ในขณะที่เล่น อินเทอร์เน็ต (Internet) คุณอาจจะเคยสังเกตเห็นว่าด้านหน้าของ ที่อยู่ URL ที่เราเปิดบน โปรแกรมเปิดเว็บ หรือ เว็บเบราว์เซอร์ (Web Browser) จะมีอยู่ 2 รูปแบบคือ ไม่เป็น HTTP ก็ HTTPS ซึ่งมันเป็น โปรโตคอล (Protocol) ที่ถูกใช้ในการแลกเปลี่ยนข้อมูลระหว่างเซิร์ฟเวอร์ (Server) และไคลเอนต์ (Client) โดย HTTPS จะมีไอคอนรูปแม่กุญแจอยู่ด้านหน้าของ URL เคยสงสัยกันไหมครับว่ามันคืออะไร ?

ซึ่งตัว “S” ที่ถูกเพิ่มเข้ามานั้น ทำให้เกิดความแตกต่างระหว่าง 2 โปรโตคอลเป็นอย่างมาก HTTP และ HTTPS มีข้อแตกต่างในการใช้งานเป็นอย่างมาก มาเรียนรู้ความแตกต่าง และการนำไปใช้งานกัน

HTTP คืออะไร ?
(What is HTTP ?)

HTTP ย่อมาจาก (HyperText Transfer Protocol) เป็นอินเทอร์เน็ตโปรโตคอลชนิดหนึ่ง ที่ช่วยสนับสนุนการสื่อสารระหว่างเครื่อง เซิร์ฟเวอร์ (Server) และไคลเอนท์ที่จำเป็นต่อการทำงานของ WWW (World Wide Web) โดยคำว่า “Web Client” นั้นก็จะหมายถึงอุปกรณ์อย่างเช่น คอมพิวเตอร์ หรือสมาร์ทโฟน หากเปรียบเทียบก็จะเหมือนตัวอุปกรณ์เหล่านี้เป็นลูกค้า ส่วนเซิร์ฟเวอร์จะคอยบริหาร และจัดการข้อมูล ซึ่งเปรียบได้กับร้านค้าที่คอยเตรียมของที่ลูกค้าต้องการนั่นเอง

Web Client และ Servers จะมีการสื่อสารเกิดขึ้นเมื่อทาง Client ส่งคำร้องผ่านโปรโตคอล HTTP ไปหาเซิร์ฟเวอร์ จากนั้นเซิร์ฟเวอร์ก็จะส่งคำตอบกลับไปหาไคลเอนท์ ซึ่งในการสื่อสารดังกล่าว HTTP จะเป็นตัวกำหนดว่าจะมีการแลกเปลี่ยนข้อมูลอะไรบ้าง และจะใช้วิธีการอย่างไร ?

ข้อมูลส่วนใหญ่จะอยู่ในรูปแบบของ HTTP Headers ซึ่งเราสามารถดูได้ด้วยเครื่องมืออย่างเช่น Chrome Developer Tools ที่อยู่ภายใน เว็บเบราว์เซอร์ Google Chrome นั่นเอง อย่างไรก็ตาม HTTP นั้นไม่ได้มีความปลอดภัยในการทำงานสูงมากนัก เนื่องจาก Client และ Server ที่สื่อสารหากันผ่านโปรโตคอล HTTP มันอยู่ในรูปแบบข้อความธรรมดา สิ่งนี้สามารถเป็นผลเสียได้ เมื่อมีการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนอย่างเช่น รหัสผ่าน หรือข้อมูลธุรกรรมทางธนาคาร ผู้ใช้จะสังเกตเห็นไอคอนแจ้งเตือน “Not Secure” (ไม่ปลอดภัย) แสดงบนเว็บเบราว์เซอร์หากคุณกำลังใช้งาน HTTP อยู่ โดยอาจเป็นข้อความเพียงอย่างเดียว หรือมีไอคอนประกอบด้วย ดังภาพด้านล่าง

HTTPS คืออะไร ?
(What is HTTPS ?)

HTTPS ย่อมาจาก (HyperText Transfer Protocol Secure) มันเป็น HTTP ที่ถูกเข้ารหัส คุณสมบัติของมันก็ตามชื่อเลย คือเป็น HTTP เวอร์ชันที่มีความปลอดภัย โดย HTTPS จะใช้ Secure Sockets Layer (SSL) หรือ Transport Layer Security) ในการเข้ารหัสข้อมูลที่มีการจราจรอยู่บน HTTP

ถูกคิดค้นขึ้นมาโดยบริษัท Netscape Communications โดย HTTPS ถูกสร้างขึ้นในปี ค.ศ. 1994 (พ.ศ. 2537) สำหรับใช้ในเว็บบราวเซอร์ Netscape Navigator โดยตัว HTTPS จะทำงานซ้อนเป็นเลเยอร์กับ HTTP แบบปกติอีกทีหนึ่งผ่านโปรโตคอล TLS/SSL (Transport Layer Security, Secure Sockets Layer) ซึ่งหลักการทำงานของมันก็คือการสร้างรหัสเพื่อรับรองความถูกต้องระหว่างเซิร์ฟเวอร์กับตัวเว็บไซต์

