HTTPS คืออะไรและเหตุใดฉันจึงควรดูแล

HTTPS ไอคอนแม่กุญแจในแถบที่อยู่การเชื่อมต่อเว็บไซต์ที่เข้ารหัสซึ่งเป็นที่รู้จักกันหลายอย่าง แม้ว่าครั้งหนึ่งเคยสงวนไว้สำหรับรหัสผ่านและข้อมูลที่ละเอียดอ่อนอื่น ๆ เป็นหลัก แต่ทั้งเว็บจะค่อยๆละทิ้ง HTTP และเปลี่ยนไปใช้ HTTPS

“ S” ใน HTTPS ย่อมาจาก“ Secure” เป็นเวอร์ชันที่ปลอดภัยของ "โปรโตคอลการถ่ายโอนไฮเปอร์เท็กซ์" มาตรฐานที่เว็บเบราว์เซอร์ของคุณใช้เมื่อสื่อสารกับเว็บไซต์

HTTP ทำให้คุณตกอยู่ในความเสี่ยงอย่างไร

เมื่อคุณเชื่อมต่อกับเว็บไซต์ที่มี HTTP ปกติเบราว์เซอร์ของคุณจะค้นหาที่อยู่ IP ที่ตรงกับเว็บไซต์เชื่อมต่อกับที่อยู่ IP นั้นและถือว่าเชื่อมต่อกับเว็บเซิร์ฟเวอร์ที่ถูกต้อง ข้อมูลจะถูกส่งผ่านการเชื่อมต่อในรูปแบบข้อความที่ชัดเจน ผู้ดักฟังบนเครือข่าย Wi-Fi ผู้ให้บริการอินเทอร์เน็ตของคุณหรือหน่วยข่าวกรองของรัฐบาลเช่น NSA สามารถดูหน้าเว็บที่คุณกำลังเยี่ยมชมและข้อมูลที่คุณกำลังถ่ายโอนไปมา

ที่เกี่ยวข้อง: การเข้ารหัสคืออะไรและทำงานอย่างไร

มีปัญหาใหญ่เกี่ยวกับเรื่องนี้ ประการหนึ่งไม่มีวิธีตรวจสอบว่าคุณเชื่อมต่อกับเว็บไซต์ที่ถูกต้อง บางทีคุณอาจคิดว่าคุณเข้าถึงเว็บไซต์ของธนาคารของคุณ แต่คุณอยู่ในเครือข่ายที่ถูกบุกรุกซึ่งจะเปลี่ยนเส้นทางคุณไปยังเว็บไซต์หลอกลวง ไม่ควรส่งรหัสผ่านและหมายเลขบัตรเครดิตผ่านการเชื่อมต่อ HTTP มิฉะนั้นผู้ดักฟังสามารถขโมยได้โดยง่าย

ปัญหาเหล่านี้เกิดขึ้นเนื่องจากการเชื่อมต่อ HTTP ไม่ได้เข้ารหัส การเชื่อมต่อ HTTPS คือ

การเข้ารหัส HTTPS ปกป้องคุณอย่างไร

ที่เกี่ยวข้อง: เบราว์เซอร์ยืนยันตัวตนเว็บไซต์และป้องกันผู้แอบอ้างได้อย่างไร

HTTPS ปลอดภัยกว่า HTTP มาก เมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์ที่มีการรักษาความปลอดภัย HTTPS ไซต์ที่ปลอดภัยเช่นธนาคารของคุณจะเปลี่ยนเส้นทางคุณไปยัง HTTPS โดยอัตโนมัติเว็บเบราว์เซอร์ของคุณจะตรวจสอบใบรับรองความปลอดภัยของเว็บไซต์และตรวจสอบว่าออกโดยผู้ออกใบรับรองที่ถูกต้อง สิ่งนี้ช่วยให้คุณมั่นใจได้ว่าหากคุณเห็น“ //bank.com” ในแถบที่อยู่ของเว็บเบราว์เซอร์แสดงว่าคุณเชื่อมต่อกับเว็บไซต์จริงของธนาคาร บริษัท ที่ออกใบรับรองความปลอดภัยให้กับพวกเขา ขออภัยในบางครั้งผู้ออกใบรับรองจะออกใบรับรองที่ไม่ถูกต้องและระบบจะหยุดทำงาน แม้ว่าจะไม่สมบูรณ์แบบ แต่ HTTPS ก็ยังปลอดภัยกว่า HTTP มาก

เมื่อคุณส่งข้อมูลที่ละเอียดอ่อนผ่านการเชื่อมต่อ HTTPS จะไม่มีใครแอบดักฟังได้ในระหว่างการส่ง HTTPS คือสิ่งที่ทำให้การธนาคารและการช็อปปิ้งออนไลน์ที่ปลอดภัยเป็นไปได้

