Tags:
Node Thumbnail

ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง

รูปแบบการรองรับ HTTPS

การรองรับ HTTPS มีได้หลายแบบ หลายเว็บเลือกที่จะรองรับทั้ง HTTP และ HTTPS ไปพร้อมกัน ซึ่งอาจเกิดจากข้อจำกัดบางประการของแอปพลิเคชันภายใน บางเว็บอาจจะเปิดให้บริการไว้โดยที่รองรับเพียงบางหน้า เช่น หน้าจ่ายเงิน บางเว็บอาจจะยอมรับการโหลดภาพจากเว็บ HTTP ธรรมดา เบื้องต้นเราทำความเข้าใจกับความแตกต่างของการรองรับแต่ละแบบกันก่อน

ไม่รองรับเลย

เว็บบางกลุ่มอาจจะไม่รองรับ HTTPS เลยแม้แต่น้อย แม้ว่าจะเข้าด้วยการพิมพ์ HTTPS:// โดยตรง หรือใช้เครื่องมือบังคับใช้ SSL เช่น ส่วนเสริม KB SSL Enforcer บน Google Chrome หรือ HTTPS Everywhere จาก Electronic Frontier Foundation

รองรับไม่สมบูรณ์

เว็บที่รองรับไม่สมบูรณ์ คือเว็บที่เปิดให้เข้าใช้งานผ่าน HTTPS ได้ แต่กลับต้องพบหน้าจอแจ้งเตือนการเชื่อมต่อไม่ปลอดภัย (ดูภาพที่ 1 ประกอบ) ซึ่งอาจเกิดได้จากใบรับรองหมดอายุ ใช้ใบรับรองแบบรับรองตัวเอง (self-signed) CA หมดความน่าเชื่อถือ หรือใช้ใบรับรองร่วมกันกับโดเมนอื่น

No Description

ภาพที่ 1: คำเตือนสำหรับเว็บที่เข้าใช้งาน HTTPS ได้ แต่มีคำเตือนใบรับรองผิดพลาด

รองรับบางส่วน

เว็บสามารถเข้าใช้งานได้บางส่วนแต่ไม่สมบูรณ์ เช่น เว็บข่าวสามารถอ่านข้อความข่าวได้ แต่ภาพประกอบอาจไม่ขึ้น หรือเว็บสั่งสินค้าที่ต้องกดยินยอมให้เบราว์เซอร์โหลดสคริปต์ที่ไม่ปลอดภัยเพื่อให้ใช้งานต่อไปได้

No Description

ภาพที่ 2: เว็บที่ไม่สามารถโหลดภาพประกอบ/สคริปต์ได้ครบ เนื่องจากเนื้อหาเหล่านั้นไม่ได้วิ่งบน SSL

รองรับแต่ไม่บังคับ

สามารถใช้งานได้ครบถ้วนดี แม้อาจจะมีภาพบางส่วนโหลดไม่สำเร็จ แต่ไม่ได้บังคับเป็นปกติ อาจจะโฆษณาเว็บเป็น HTTP อยู่

No Description

ภาพที่ 3: เว็บที่รองรับ SSL แต่ไม่บังคับให้ใช้ สามารถเข้าได้ทั้งจาก HTTP และ HTTPS

รองรับและบังคับ

เว็บประเภทนี้จะสามารถเข้าใช้งานได้ผ่าน HTTPS เพียงอย่างเดียว เมื่อเข้าด้วย HTTP เว็บอาจเปลี่ยนทางให้เป็น HTTPS โดยอัตโนมัติ หรืออาจไม่แสดงผลลัพธ์เลยก็ได้

รองรับและใช้ SSL EV

ระดับสูงสุดของการรองรับ HTTPS ที่มี green bar เพื่อแจ้งผู้ใช้ว่ากำลังใช้เว็บจากหน่วยงานที่ระบุจริง โดยทั่วไปนิยมใช้กับเว็บการเงิน แต่เว็บอื่นๆ ก็ใช้งานได้เช่นกัน เช่น Twitter

No Description

ภาพที่ 4: ตัวอย่างช่องที่อยู่ของเว็บที่มี SSL EV และได้รับ green bar

ใบรับรองยืนยันความถูกต้องด้วย SHA-2

นอกจากความเชื่อถือได้ของผู้ออกใบรับรองแล้ว เรื่องสำคัญไม่แพ้กันคืออัลกอริทึมค่าแฮชของใบรับรอง โดยเบราว์เซอร์ปัจจุบันอย่าง Chrome จะไม่ขึ้นกุญแจเขียวให้กับใบรับรองที่ใช้แฮชแบบ SHA-1 และหมดอายุในปี 2016 นอกจากนี้จะขึ้นกุญแจกากบาทสีแดงสำหรับใบรับรองที่หมดอายุในปี 2017 แม้ปัจจุบันจะยังไม่มีรายงานว่า SHA-1 ถูกโจมตี แต่อัลกอริทึมแฮชที่แนะนำคือ SHA-2 ครับ รายละเอียดเพิ่มเติม

