http กับ https บนเว็บไซต์ แตกต่างกันอย่างไร ?
http มีชื่อเต็มๆ ว่า Hypertext Transfer Protocol เป็นโปรโตคอลหลักในการใช้งานเวิลด์ไวด์เว็บ (WWW) ใช้สำหรับคุยกันระหว่าง Server และ Client โดยรูปแบบของข้อมูลก็จะมาในรูปของ html หรือว่าจะเป็น text ธรรมดาๆ
https หรือ Hypertext Transfer Protocol over Secure Socket Layer (HTTP over SSL) เป็นโปรโตคอลที่มีความปลอดภัยสูงกว่า http แต่รูปการทำงานก็เหมือนกัน คือ รับ-ส่ง hypertext สังเกตได้ คือ ตัว S ที่ต่อท้าย มีความหมายว่า “Secure” หรือก็คือ ปลอดภัย สำหรับการซื้อ การกรอกแบบฟอร์ม เช่น บัตรเครดิต เมื่อเราใช้งาน website และอาจต้องทำธุรกรรมบางอย่าง เช่น ซื้อของ ใส่รหัสบัตรเครดิต อะไรทำนองนี้ต้องระวัง วิธีสังเกตง่ายๆ โดยดูว่า website ที่เราจะทำการกรอกข้อมูลส่วนตัวของเราลงไปนั้นเป็น http:// หรือ https:// ตัวนี้จะปะอยู่ด้านหน้า www สิ่งที่ https มีเหนือว่า http คือ certificate ซึ่งจะมีฝังอยู่ใน Web Browser อยู่แล้ว ซึ่ง certificate ตัวนี้จะทำหน้าที่เป็นกุญแจ เพื่อการเข้ารหัส (Encrypt) และปลดล็อค (Decrypt) ทำให้ถ้าข้อมูลถูกดักจับระหว่างทาง ก็อ่านไม่รู้เรื่อง ซึ่งจะมีก็แต่ Server เจ้าของเว็บจริงๆ เท่านั้นที่จะอ่านข้อมูลนั้นๆ ได้
คราวนี้ก็มารู้จักกับ “HTTPS” กันต่อ
HTTPS ย่อมาจาก Hypertext Transfer Protocol over Secure Socket Layer หรือ HTTP over SSL
- HTTPS ระบุถึงการเชื่อมต่อแบบ Secure HTTP เรียกใช้ด้วยรูปแบบ https:”//
- HTTPS จะทำงานที่พอร์ต TCP443 ออกแบบโดยบริษัท Netscape
- ทำงานโดยการเพิ่มข้อมูลในการระบุตัวผู้ส่ง ( Authentication) และการเข้ารหัสข้อมูล (Encryption) ภายใน HTTP กับ TCP
- ในการส่งข้อมูลจะเป็นแบบ HTTP แต่จะมีการเข้ารหัสเป็นแบบ SSL 128 bit โดยการเข้ารหัสนี้เปรียบได้กับการสร้าง VPN เพื่อไปหา Web Server
- โปรโตคอล HTTPS สร้างเพื่อความปลอดภัยสำหรับการสื่อสารผ่านอินเตอร์เน็ต
- การใช้งาน HTTPS Administrator สร้าง Public Key Certificate สำหรับเว็บเซิร์ฟเวอร์
- สร้างโดยใช้ OpenSSL ssl-ca
- ทำการ Sign โดย Certificate Authority เพื่อยืนยันตัวตนว่าเป็น certificate จากเซิร์ฟเวอร์
- เว็บบราวเซอร์ตรวจสอบ certificate ได้จาก root certificate ซึ่งติดตั้งอยู่ในเว็บบราวเซอร์
- นิยมใช้กับ Web ที่ต้องการความปลอดภัยสูง เช่น พวก Web ของธนาคาร การเงินต่างๆ หรือข้อมูลส่วนของราชการ เป็นต้น
- https ส่งข้อมูลเป็นแบบ Cipher text คือ ข้อมูลที่ทำการส่งได้ถูกเข้ารหัสเอาไว้ โดยใช้ Asymmetric Algorithm ซึ่งถ้าถูกดักจับได้แต่ก็ไม่สามารถที่จะอ่านข้อมูลนั้นได้รู้เรื่อง โดยข้อมูลนั้นจะถูกอ่านโดยตัวเรากับเครื่อง Server เท่านั้น
- การมีระบบแบบนี้ถือว่าดี แต่อาจจะต้องใช้เวลาในการเข้าดูข้อมูล เนื่องจากจะต้องระบุตัวบุคคล คล้ายๆกับการ login
ใช่ว่า https:// แล้ว จะปลอดภัยเสมอไป
https เป็นการใช้ certificate สำหรับ client และ server ที่จะต้องตรงกัน ซึ่งบางเว็บก็พยายามจะใช้ https เพื่อความปลอดภัยของการรับส่งข้อมูลบ้าง แต่ว่า certificate ที่ใช้ไม่ถูกต้อง ซึ่งถ้าจะใช้แบบถูกต้องเจ้าของเว็บก็คงต้องมีการเสียเงิน ถ้าไม่มี certificate สำหรับ https ที่ถูกต้องแล้วละก็ คนที่จะเข้าไปชมเว็บไซต์เหล่านั้น ก็จะพบกับหน้าจอประมาณนี้
certificate ผิดพลาด / ไม่น่าเชื่อถือ [Google Chrome]
certificate ผิดพลาด / ไม่น่าเชื่อถือ [Internet Explorer]
ลองสังเกตบนแถบ Address Bar ของเราดูนะครับ มันจะเป็นแบบนี้
หรือ 
หมายถึงว่าเราได้ยอมรับ certificate ที่ผิดพลาด / ไม่น่าเชื่อถือบนหน้าเว็บนั้นๆ อยู่ ซึ่งความเป็นไปได้มีอยู่ 3 กรณี 1.certificate ไม่น่าเชื่อถือ 2.ไม่ตรงกับเว็บไซต์ 3.หมดอายุ ซึ่งอาจมีการส่งไปยัง hacker ก็ได้ (ข้อมูลมีการเข้ารหัสจริง แต่ hacker มีตัวถอด)
ที่ถูกต้อง มีการใช้ SSL เพื่อความปลอดภัยของข้อมูล บนแถบ Address Bar ก็จะมีสัญลักษณ์ประมาณนี้
หรือ 
เพราะฉะนั้นแล้ว เว็บไซต์ที่ควรระวัง ได้แก่ เว็บไซต์สำหรับทำธุรกรรมทางอินเตอร์เน็ต เว็บไซต์รับส่งอีเมล์ และเว็บไซต์ที่ต้องการป้อนรหัสผ่าน่อื่นๆ (Facebook, Twitter,...) เป็นต้น เพราะว่าการสื่อสารระหว่าง Client-Server มีช่องสำหรับคั่นกลางมากมาย อย่างเช่น Router, Access Point ต่างๆ โดยอาศัยให้เราเอาอุปกรณ์ของเราเชื่อมต่อไป แล้วมันก็ทำหน้าที่ส่งไปยัง Server ให้ ถ้า Router ตัวนี้มีโปรแกรมสำหรับดักจับ username/password เราก็จะถูกขโมยไปโดยที่ไม่รู้ตัวก็ได้
ข่าวสาร
