หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

สรุปความปลอดภัยบนเว็บที่มีการเปลี่ยนแปลงในช่วงปีที่ผ่านมา?

แต่ก่อนที่เราจะข้ามไปดูผลสำรวจประจำปีนี้ ก็ขอสรุปเหตุการณ์สำคัญๆ ด้านความปลอดภัยบนเว็บ ที่เกิดขึ้นในช่วงปีที่ผ่านมาก่อนครับ

เมื่อเบราว์เซอร์คำนึงถึงผู้ใช้งานที่ไม่เข้าใจเรื่องทางเทคนิคมากขึ้น

หากพูดเรื่องการออกแบบความปลอดภัย ก็คงจะหลีกเลี่ยงประเด็นที่ต้องเลือกระหว่างความปลอดภัยหรือการใช้งาน (security vs usability) ไปไม่ได้ ดังเช่นมีมต่อไปนี้

รูปที่ 1: สิ่งที่ผู้ใช้รับรู้เมื่อพบเจอหน้าจอเตือนความปลอดภัย -- ภาพจาก reddit

ซึ่งส่วนสำคัญส่วนหนึ่งก็อาจมาจากการออกแบบส่วนติดต่อผู้ใช้ (user interface) ไม่ดีพอ ทำให้เบราเซอร์หลักๆ อย่าง Google Chrome และ Firefox ปรับปรุงส่วนนี้ใหม่โดยแสดงข้อความว่า "ปลอดภัย (secure)" หรือ "ไม่ปลอดภัย (not secure)" ตามท้าย แทนที่จะใช้เพียงรูปกุญแจสีเขียวเพียงอย่างเดียว

รูปที่ 2: ข้อความแสดงว่าเว็บไซต์ปลอดภัยของ Google Chrome และ Firefox

รูปที่ 3: ข้อความแสดงว่าเว็บไซต์ไม่ปลอดภัย เนื่องจากมีแบบฟอร์มที่ไม่ได้วิ่งบน HTTPS

อย่างไรก็ตาม ยังมีเว็บไซต์อีกประเภทหนึ่งที่เบราว์เซอร์เตือนว่าไม่ควรเสี่ยงเปิด ถึงแม้ว่าเว็บนั้นจะรองรับ HTTPS ก็ตาม นั่นก็เพราะว่ามีข้อผิดพลาดบางอย่างเกี่ยวกับใบรับรองของเว็บนั้นๆ

รูปที่ 4: ข้อความแสดงว่าไม่ควรเปิดเว็บไซต์ดังกล่าว เนื่องจากใบรับรองมีข้อผิดพลาด

ระลอกใหม่แห่งความปลอดภัย ใบรับรองต้องใช้ SHA-2

จุดเปลี่ยนแปลงครั้งใหญ่อีกอย่างหนึ่งในปี 2017 นี้ คือการที่เบราว์เซอร์ต่างๆ เลิกเชื่อถือ ใบรับรองที่แฮชด้วยอัลกอริทึม SHA-1 ทั้งหมด โดย Edge/IE เลิกเชื่อถือช้าที่สุดคือเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ในขณะที่ Chrome และ Firefox เลิกเชื่อถือใบรับรองแบบดังกล่าวมานานแล้ว รายละเอียดเพิ่มเติม

ในขณะที่ทำบทสำรวจนี้ ผมไม่พบว่ามีเว็บไซต์ใดที่แฮชใบรับรองแบบ SHA-1 แล้วครับ

บั๊ก Google Chrome ไม่แสดง EV ที่ออกโดย Symantec

จากกรณีที่ Symantec ออกใบรับรองโดยไม่ได้รับอนุญาตเมื่อต้นปีที่ผ่านมา ทาง Google ได้ออกมาตรการลงโทษโดยการลดอายุใบรับรองลง พร้อมทั้งวางแผนว่าจะเลิกแสดงใบรับรองแบบ EV ที่ออกโดย Symantec ในอนาคต แต่ปรากฏว่าผู้ใช้งาน Google Chrome ที่เพิ่งอัพเดทเบราว์เซอร์จำนวนมากกลับมองไม่เห็นใบรับรองแบบ EV ที่ออกโดย Symantec แล้ว ซึ่งก็เป็นเรื่องน่าประหลาดใจพอสมควรเพราะการเปลี่ยนแปลงครั้งนี้ไม่กระทบกับใบรับรองแบบ EV ที่ออกโดย Symantec ทุกใบ หลังจากการไล่หาสาเหตุดังกล่าว กลับพบว่านี่เป็นเพียงบั๊กของ Google Chrome เท่านั้น และทางต้นน้ำได้รับทราบและแก้ไขข้อผิดพลาดนี้ไปแล้ว สิ่งที่ฝั่งผู้ใช้ต้องทำก็มีเพียงแค่นั่งรอการอัพเดทเบราว์เซอร์ตามรอบเท่านั้นครับ