No Description

ภาพที่ 5: ตัวอย่างเว็บที่ใช้ใบรับรองที่แฮชแบบ SHA-1 ที่จะหมดอายุในปี 2016 และ 2017 ตามลำดับ

กระบวนการสำรวจ

เราแบ่งเว็บไทยออกเป็น 5 กลุ่มหลัก แยกตามประเภทการใช้งาน ดังนี้

  1. เว็บข้อมูลข่าวสาร ได้แก่เว็บข่าว ดาราบันเทิง และเว็บประชาสัมพันธ์บริษัท จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถอ่านเนื้อหาพร้อมภาพหรือวิดีโอประกอบข่าวได้
  2. เว็บอีคอมเมอร์ซ ได้แก่เว็บที่มีระบบตะกร้าสินค้าให้จับจ่ายออนไลน์ โดยไม่จำเป็นต้องมีช่องทางจ่ายเงินออนไลน์ อันประกอบไปด้วย เว็บซื้อของออนไลน์ ร้านหนังสือออนไลน์ เว็บสั่งอาหารเดลิเวอรี่ ซึ่งจะนับว่าใช้งานได้อย่างสมบูรณ์ก็ต่อเมื่อสามารถค้นหาสินค้า อ่านรายละเอียดสินค้า และเพิ่มสินค้าในตะกร้าได้
  3. เว็บธนาคาร เนื่องจากธนาคารส่วนใหญ่ใช้โดเมนแยกกันระหว่างหน้าข้อมูลกับหน้าธุรกรรมออนไลน์ เราจึงแบ่งแยกย่อยลงไปอีก คือ
    • ข้อมูลธนาคาร สำหรับหน้าเว็บที่แสดงข้อมูลต่างๆ จากทางธนาคาร ใช้เกณฑ์การใช้งานได้สมบูรณ์แบบเดียวกับเว็บเนื้อหา
    • ธุรกรรมออนไลน์ สำหรับหน้าเว็บที่มีการลงชื่อเข้าสู่ระบบ เพื่อบริหารบัญชีและทำธุรกรรมผ่านอินเทอร์เน็ต
      แต่เนื่องจากข้อจำกัดทางด้านจำนวนบัญชีธนาคารที่ผู้สำรวจมี เกณฑ์การใช้งานได้สมบูรณ์คือการสังเกตหน้าแรกของเว็บเท่านั้น
  4. เว็บเครือข่ายสังคม ได้แก่เว็บที่เน้นให้เกิดการสนทนากันระหว่างผู้ใช้ด้วย จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถโพสต์กระทู้หรือตอบข้อความได้สำเร็จ
  5. เว็บหน่วยงานราชการ ได้แก่เว็บจากทางภาครัฐ เนื่องจากเว็บในหมวดนี้มีการใช้งานที่หลากหลายไม่ซ้ำกัน เช่น เว็บกองสลากฯ สำหรับตรวจหวย เว็บสรรพากรสำหรับยื่นภาษี เราจะจำกัดระดับการใช้งานได้อยู่ที่การโหลดเนื้อหามาได้ครบถ้วนเท่านั้น

เราได้เลือกเว็บที่มีผู้เข้าใช้งานมากเป็นอันดับต้นๆ ในแต่ละหมวดโดยอิงสถิติจาก Truehits มาประมาณ 5-10 อันดับ และเพิ่มเว็บที่เป็นที่รู้จักแพร่หลายแต่ไม่ได้ถูกนำไปจัดอันดับกับ Truehits เข้าไปด้วย

สำหรับเครื่องมือที่ใช้ทดสอบ เราใช้เบราว์เซอร์ยอดนิยมบนเดสก์ท็อป 2 ตัวเพื่อป้องกันความแตกต่างของเนื้อหาระหว่างเบราว์เซอร์ ซึ่งได้แก่ Google Chrome 48 และ Internet Explorer 11 และเนื่องจากอาจมีบางเว็บที่ไม่ได้เป็น responsive แต่ยังมีหน้าเว็บสำหรับมือถือแยกอยู่ เราจึงใช้ Google Chrome 48 บน Android ร่วมทดสอบเว็บที่มีหน้ามือถือคู่ไปด้วย

ขั้นตอนการทดสอบ เริ่มจากการเข้าเว็บด้วย HTTP แล้วสังเกตความครบถ้วนของเนื้อหาที่โหลด ความสามารถในการใช้งาน และเกิดการเปลี่ยนทาง (redirect) ไปยัง HTTPS หรือไม่ โดยเริ่มจากหน้าแรกของเว็บ แล้วตามลิงก์ภายในไปยังบางหน้าในโดเมนนั้นๆ ตบท้ายด้วยการทดสอบการใช้งานว่ามีความสมบูรณ์หรือไม่

เมื่อเก็บข้อมูลเว็บดังกล่าวบน HTTP เสร็จแล้ว ก็สลับไปทดสอบการใช้งานผ่าน HTTPS ในทำนองเดียวกัน (โดยสังเกตการเปลี่ยนทางว่ามีการเปลี่ยนกลับเป็น HTTP หรือไม่แทน)

เนื่องจากเว็บเป็นสิ่งที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาโดยที่เราไม่สามารถควบคุมได้ การสำรวจจึงจำกัดเวลาของเว็บหมวดเดียวกันว่าต้องสำรวจภายในวันเดียวกัน เพื่อที่จะได้นำผลมาเปรียบเทียบกันได้ครับ

ผลการสำรวจ

เราได้เลือกเว็บไทยทั้งหมด 67 เว็บมาทำการสำรวจในระหว่างวันที่ 4-9 กุมภาพันธ์ 2016 และได้ผลลัพธ์แยกตามประเภทของเว็บ ดังนี้

เว็บข้อมูลข่าวสาร

ตารางที่ 1: การรองรับ SSL ของเว็บประเภทข้อมูลข่าวสาร

No Description

เว็บอีคอมเมิร์ซ

ตารางที่ 2: การรองรับ SSL ของเว็บประเภทอีคอมเมิร์ซ

No Description

ในหมวดนี้จะมีข้อสังเกตสำคัญสำหรับเว็บอีคอมเมิร์ซบางเว็บ อันได้แก่ thaiticketmajor.com, cdicsount.co.th, และ itruemart.com ที่สามารถเข้าหน้าเว็บด้วย HTTPS ได้ แต่ไม่สามารถค้นหาเลือกซื้อสินค้าได้จนกว่าจะกดยินยอมให้โหลดสคริปต์ที่ไม่ปลอดภัย

เว็บธนาคาร

ตารางที่ 3: การรองรับ SSL ของเว็บประเภทธนาคาร

No Description

เว็บเครือข่ายสังคม

ตารางที่ 4: การรองรับ SSL ของเว็บประเภทเครือข่ายสังคม

No Description

เว็บหน่วยงานรัฐ

ตารางที่ 5: การรองรับ SSL ของเว็บประเภทหน่วยงานรัฐ

No Description

สำหรับข้อมูลดิบและรายละเอียดต่างๆ สามารถอ่านได้จาก Sheet นี้

บทสรุป

เราพบว่าเว็บในไทยยังเข้ารหัสกันอยู่เฉพาะในกลุ่มธนาคารที่เป็นธุรกรรมออนไลน์ แม้ผู้ใช้จะมีการส่งข้อมูลส่วนตัวกันในเว็บกลุ่มอีคอมเมิร์ซ เว็บเช่น kaidee.com รองรับการเข้ารหัสบางส่วนซึ่งเป็นจุดเริ่มต้นที่ดีแต่อาจจะยังไม่เพียงพอเพราะผู้อ่านข้อมูลจากเว็บอาจไม่ตระหนักเรื่องความปลอดภัย หรือไม่ทราบถึงการใช้ส่วนเสริมเพื่อบังคับ HTTPS ตลอดเวลา ทางผู้สำรวจหวังว่าในปีถัดๆ ไป เว็บไทยจะใช้ SSL กันเยอะขึ้นจนเป็นเสียงข้างมากในที่สุดครับ

Get latest news from Blognone

Comments

By: icez
ContributoriPhoneAndroidRed Hat
on 21 February 2016 - 16:42 #886488

kfc กับ pizzahut เหมือนจะคำนวณคะแนนผิดนะครับ ทำให้โชว์ข้อมูลเป็น EV ทั้งๆ ที่ไม่ใช่ครับ

By: neizod
ContributorTraineeIn Love
on 21 February 2016 - 17:14 #886492 Reply to:886488
neizod's picture

