้ายจาก HTTP ไปใช้ HTTPS

หากคุณย้ายเว็บไซต์จาก HTTP ไปใช้ HTTPS Google จะถือว่าการย้ายนี้เป็นการย้ายเว็บไซต์ที่มีการเปลี่ยน URL เท่านั้น การดำเนินการนี้อาจส่งผลต่อปริมาณการเข้าชมบ้างเป็นการชั่วคราว ดูหน้าภาพรวมของการย้ายเว็บไซต์เพื่อดูข้อมูลเพิ่มเติม

เพิ่มพร็อพเพอร์ตี้ HTTPS ใหม่ใน Search Console: Search Console จะถือว่า HTTP และ HTTPS เป็น 2 สิ่งที่แยกออกจากกัน และจะไม่มีการแชร์ข้อมูลกับพร็อพเพอร์ตี้ต่างๆ ใน Search Console

ดูหน้าการแก้ปัญหาในการย้ายแผนผังไซต์เพื่อแก้ปัญหาเกี่ยวกับการย้าย

ข้อมูลเพิ่มเติม

รายละเอียดเพิ่มเติมเกี่ยวกับการนำ TLS มาใช้บนเว็บไซต์ของคุณ

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร