ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง
รูปแบบการรองรับ HTTPS
การรองรับ HTTPS มีได้หลายแบบ หลายเว็บเลือกที่จะรองรับทั้ง HTTP และ HTTPS ไปพร้อมกัน ซึ่งอาจเกิดจากข้อจำกัดบางประการของแอปพลิเคชันภายใน บางเว็บอาจจะเปิดให้บริการไว้โดยที่รองรับเพียงบางหน้า เช่น หน้าจ่ายเงิน บางเว็บอาจจะยอมรับการโหลดภาพจากเว็บ HTTP ธรรมดา เบื้องต้นเราทำความเข้าใจกับความแตกต่างของการรองรับแต่ละแบบกันก่อน
ไม่รองรับเลย
เว็บบางกลุ่มอาจจะไม่รองรับ HTTPS เลยแม้แต่น้อย แม้ว่าจะเข้าด้วยการพิมพ์ HTTPS:// โดยตรง หรือใช้เครื่องมือบังคับใช้ SSL เช่น ส่วนเสริม KB SSL Enforcer บน Google Chrome หรือ HTTPS Everywhere จาก Electronic Frontier Foundation
รองรับไม่สมบูรณ์
เว็บที่รองรับไม่สมบูรณ์ คือเว็บที่เปิดให้เข้าใช้งานผ่าน HTTPS ได้ แต่กลับต้องพบหน้าจอแจ้งเตือนการเชื่อมต่อไม่ปลอดภัย (ดูภาพที่ 1 ประกอบ) ซึ่งอาจเกิดได้จากใบรับรองหมดอายุ ใช้ใบรับรองแบบรับรองตัวเอง (self-signed) CA หมดความน่าเชื่อถือ หรือใช้ใบรับรองร่วมกันกับโดเมนอื่น

ภาพที่ 1: คำเตือนสำหรับเว็บที่เข้าใช้งาน HTTPS ได้ แต่มีคำเตือนใบรับรองผิดพลาด
รองรับบางส่วน
เว็บสามารถเข้าใช้งานได้บางส่วนแต่ไม่สมบูรณ์ เช่น เว็บข่าวสามารถอ่านข้อความข่าวได้ แต่ภาพประกอบอาจไม่ขึ้น หรือเว็บสั่งสินค้าที่ต้องกดยินยอมให้เบราว์เซอร์โหลดสคริปต์ที่ไม่ปลอดภัยเพื่อให้ใช้งานต่อไปได้

ภาพที่ 2: เว็บที่ไม่สามารถโหลดภาพประกอบ/สคริปต์ได้ครบ เนื่องจากเนื้อหาเหล่านั้นไม่ได้วิ่งบน SSL
รองรับแต่ไม่บังคับ
สามารถใช้งานได้ครบถ้วนดี แม้อาจจะมีภาพบางส่วนโหลดไม่สำเร็จ แต่ไม่ได้บังคับเป็นปกติ อาจจะโฆษณาเว็บเป็น HTTP อยู่

ภาพที่ 3: เว็บที่รองรับ SSL แต่ไม่บังคับให้ใช้ สามารถเข้าได้ทั้งจาก HTTP และ HTTPS
รองรับและบังคับ
เว็บประเภทนี้จะสามารถเข้าใช้งานได้ผ่าน HTTPS เพียงอย่างเดียว เมื่อเข้าด้วย HTTP เว็บอาจเปลี่ยนทางให้เป็น HTTPS โดยอัตโนมัติ หรืออาจไม่แสดงผลลัพธ์เลยก็ได้
รองรับและใช้ SSL EV
ระดับสูงสุดของการรองรับ HTTPS ที่มี green bar เพื่อแจ้งผู้ใช้ว่ากำลังใช้เว็บจากหน่วยงานที่ระบุจริง โดยทั่วไปนิยมใช้กับเว็บการเงิน แต่เว็บอื่นๆ ก็ใช้งานได้เช่นกัน เช่น Twitter

ภาพที่ 4: ตัวอย่างช่องที่อยู่ของเว็บที่มี SSL EV และได้รับ green bar
ใบรับรองยืนยันความถูกต้องด้วย SHA-2
นอกจากความเชื่อถือได้ของผู้ออกใบรับรองแล้ว เรื่องสำคัญไม่แพ้กันคืออัลกอริทึมค่าแฮชของใบรับรอง โดยเบราว์เซอร์ปัจจุบันอย่าง Chrome จะไม่ขึ้นกุญแจเขียวให้กับใบรับรองที่ใช้แฮชแบบ SHA-1 และหมดอายุในปี 2016 นอกจากนี้จะขึ้นกุญแจกากบาทสีแดงสำหรับใบรับรองที่หมดอายุในปี 2017 แม้ปัจจุบันจะยังไม่มีรายงานว่า SHA-1 ถูกโจมตี แต่อัลกอริทึมแฮชที่แนะนำคือ SHA-2 ครับ รายละเอียดเพิ่มเติม

ภาพที่ 5: ตัวอย่างเว็บที่ใช้ใบรับรองที่แฮชแบบ SHA-1 ที่จะหมดอายุในปี 2016 และ 2017 ตามลำดับ
กระบวนการสำรวจ
เราแบ่งเว็บไทยออกเป็น 5 กลุ่มหลัก แยกตามประเภทการใช้งาน ดังนี้
- เว็บข้อมูลข่าวสาร ได้แก่เว็บข่าว ดาราบันเทิง และเว็บประชาสัมพันธ์บริษัท จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถอ่านเนื้อหาพร้อมภาพหรือวิดีโอประกอบข่าวได้
- เว็บอีคอมเมอร์ซ ได้แก่เว็บที่มีระบบตะกร้าสินค้าให้จับจ่ายออนไลน์ โดยไม่จำเป็นต้องมีช่องทางจ่ายเงินออนไลน์ อันประกอบไปด้วย เว็บซื้อของออนไลน์ ร้านหนังสือออนไลน์ เว็บสั่งอาหารเดลิเวอรี่ ซึ่งจะนับว่าใช้งานได้อย่างสมบูรณ์ก็ต่อเมื่อสามารถค้นหาสินค้า อ่านรายละเอียดสินค้า และเพิ่มสินค้าในตะกร้าได้
- เว็บธนาคาร เนื่องจากธนาคารส่วนใหญ่ใช้โดเมนแยกกันระหว่างหน้าข้อมูลกับหน้าธุรกรรมออนไลน์ เราจึงแบ่งแยกย่อยลงไปอีก คือ
- ข้อมูลธนาคาร สำหรับหน้าเว็บที่แสดงข้อมูลต่างๆ จากทางธนาคาร ใช้เกณฑ์การใช้งานได้สมบูรณ์แบบเดียวกับเว็บเนื้อหา
- ธุรกรรมออนไลน์ สำหรับหน้าเว็บที่มีการลงชื่อเข้าสู่ระบบ เพื่อบริหารบัญชีและทำธุรกรรมผ่านอินเทอร์เน็ต
แต่เนื่องจากข้อจำกัดทางด้านจำนวนบัญชีธนาคารที่ผู้สำรวจมี เกณฑ์การใช้งานได้สมบูรณ์คือการสังเกตหน้าแรกของเว็บเท่านั้น
- เว็บเครือข่ายสังคม ได้แก่เว็บที่เน้นให้เกิดการสนทนากันระหว่างผู้ใช้ด้วย จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถโพสต์กระทู้หรือตอบข้อความได้สำเร็จ
- เว็บหน่วยงานราชการ ได้แก่เว็บจากทางภาครัฐ เนื่องจากเว็บในหมวดนี้มีการใช้งานที่หลากหลายไม่ซ้ำกัน เช่น เว็บกองสลากฯ สำหรับตรวจหวย เว็บสรรพากรสำหรับยื่นภาษี เราจะจำกัดระดับการใช้งานได้อยู่ที่การโหลดเนื้อหามาได้ครบถ้วนเท่านั้น
เราได้เลือกเว็บที่มีผู้เข้าใช้งานมากเป็นอันดับต้นๆ ในแต่ละหมวดโดยอิงสถิติจาก Truehits มาประมาณ 5-10 อันดับ และเพิ่มเว็บที่เป็นที่รู้จักแพร่หลายแต่ไม่ได้ถูกนำไปจัดอันดับกับ Truehits เข้าไปด้วย
สำหรับเครื่องมือที่ใช้ทดสอบ เราใช้เบราว์เซอร์ยอดนิยมบนเดสก์ท็อป 2 ตัวเพื่อป้องกันความแตกต่างของเนื้อหาระหว่างเบราว์เซอร์ ซึ่งได้แก่ Google Chrome 48 และ Internet Explorer 11 และเนื่องจากอาจมีบางเว็บที่ไม่ได้เป็น responsive แต่ยังมีหน้าเว็บสำหรับมือถือแยกอยู่ เราจึงใช้ Google Chrome 48 บน Android ร่วมทดสอบเว็บที่มีหน้ามือถือคู่ไปด้วย
ขั้นตอนการทดสอบ เริ่มจากการเข้าเว็บด้วย HTTP แล้วสังเกตความครบถ้วนของเนื้อหาที่โหลด ความสามารถในการใช้งาน และเกิดการเปลี่ยนทาง (redirect) ไปยัง HTTPS หรือไม่ โดยเริ่มจากหน้าแรกของเว็บ แล้วตามลิงก์ภายในไปยังบางหน้าในโดเมนนั้นๆ ตบท้ายด้วยการทดสอบการใช้งานว่ามีความสมบูรณ์หรือไม่
เมื่อเก็บข้อมูลเว็บดังกล่าวบน HTTP เสร็จแล้ว ก็สลับไปทดสอบการใช้งานผ่าน HTTPS ในทำนองเดียวกัน (โดยสังเกตการเปลี่ยนทางว่ามีการเปลี่ยนกลับเป็น HTTP หรือไม่แทน)
เนื่องจากเว็บเป็นสิ่งที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาโดยที่เราไม่สามารถควบคุมได้ การสำรวจจึงจำกัดเวลาของเว็บหมวดเดียวกันว่าต้องสำรวจภายในวันเดียวกัน เพื่อที่จะได้นำผลมาเปรียบเทียบกันได้ครับ
ผลการสำรวจ
เราได้เลือกเว็บไทยทั้งหมด 67 เว็บมาทำการสำรวจในระหว่างวันที่ 4-9 กุมภาพันธ์ 2016 และได้ผลลัพธ์แยกตามประเภทของเว็บ ดังนี้
เว็บข้อมูลข่าวสาร
ตารางที่ 1: การรองรับ SSL ของเว็บประเภทข้อมูลข่าวสาร