โปรโตคอล TLS ทำงานโดยอาศัยโครงสร้างพื้นฐานของกุญแจสาธารณะแบบอสมมาตร (Asymmetric public key) ในการเข้ารหัสข้อมูลที่อยู่บนเซิร์ฟเวอร์ ซึ่งกุญแจดังกล่าวมีไว้ให้ทุกคนที่ต้องการติดต่อเซิร์ฟเวอร์อย่างปลอดภัย

รูปแบบข้อมูลของ HTTPS จะอยู่ในรูปแบบ “ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6A”
ทำให้แฮกเกอร์ที่ดักข้อมูลไปไม่สามารถมองเห็นข้อมูลที่แท้จริงได้

การเข้ารหัสจะเกิดขึ้นทันทีเมื่อเซิร์ฟเวอร์ หรือไคลเอนต์ โดยใช้กุญแจสาธารณะในการเข้ารหัส แต่ในการถอดรหัสจะใช้กุญแจแบบส่วนตัว (Private Key) ด้วยการทำงานร่วมกันของกุญแจทั้งสองชนิดในการควบคุมการเข้าถึงข้อมูลบนเซิร์ฟเวอร์ ทำให้การเข้าถึงที่ไม่ได้รับอนุญาตเป็นไปได้ยากมาก

เว็บไซต์ที่ใช้โปรโตคอล HTTPS บนเว็บเบราว์เซอร์จะมีการแสดงไอคอนรูปแม่กุญแจปรากฏอยู่ในช่องแถบของที่อยู่ (Address Bar) เพื่อบอกว่าเป็นการเชื่อมต่อที่มีความปลอดภัย ในปัจจุบันนี้ เว็บไซต์ส่วนใหญ่นิยมใช้ HTTPS ในการปกป้องข้อมูลให้มีความปลอดภัย ป้องกันการถูกโจมตีจากแฮกเกอร์ระหว่างที่ข้อมูลถูกส่งจากตัวเว็บไซต์ไปยังเซิฟเวอร์ ดังนั้นเราจึงมักเห็นการใช้ HTTPS ในเว็บที่ต้องการความปลอดภัยสูงอย่างเว็บไซต์ของธนาคาร, เว็บซื้อขาย หรือเว็บโซเชียล เป็นต้น

ทำไมถึงควรใช้ HTTPS แทน HTTP ?
(Why should we use HTTPS rather than HTTP ?)

ประโยชน์ของการเข้ารหัสก็คือป้องกันการถูกโจมตีจากแฮกเกอร์ระหว่างที่ข้อมูลถูกส่งจากตัวเว็บไซต์ไปยังเซิฟเวอร์ ดังนั้นเราจึงมักเห็นการใช้ HTTPS ในเว็บที่ต้องการความปลอดภัยสูงอย่างเว็บไซต์ของธนาคาร เว็บซื้อขาย หรือเว็บโซเชียลเป็นต้น

ดูเหมือนจะมีแต่ข้อดี แล้วทำไมทุกเว็บไม่ใช้ HTTPS ล่ะ?

การที่จะตัวเว็บไซต์จะใช้ HTTPS ได้ จะต้องมีการเซ็ตอัพเว็บเซิร์ฟเวอร์ให้รองรับกับระบบด้วย และต้องมีการสร้าง Public key certificate ขึ้นมารองรับกับการใช้งาน เพื่อให้เว็บบราวเซอร์ที่เปิดเข้ามายังไซต์ที่อยู่บน HTTPS สามารถเข้าใช้งานได้ ซึ่งมีให้ใช้ทั้งแบบฟรี และเสียเงิน แต่โดยส่วนมากแล้ว ตัวฟรีจะไม่เข้ารหัสไฟล์ถึงระดับ Root และอีกประเด็นคือการเข้ารหัสเว็บหมายความว่า เวลาที่มีการเชื่อมต่อก็จะต้องทำการถอดรหัสทำให้หน้าเว็บเสียเวลาประมวลผลนานกว่าเดิม ดังนั้นถ้าไม่มีความจำเป็น ข้อมูลบนเว็บไซต์ไม่ได้มีความสำคัญมาก เว็บไซต์ส่วนมากก็เลยไม่นิยมใช้กันเพื่อประหยัดค่าใช้จ่าย

หากเป็นไปได้เว็บไซต์ที่ดีก็ควรนำ HTTPS มาใช้ แม้ว่าจะไม่ได้มีข้อมูลสำคัญอยู่ก็ตาม 

ปัญหาของเว็บไซต์ที่ไม่มี HTTP คือแฮกเกอร์สามารถแอบดึงข้อมูล หรือฝังโค้ดที่อันตรายลงไปในเว็บไซต์ของคุณได้ ซึ่งหากปัญหาไม่ได้ร้ายแรง มันก็อาจแค่สร้างความน่ารำคาญ เช่น มีโฆษณาไม่พึงประสงค์ปรากฏบนหน้าเว็บไซต์ ที่รบกวนผู้เยี่ยมชม แต่ถ้าเจอแฮกเกอร์แบบโฉด เว็บไซต์ของคุณอาจถูกโจมตีจนล่ม หรือถูกยึดไปเลยก็ได้

หากต้องการดูรายละเอียดของ TLS/SSL ที่เว็บไซต์ใช้งานอยู่ สามารถคลิกที่ไอคอนแม่กุญแจเพื่อดูรายละเอียดได้ทันที (อ่านบทความเกี่ยวกับการตรวจสอบรายละเอียด TLS/SSL ได้ที่นี่)

ที่มา : https://tips.thaiware.com/2324.html