เฮือก คำนวณผิดครับ แก้เรียบร้อยแล้ว

By: PH41
ContributorAndroidUbuntuWindows
on 21 February 2016 - 17:19 #886493 Reply to:886488
PH41's picture

ภาพประกอบข่าวไม่ได้วิ่งบน HTTPS อย่างงี้ Blognone จะจัดอยู่ในกลุ่มไหนอะครับ

By: neizod
ContributorTraineeIn Love
on 21 February 2016 - 17:36 #886495 Reply to:886493
neizod's picture

พอดีค่า default ของการแชร์ภาพจาก imgur เป็น HTTP ฮะ ถ้าใช้พวกส่วนเสริมบังคับ HTTPS มันจะไม่โหลดภาพในตอนแรก แต่ทิ้งไว้ซักพักมันจะไปโหลดภาพจาก URL เดียวกันที่ใช้ HTTPS มาให้แทน ก็ทำให้จัดกลุ่มได้ว่าเป็นการรองรับทั้งหมดอยู่ดี

อย่างไรก็ตาม สำหรับบทความนี้ผมได้แก้ให้ภาพประกอบใช้ HTTPS ทั้งหมดแล้วครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 21 February 2016 - 18:04 #886498 Reply to:886493
lew's picture

ตอนนี้รองรับบางส่วนอย่างจงใจครับ เพราะเปิดให้สมาชิกใส่ภาพจาก HTTP ได้ (แม้ resource ของ Blognone เองจะเป็น HTTPS หมดแล้ว)

อนาคตจะเปิด CSP header แล้วบังคับ HTTPS ซึ่งจะทำให้ภาพบางส่วนที่สมาชิกใส่มาไม่โหลดเลย (ต้องใส่ใหม่เป็น HTTPS เท่านั้น) อันนี้คงเร็วๆ นี้ครับ


lewcpe.com, @wasonliw

By: ตะโร่งโต้ง
WriterAndroidWindows
on 24 February 2016 - 01:50 #887456 Reply to:886498
ตะโร่งโต้ง's picture

แปลว่าเวลาพิมพ์ข่าวผมควรฝากรูปไว้ที่ไหนดีครับ?


ช่างไฟสมัครเล่น (- -")

By: mk
FounderAndroid
on 24 February 2016 - 07:33 #887495 Reply to:887456
mk's picture

imgur เปลี่ยน URL เป็น https ก็ใช้งานได้ครับ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 21 February 2016 - 17:34 #886494
panurat2000's picture

เพราะเป็นปีที่ใบรับรองดิจิตอล

ดิจิตอล => ดิจิทัล

จำกัดบางประการของแอปพลิเคชั่น

แอปพลิเคชั่น => แอปพลิเคชัน

ที่ต้องกดยินยอมให้เบราเซอร์โหลดสคริปต์

โดยเบราเซอร์ปัจจุบันอย่าง Chrome

เราใช้เบราเซอร์ยอดนิยมบนเดสก์ท็อป

ความแตกต่างของเนื้อหาระหว่างเบราเซอร์

เบราเซอร์ => เบราว์เซอร์

นอกจากการความเชื่อถือได้ของผู้ออกใบรับรองแล้ว

การความ ?

จะถือว่าใช้งานได้สมบูรณ์เมือสามารถ

เมือ => เมื่อ

ก็ต่อเมื่อสามารถค้าหาสินค้า

ค้าหา => ค้นหา

และทำธุรกรรมผ่านอินเตอร์เน็ต

อินเตอร์เน็ต => อินเทอร์เน็ต

เมื่อสามารถโพสกระทู้หรือตอบข้อความ

โพส => โพสต์

โดยเปลี่ยนการสังเกตการเปลี่ยนทางว่ามีการเปลี่ยนกลับเป็น HTTP หรือไม่แทน

เปลี่ยนการสังเกตการเปลี่ยนทาง ?