เว็บอีคอมเมิร์ซ
ตารางที่ 2: การรองรับ SSL ของเว็บประเภทอีคอมเมิร์ซ

ในหมวดนี้จะมีข้อสังเกตสำคัญสำหรับเว็บอีคอมเมิร์ซบางเว็บ อันได้แก่ thaiticketmajor.com, cdicsount.co.th, และ itruemart.com ที่สามารถเข้าหน้าเว็บด้วย HTTPS ได้ แต่ไม่สามารถค้นหาเลือกซื้อสินค้าได้จนกว่าจะกดยินยอมให้โหลดสคริปต์ที่ไม่ปลอดภัย
เว็บธนาคาร
ตารางที่ 3: การรองรับ SSL ของเว็บประเภทธนาคาร

เว็บเครือข่ายสังคม
ตารางที่ 4: การรองรับ SSL ของเว็บประเภทเครือข่ายสังคม

เว็บหน่วยงานรัฐ
ตารางที่ 5: การรองรับ SSL ของเว็บประเภทหน่วยงานรัฐ

สำหรับข้อมูลดิบและรายละเอียดต่างๆ สามารถอ่านได้จาก Sheet นี้
บทสรุป
เราพบว่าเว็บในไทยยังเข้ารหัสกันอยู่เฉพาะในกลุ่มธนาคารที่เป็นธุรกรรมออนไลน์ แม้ผู้ใช้จะมีการส่งข้อมูลส่วนตัวกันในเว็บกลุ่มอีคอมเมิร์ซ เว็บเช่น kaidee.com รองรับการเข้ารหัสบางส่วนซึ่งเป็นจุดเริ่มต้นที่ดีแต่อาจจะยังไม่เพียงพอเพราะผู้อ่านข้อมูลจากเว็บอาจไม่ตระหนักเรื่องความปลอดภัย หรือไม่ทราบถึงการใช้ส่วนเสริมเพื่อบังคับ HTTPS ตลอดเวลา ทางผู้สำรวจหวังว่าในปีถัดๆ ไป เว็บไทยจะใช้ SSL กันเยอะขึ้นจนเป็นเสียงข้างมากในที่สุดครับ
on
kfc กับ pizzahut
icez Sun, 21/02/2016 - 16:42
kfc กับ pizzahut เหมือนจะคำนวณคะแนนผิดนะครับ ทำให้โชว์ข้อมูลเป็น EV ทั้งๆ ที่ไม่ใช่ครับ
เฮือก คำนวณผิดครับ
neizod Sun, 21/02/2016 - 17:14
In reply to kfc กับ pizzahut by icez
เฮือก คำนวณผิดครับ แก้เรียบร้อยแล้ว
ภาพประกอบข่าวไม่ได้วิ่งบน
PH41 Sun, 21/02/2016 - 17:19
In reply to kfc กับ pizzahut by icez
ภาพประกอบข่าวไม่ได้วิ่งบน HTTPS อย่างงี้ Blognone จะจัดอยู่ในกลุ่มไหนอะครับ
พอดีค่า default
neizod Sun, 21/02/2016 - 17:36
In reply to ภาพประกอบข่าวไม่ได้วิ่งบน by PH41
พอดีค่า default ของการแชร์ภาพจาก imgur เป็น HTTP ฮะ ถ้าใช้พวกส่วนเสริมบังคับ HTTPS มันจะไม่โหลดภาพในตอนแรก แต่ทิ้งไว้ซักพักมันจะไปโหลดภาพจาก URL เดียวกันที่ใช้ HTTPS มาให้แทน ก็ทำให้จัดกลุ่มได้ว่าเป็นการรองรับทั้งหมดอยู่ดี
อย่างไรก็ตาม สำหรับบทความนี้ผมได้แก้ให้ภาพประกอบใช้ HTTPS ทั้งหมดแล้วครับ
ตอนนี้รองรับบางส่วนอย่างจงใจค
lew Sun, 21/02/2016 - 18:04
In reply to ภาพประกอบข่าวไม่ได้วิ่งบน by PH41
ตอนนี้รองรับบางส่วนอย่างจงใจครับ เพราะเปิดให้สมาชิกใส่ภาพจาก HTTP ได้ (แม้ resource ของ Blognone เองจะเป็น HTTPS หมดแล้ว)
อนาคตจะเปิด CSP header แล้วบังคับ HTTPS ซึ่งจะทำให้ภาพบางส่วนที่สมาชิกใส่มาไม่โหลดเลย (ต้องใส่ใหม่เป็น HTTPS เท่านั้น) อันนี้คงเร็วๆ นี้ครับ
แปลว่าเวลาพิมพ์ข่าวผมควรฝากรู
ตะโร่งโต้ง Wed, 24/02/2016 - 01:50
In reply to ตอนนี้รองรับบางส่วนอย่างจงใจค by lew
แปลว่าเวลาพิมพ์ข่าวผมควรฝากรูปไว้ที่ไหนดีครับ?
imgur เปลี่ยน URL เป็น https
mk Wed, 24/02/2016 - 07:33
In reply to แปลว่าเวลาพิมพ์ข่าวผมควรฝากรู by ตะโร่งโต้ง
imgur เปลี่ยน URL เป็น https ก็ใช้งานได้ครับ
เพราะเป็นปีที่ใบรับรองดิจิตอล
panurat2000 Sun, 21/02/2016 - 17:34
ดิจิตอล => ดิจิทัล
แอปพลิเคชั่น => แอปพลิเคชัน
เบราเซอร์ => เบราว์เซอร์
การความ ?