นอกจากนี้ยังให้ความเป็นส่วนตัวเพิ่มเติมสำหรับการท่องเว็บปกติอีกด้วย ตัวอย่างเช่นขณะนี้เครื่องมือค้นหาของ Google ตั้งค่าเริ่มต้นเป็นการเชื่อมต่อ HTTPS ซึ่งหมายความว่าผู้คนไม่สามารถเห็นสิ่งที่คุณกำลังค้นหาบน Google.com เช่นเดียวกับ Wikipedia และเว็บไซต์อื่น ๆ ก่อนหน้านี้ทุกคนในเครือข่าย Wi-Fi เดียวกันจะสามารถเห็นการค้นหาของคุณได้เช่นเดียวกับผู้ให้บริการอินเทอร์เน็ตของคุณ

ทำไมทุกคนต้องการทิ้ง HTTP ไว้เบื้องหลัง

เดิม HTTPS มีไว้สำหรับรหัสผ่านการชำระเงินและข้อมูลที่ละเอียดอ่อนอื่น ๆ แต่ตอนนี้ทั้งเว็บกำลังมุ่งหน้าไปที่

ในสหรัฐอเมริกาผู้ให้บริการอินเทอร์เน็ตของคุณได้รับอนุญาตให้สอดแนมประวัติการท่องเว็บของคุณและขายให้กับผู้โฆษณา หากเว็บย้ายไปที่ HTTPS ผู้ให้บริการอินเทอร์เน็ตของคุณจะไม่สามารถดูข้อมูลนั้นได้มากนัก แต่จะเห็นเพียงว่าคุณกำลังเชื่อมต่อกับเว็บไซต์บางแห่งซึ่งต่างจากหน้าเว็บที่คุณกำลังดูอยู่ นี่หมายถึงความเป็นส่วนตัวมากขึ้นสำหรับการท่องเว็บของคุณ

ที่แย่กว่านั้นคือ HTTP ช่วยให้ผู้ให้บริการอินเทอร์เน็ตของคุณสามารถแทรกแซงหน้าเว็บที่คุณกำลังเยี่ยมชมได้หากต้องการ พวกเขาสามารถเพิ่มเนื้อหาลงในหน้าเว็บแก้ไขหน้าหรือแม้แต่ลบสิ่งต่างๆ ตัวอย่างเช่น ISP สามารถใช้วิธีนี้เพื่อเพิ่มโฆษณาลงในหน้าเว็บที่คุณเข้าชม Comcast ได้ฉีดคำเตือนเกี่ยวกับขีด จำกัด แบนด์วิดท์แล้วและ Verizon ได้ฉีดซูเปอร์คุกกี้ที่ใช้สำหรับติดตามโฆษณา HTTPS ป้องกัน ISP และบุคคลอื่นที่ใช้เครือข่ายจากการปลอมแปลงหน้าเว็บเช่นนี้

และแน่นอนว่าเป็นไปไม่ได้ที่จะพูดถึงการเข้ารหัสบนเว็บโดยไม่พูดถึง Edward Snowden เอกสารที่รั่วไหลโดย Snowden ในปี 2013 แสดงให้เห็นว่ารัฐบาลสหรัฐฯกำลังตรวจสอบหน้าเว็บที่ผู้ใช้อินเทอร์เน็ตทั่วโลกเข้าเยี่ยมชม สิ่งนี้จุดไฟภายใต้ บริษัท เทคโนโลยีหลายแห่งเพื่อมุ่งสู่การเข้ารหัสและความเป็นส่วนตัวที่เพิ่มขึ้น การย้ายไปใช้ HTTPS ทำให้รัฐบาลทั่วโลกมีเวลาที่ยากขึ้นในการดูพฤติกรรมการท่องเว็บทั้งหมดของคุณ

เบราว์เซอร์สนับสนุนให้เว็บไซต์ถ่ายโอนข้อมูล HTTP อย่างไร

ด้วยเหตุนี้จึงต้องการย้ายไปใช้ HTTPS มาตรฐานใหม่ทั้งหมดที่ออกแบบมาเพื่อให้เว็บเร็วขึ้นจึงต้องใช้การเข้ารหัส HTTPS HTTP / 2 เป็นโปรโตคอล HTTP เวอร์ชันใหม่ที่รองรับในเว็บเบราว์เซอร์หลักทั้งหมด เพิ่มการบีบอัดการวางท่อและคุณสมบัติอื่น ๆ ที่ช่วยให้โหลดหน้าเว็บได้เร็วขึ้น เว็บเบราว์เซอร์ทั้งหมดต้องการไซต์เพื่อใช้การเข้ารหัส HTTPS หากต้องการคุณสมบัติ HTTP / 2 ใหม่ที่มีประโยชน์เหล่านี้ อุปกรณ์สมัยใหม่มีฮาร์ดแวร์เฉพาะสำหรับประมวลผลการเข้ารหัส AES ที่ HTTP ต้องการเช่นกัน ซึ่งหมายความว่าจริงๆแล้ว HTTPS ควรเร็วกว่า HTTP