By: neizod
ContributorTraineeIn Love
on 21 February 2016 - 17:40 #886496 Reply to:886494
neizod's picture

เรียบร้อยครับ

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 21 February 2016 - 18:56 #886504 Reply to:886494
KuLiKo's picture

บอทดุจุงวันนี้

By: HoMm
AndroidWindows
on 23 February 2016 - 08:57 #887023 Reply to:886494
HoMm's picture

แอบสงสัยครับว่า บอทจริงๆ
รึว่าคนจริงๆที่เรียกประชดว่าบอท ครับ
อ่านมาก็หลายปีว่าจะถามแหะๆ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 23 February 2016 - 12:45 #887160 Reply to:887023

เมื่อสองปีก่อนผมเชื่อว่าก็คนธรรมดานี่แหละครับ ตอนนี้เหรอ....ผมเองก็เริ่มสับสนแล้วเหมือนกัน


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 21 February 2016 - 19:37 #886516

ผมดูแลเว็บให้ลูกค้าอยู่ ไม่ได้ขอผมก็จับเข้ารหัสให้หมดเลย เรื่องนี้สำคัญมากที่สุด แถมมีผลกับอันดับค้นหาด้วย

By: Kittichok
Contributor
on 22 February 2016 - 20:22 #886868

ขอบคุณสำหรับข้อมูลครับ

By: HoMm
AndroidWindows
on 23 February 2016 - 08:51 #887022
HoMm's picture

ข้อ 5 แบบว่าเวปของรัฐควรจะต้องมีหรือไหม... ??
ใครมีความรู้แนะนำทีครับถ้าเทียบกับประเทศอื่นๆ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 23 February 2016 - 10:28 #887073 Reply to:887022
lew's picture

ควรไหมคำตอบคือควรครับ แต่ประเทศอื่นเป็นอย่างไรก็ต้องบอกว่าหน่วยงานรัฐเคลื่อนตัวช้า (เป็นกันทั้งโลก) อย่างตอนนี้สหรัฐฯ ออกมาในระดับนโยบายกว่าจะเป็นจริงคงอีกปีสองปีอย่างเร็ว


lewcpe.com, @wasonliw

By: GooEng
ContributorWindows PhoneAndroidUbuntu
on 28 February 2016 - 19:26 #888736 Reply to:887073
GooEng's picture

ข้ออ้างหน่่วยงานรัฐ
1. ขาดงบประมาณ
2. ขาดบุคลากร
พอจะพัฒนาตนเองโดยไปอบรม
1. ก็พัฒนาตัวเองซิ
2. ไม่มีงบสำหรับการอบรม

สรุป เลยไม่มีเงินซื้อ SSL Cert. ครับ เลยต้องใช้ self-sign ผู้บริหารไม่ได้จบทางด้านคอมพิวเตอร์ เลยไม่เข้าใจความจำเป็น คิดว่าถ้าอยากให้หน่วยงานรัฐขยับ อบรมระดับผู้บริหารก่อนเลยครับ


คำตอบของข้า คือ ประกาศิต

By: sonkub
AndroidWindows
on 23 February 2016 - 16:46 #887225

เวปธนาคาร มันก็มี SSL EV กันอยู่แล้ว ทำไมถึงไม่เอามาใส่ในหน้าเวปด้วยหว่า ใส่แต่หน้าที่ทำธุรกรรม
แบบนี้คนก็ phishing ตั้งแต่หน้าเวปแล้วก็หลอกให้กดปุ่ม login เพื่อเข้าทำธุรกรรมก็ได้นิ

หรือมันมีเงื่อนไขอื่นๆเพิ่มเติมถึงทำไม่ได้ ??

By: jaideejung007
ContributorWindows PhoneWindows
on 24 February 2016 - 16:44 #887670 Reply to:887225
jaideejung007's picture

รอฟังครับ

By: TeamKiller
ContributoriPhone
on 25 February 2016 - 09:27 #887886 Reply to:887225
TeamKiller's picture

เห็นเขาแยกโดเมนกัน เดาๆ น่าจะมีเรื่องค่าใช้จ่ายเพิ่มเติมด้วย เรื่องหนึงนะครับ

By: LazarusSP1
ContributoriPhone
on 24 February 2016 - 19:11 #887706

เห็นช่วงนี้มีข่าวเรื่องกองทัพไซเบอร์บ่อย ไม่มีรีวิวส่วนของหน้าเว็บกองทัพต่างๆ บ้างหรือครับ

By: shipcake
Symbian
on 25 February 2016 - 07:46 #887847
shipcake's picture

ขอบคุณครับ ได้ความรู้เยอะเลย

By: btoy
ContributorAndroidWindows
on 25 February 2016 - 09:11 #887875
btoy's picture

ขอบคุณมากครับ


..: เรื่อยไป

By: GooEng
ContributorWindows PhoneAndroidUbuntu
on 28 February 2016 - 19:22 #888735
GooEng's picture

สงสัย plugin SSL Decryption ใน Ettercap ครับ ถอดรหัสพวกนี้ได้ไหม


คำตอบของข้า คือ ประกาศิต