เมือ => เมื่อ
ค้าหา => ค้นหา
อินเตอร์เน็ต => อินเทอร์เน็ต
โพส => โพสต์
เปลี่ยนการสังเกตการเปลี่ยนทาง ?
เรียบร้อยครับ
neizod Sun, 21/02/2016 - 17:40
In reply to เพราะเป็นปีที่ใบรับรองดิจิตอล by panurat2000
เรียบร้อยครับ
บอทดุจุงวันนี้
KuLiKo Sun, 21/02/2016 - 18:56
In reply to เพราะเป็นปีที่ใบรับรองดิจิตอล by panurat2000
บอทดุจุงวันนี้
แอบสงสัยครับว่า
HoMm Tue, 23/02/2016 - 08:57
In reply to เพราะเป็นปีที่ใบรับรองดิจิตอล by panurat2000
แอบสงสัยครับว่า บอทจริงๆ
รึว่าคนจริงๆที่เรียกประชดว่าบอท ครับ
อ่านมาก็หลายปีว่าจะถามแหะๆ
เมื่อสองปีก่อนผมเชื่อว่าก็คนธ
-Rookies- Tue, 23/02/2016 - 12:45
In reply to แอบสงสัยครับว่า by HoMm
เมื่อสองปีก่อนผมเชื่อว่าก็คนธรรมดานี่แหละครับ ตอนนี้เหรอ....ผมเองก็เริ่มสับสนแล้วเหมือนกัน
ผมดูแลเว็บให้ลูกค้าอยู่
Hadakung Sun, 21/02/2016 - 19:37
ผมดูแลเว็บให้ลูกค้าอยู่ ไม่ได้ขอผมก็จับเข้ารหัสให้หมดเลย เรื่องนี้สำคัญมากที่สุด แถมมีผลกับอันดับค้นหาด้วย
ขอบคุณสำหรับข้อมูลครับ
Kittichok Mon, 22/02/2016 - 20:22
ขอบคุณสำหรับข้อมูลครับ
ข้อ 5
HoMm Tue, 23/02/2016 - 08:51
ข้อ 5 แบบว่าเวปของรัฐควรจะต้องมีหรือไหม... ??
ใครมีความรู้แนะนำทีครับถ้าเทียบกับประเทศอื่นๆ
ควรไหมคำตอบคือควรครับ
lew Tue, 23/02/2016 - 10:28
In reply to ข้อ 5 by HoMm
ควรไหมคำตอบคือควรครับ แต่ประเทศอื่นเป็นอย่างไรก็ต้องบอกว่าหน่วยงานรัฐเคลื่อนตัวช้า (เป็นกันทั้งโลก) อย่างตอนนี้สหรัฐฯ ออกมาในระดับนโยบายกว่าจะเป็นจริงคงอีกปีสองปีอย่างเร็ว
ข้ออ้างหน่่วยงานรัฐ 1.
GooEng Sun, 28/02/2016 - 19:26
In reply to ควรไหมคำตอบคือควรครับ by lew
ข้ออ้างหน่่วยงานรัฐ
พอจะพัฒนาตนเองโดยไปอบรม
สรุป เลยไม่มีเงินซื้อ SSL Cert. ครับ เลยต้องใช้ self-sign ผู้บริหารไม่ได้จบทางด้านคอมพิวเตอร์ เลยไม่เข้าใจความจำเป็น คิดว่าถ้าอยากให้หน่วยงานรัฐขยับ อบรมระดับผู้บริหารก่อนเลยครับ
เวปธนาคาร มันก็มี SSL EV
sonkub Tue, 23/02/2016 - 16:46
เวปธนาคาร มันก็มี SSL EV กันอยู่แล้ว ทำไมถึงไม่เอามาใส่ในหน้าเวปด้วยหว่า ใส่แต่หน้าที่ทำธุรกรรม
แบบนี้คนก็ phishing ตั้งแต่หน้าเวปแล้วก็หลอกให้กดปุ่ม login เพื่อเข้าทำธุรกรรมก็ได้นิ
หรือมันมีเงื่อนไขอื่นๆเพิ่มเติมถึงทำไม่ได้ ??
รอฟังครับ
jaideejung007 Wed, 24/02/2016 - 16:44
In reply to เวปธนาคาร มันก็มี SSL EV by sonkub
รอฟังครับ
เห็นเขาแยกโดเมนกัน เดาๆ
TeamKiller Thu, 25/02/2016 - 09:27
In reply to เวปธนาคาร มันก็มี SSL EV by sonkub
เห็นเขาแยกโดเมนกัน เดาๆ น่าจะมีเรื่องค่าใช้จ่ายเพิ่มเติมด้วย เรื่องหนึงนะครับ
เห็นช่วงนี้มีข่าวเรื่องกองทัพ
LazarusSP1 Wed, 24/02/2016 - 19:11
เห็นช่วงนี้มีข่าวเรื่องกองทัพไซเบอร์บ่อย ไม่มีรีวิวส่วนของหน้าเว็บกองทัพต่างๆ บ้างหรือครับ
ขอบคุณครับ ได้ความรู้เยอะเลย
shipcake Thu, 25/02/2016 - 07:46
ขอบคุณครับ ได้ความรู้เยอะเลย
ขอบคุณมากครับ
btoy Thu, 25/02/2016 - 09:11
ขอบคุณมากครับ
สงสัย plugin SSL Decryption
GooEng Sun, 28/02/2016 - 19:22
สงสัย plugin SSL Decryption ใน Ettercap ครับ ถอดรหัสพวกนี้ได้ไหม