แต่สำหรับบทความตอนนี้ จะขอยึดถือเบราว์เซอร์ตัวอื่นสำหรับการตรวจสอบการแสดงผลใบรับรองแบบ EV ไปก่อน

รูปแบบการรองรับ HTTPS

เรายังแบ่งรูปแบบการรองรับ HTTPS ออกเป็น 6 กลุ่มด้วยกัน โดยมีรายละเอียดดังนี้

1. ไม่รองรับ ไม่สามารถเข้าเว็บด้วย HTTPS (ไม่ว่าจะพิมพ์ https:// หรือว่าใช้เครื่องมืออย่าง HTTPS Everywhere) เพื่อใช้งานตามจุดประสงค์หลักของเว็บในกลุ่มนั้นได้
2. รองรับไม่สมบูรณ์ ได้แก่เว็บสามารถเปิดไปยังหน้า HTTPS ได้ แต่เบราว์เซอร์ขึ้นเตือนว่าใบรับรองไม่ปลอดภัย อันอาจเนื่องมาจากใบรับรองหมดอายุ CA หมดความน่าเชื่อถือ ฯลฯ
   รูปที่ 5: เว็บที่ใบรับรองมีปัญหา แต่ยังสามารถกดยินยอมให้เบราว์เซอร์มองข้ามปลอดภัยเพื่อเข้าไปอ่านเนื้อหาได้
3. รองรับบางส่วน เว็บสามารถเข้าใช้งานได้บางส่วนแต่ไม่สมบูรณ์ เช่น เว็บข่าวสามารถอ่านข้อความข่าวได้ แต่ภาพประกอบอาจไม่ขึ้น หรือเว็บสั่งสินค้าที่ต้องกดยินยอมให้เบราว์เซอร์โหลดสคริปต์ที่ไม่ปลอดภัยเพื่อให้ใช้งานต่อไปได้
   รูปที่ 6: เว็บที่สามารถเข้าหน้า HTTPS เพื่ออ่านเนื้อหาหรือใช้งานตามปรกติได้ แต่อาจพบว่ารูปภาพโหลดไม่ครบ
4. รองรับแต่ไม่บังคับ เว็บที่สามารถเข้าได้ทั้งจากหน้า HTTP และ HTTPS โดยทั้งสองหน้าสามารถใช้งานได้ทัดเทียมกัน อาจมีความแตกต่างได้บ้างในส่วนที่ไม่ใช่การใช้งานหลักของเว็บ เช่น โฆษณาโหลดไม่ขึ้น
   รูปที่ 7: เว็บที่มีหน้า HTTPS ให้เลือกเข้า แต่ถ้าจะเข้าผ่าน HTTP ก็ย่อมได้
5. รองรับและบังคับ เว็บประเภทนี้จะสามารถเข้าใช้งานได้ผ่าน HTTPS เพียงอย่างเดียว เมื่อเข้าด้วย HTTP เว็บอาจเปลี่ยนทางให้เป็น HTTPS โดยอัตโนมัติ หรืออาจไม่แสดงผลลัพธ์เลยก็ได้
6. รองรับและใช้ SSL EV ระดับสูงสุดของการรองรับ HTTPS ที่มี green bar เพื่อแจ้งผู้ใช้ว่ากำลังใช้เว็บจากหน่วยงานที่ระบุจริง โดยทั่วไปนิยมใช้กับเว็บการเงิน ธนาคาร และธุรกิจ แต่เว็บทั่วไปก็สามารถใช้งานได้เช่นกัน หมายเหตุว่าเราจะจัดเว็บให้ในหมวดนี้เมื่อบังคับ HTTPS ควบคู่ไปด้วยเท่านั้น
   รูปที่ 8: แถบสีเขียวบนเบราว์เซอร์ต่างๆ ที่บ่งบอกว่าเว็บดังกล่าวมาจากหน่วยงานที่ระบุจริงๆ

กระบวนการสำรวจ

เช่นเดียวกับปีที่ผ่านมา เราได้แบ่งเว็บไทยออกเป็น 5 หมวด แยกตามประเภทการใช้งาน ซึ่งประกอบไปด้วย