ในขณะที่เบราว์เซอร์กำลังทำให้ HTTPS น่าสนใจด้วยคุณสมบัติใหม่ ๆ Google กำลังทำให้ HTTP ไม่น่าสนใจโดยการลงโทษเว็บไซต์ที่ใช้มัน Google วางแผนที่จะตั้งค่าสถานะเว็บไซต์ที่ไม่ใช้ HTTPS ว่าไม่ปลอดภัยใน Chrome และ Google ต้องการจัดลำดับความสำคัญของเว็บไซต์ที่ใช้ HTTPS ในผลการค้นหาของ Google สิ่งนี้เป็นแรงจูงใจที่ดีสำหรับเว็บไซต์ในการย้ายไปใช้ HTTPS

วิธีตรวจสอบว่าคุณเชื่อมต่อกับเว็บไซต์โดยใช้ HTTPS หรือไม่

คุณสามารถบอกได้ว่าคุณเชื่อมต่อกับเว็บไซต์ที่มีการเชื่อมต่อ HTTPS หากที่อยู่ในแถบที่อยู่เว็บเบราว์เซอร์ของคุณขึ้นต้นด้วย“ //” คุณจะเห็นไอคอนแม่กุญแจซึ่งคุณสามารถคลิกเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยของเว็บไซต์ได้

ซึ่งจะดูแตกต่างกันเล็กน้อยในแต่ละเบราว์เซอร์ แต่เบราว์เซอร์ส่วนใหญ่จะมีไอคอน // และล็อกเหมือนกัน ตอนนี้เบราว์เซอร์บางตัวจะซ่อน“ //” ตามค่าเริ่มต้นดังนั้นคุณจะเห็นไอคอนแม่กุญแจถัดจากชื่อโดเมนของเว็บไซต์ อย่างไรก็ตามหากคุณคลิกหรือแตะภายในแถบที่อยู่คุณจะเห็นส่วน“ //” ของที่อยู่

ที่เกี่ยวข้อง: เหตุใดการใช้เครือข่าย Wi-Fi สาธารณะอาจเป็นอันตรายได้แม้ว่าจะเข้าถึงเว็บไซต์ที่เข้ารหัสก็ตาม

หากคุณใช้เครือข่ายที่ไม่คุ้นเคยและคุณเชื่อมต่อกับเว็บไซต์ของธนาคารตรวจสอบให้แน่ใจว่าคุณเห็น HTTPS และที่อยู่เว็บไซต์ที่ถูกต้อง สิ่งนี้ช่วยให้คุณมั่นใจได้ว่าคุณเชื่อมต่อกับเว็บไซต์ของธนาคารจริงแม้ว่าจะไม่ใช่วิธีแก้ปัญหาที่เข้าใจผิด หากคุณไม่เห็นตัวบ่งชี้ HTTPS ในหน้าเข้าสู่ระบบแสดงว่าคุณอาจเชื่อมต่อกับเว็บไซต์หลอกลวงบนเครือข่ายที่ถูกบุกรุก

ระวังเคล็ดลับฟิชชิง

ที่เกี่ยวข้อง: การรักษาความปลอดภัยออนไลน์: การทำลายกายวิภาคของอีเมลฟิชชิ่ง

การมี HTTPS เองไม่ได้เป็นการรับประกันว่าไซต์นั้นถูกต้องตามกฎหมาย นักฟิชเชอร์ที่ชาญฉลาดบางคนตระหนักว่าผู้คนมองหาตัวบ่งชี้ HTTPS และไอคอนล็อกและอาจหลีกเลี่ยงการปลอมแปลงเว็บไซต์ของตน ดังนั้นคุณควรระวังอย่าคลิกลิงก์ในอีเมลฟิชชิงมิฉะนั้นคุณอาจพบว่าตัวเองอยู่ในหน้าที่ปลอมตัวมาอย่างชาญฉลาด นักต้มตุ๋นสามารถรับใบรับรองสำหรับเซิร์ฟเวอร์หลอกลวงได้เช่นกัน ตามทฤษฎีแล้วพวกเขาถูกป้องกันไม่ให้แอบอ้างเป็นไซต์ที่พวกเขาไม่ได้เป็นเจ้าของเท่านั้น คุณอาจเห็นที่อยู่เช่น //google.com.3526347346435.com ในกรณีนี้คุณกำลังใช้การเชื่อมต่อ HTTPS แต่คุณเชื่อมต่อกับโดเมนย่อยของไซต์ที่ชื่อ 3526347346435.com ไม่ใช่ Google

นักต้มตุ๋นรายอื่นอาจเลียนแบบไอคอนแม่กุญแจโดยเปลี่ยนไอคอน Fav ของเว็บไซต์ที่ปรากฏในแถบที่อยู่ให้เป็นล็อกเพื่อพยายามหลอกล่อคุณ จับตาดูกลเม็ดเหล่านี้เมื่อตรวจสอบการเชื่อมต่อกับเว็บไซต์