1. เว็บข้อมูลข่าวสาร ได้แก่เว็บข่าว ดาราบันเทิง และเว็บประชาสัมพันธ์บริษัท จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถอ่านเนื้อหาพร้อมภาพหรือวิดีโอประกอบข่าวได้
2. เว็บอีคอมเมอร์ซ ได้แก่เว็บที่มีระบบตะกร้าสินค้าให้จับจ่ายออนไลน์ โดยไม่จำเป็นต้องมีช่องทางจ่ายเงินออนไลน์ อันประกอบไปด้วย เว็บซื้อของออนไลน์ ร้านหนังสือออนไลน์ เว็บสั่งอาหารเดลิเวอรี่ ซึ่งจะนับว่าใช้งานได้อย่างสมบูรณ์ก็ต่อเมื่อสามารถค้นหาสินค้า อ่านรายละเอียดสินค้า และเพิ่มสินค้าในตะกร้าได้
3. เว็บธนาคาร เนื่องจากธนาคารส่วนใหญ่ใช้โดเมนแยกกันระหว่างหน้าข้อมูลกับหน้าธุรกรรมออนไลน์ เราจึงแบ่งแยกย่อยหมวดนี้ลงไปอีก คือ
   1. ข้อมูลธนาคาร สำหรับหน้าเว็บที่แสดงข้อมูลต่างๆ จากทางธนาคาร ใช้เกณฑ์การใช้งานได้สมบูรณ์แบบเดียวกับเว็บข้อมูลข่าวสาร
   2. ธุรกรรมออนไลน์ สำหรับหน้าเว็บที่มีการลงชื่อเข้าสู่ระบบ เพื่อบริหารบัญชีและทำธุรกรรมผ่านอินเทอร์เน็ต อย่างไรก็ตาม ด้วยข้อจำกัดทางด้านจำนวนบัญชีธนาคารที่ผู้สำรวจมี เกณฑ์การใช้งานได้สมบูรณ์จะนับแค่การสังเกตหน้าแรกของเว็บเท่านั้น
4. เว็บเครือข่ายสังคม ได้แก่เว็บที่เน้นให้เกิดการสนทนากันระหว่างผู้ใช้ด้วยกันเอง จะถือว่าใช้งานได้สมบูรณ์เมื่อสามารถโพสต์กระทู้หรือตอบข้อความได้สำเร็จ
5. เว็บหน่วยงานราชการ ได้แก่เว็บจากทางภาครัฐ เนื่องจากเว็บในหมวดนี้มีการใช้งานที่หลากหลายไม่ซ้ำกัน เช่น เว็บกองสลากฯ สำหรับตรวจหวย เว็บสรรพากรสำหรับยื่นภาษี เราจะจำกัดระดับการใช้งานได้อยู่ที่การโหลดเนื้อหามาได้ครบถ้วนเท่านั้น

ด้านเกณฑ์การเลือกเว็บมาสำรวจ เราวางแนวทางการเลือกไว้ 3 แนวทางด้วยกัน แล้วเอาผลลัพธ์จากทุกแนวทางมารวมกัน เพื่อรับประกันว่าจะได้เว็บไทยที่เป็นที่นิยมในขณะนี้

• เลือกเว็บที่มีผู้ใช้งานมาเป็นอันดับต้นๆ โดยอิงสถิติจาก Truehits
• เลือกเว็บจากหน้าแรกๆ เมื่อค้นคำด้วยเสิร์ชเอนจินอย่าง Google, Bing
• เลือกเว็บที่ถูกอ้างถึงบ่อยบนเครือข่ายสังคมออนไลน์อย่าง Facebook, Twitter

ส่วนที่เปลี่ยนไปตามวันเวลา คือ เราอัพเดทเว็บเบราว์เซอร์ที่ใช้สำรวจให้ตรงตามยุคสมัย ซึ่งมีรายละเอียดดังนี้

• Google Chrome 57.0.2987.133
• Internet Explorer 11.953.14393.0
• Google Chrome Android 57.0.2987.132

ผลการสำรวจ

จากเว็บไทยจำนวน 127 เว็บที่เราทำการสำรวจในระหว่างวันที่ 4-5 เมษายน 2017 ได้ผลออกมาดังนี้ (ไฟล์ข้อมูลตารางโดยละเอียด)

เว็บข้อมูลข่าวสาร

เนื่องจากสื่อยุคเก่าเริ่มไม่ตอบโจทย์ชีวิตออนไลน์ สื่อยุคใหม่จึงเกิดขึ้นเป็นจำนวนมาก ในหมวดนี้เราให้ความสนใจไปที่กลุ่มหนังสือพิมพ์และนิตยสารออนไลน์มากเป็นพิเศษ ซึ่งจะเห็นได้จากจำนวนที่เพิ่มขึ้นอย่างมากนั่นเองครับ

ตารางที่ 1: การรองรับ HTTPS ของเว็บข้อมูลข่าวสาร

อีคอมเมิร์ซ

นอกจากการเสพสื่อแล้ว การซื้อขายออนไลน์ก็ดูจะเป็นวิถีชีวิตยุคใหม่ที่มาแรงในยุคนี้ เราเพิ่มเว็บอีคอมเมิร์ชเจ้าใหม่ๆ ที่ก้าวเข้ามาแย่งส่วนแบ่งในตลาดจำนวนมาก ไม่ว่าจะเป็นเว็บที่ขายของทั่วไป หรือเว็บขายของเฉพาะทางอย่างอุปกรณ์คอมพิวเตอร์ หนังสือ หรือบริการจัดส่งอาหาร

ย้ำอีกครั้งว่าเกณฑ์การใช้งานได้อย่างสมบูรณ์ของเว็บในหมวดนี้ คือ สามารถค้นหาสินค้า อ่านข้อมูลและภาพประกอบสินค้า และเลือกสินค้าลงตระกร้าได้ ส่วนระบบจ่ายเงินนั้นเราไม่ได้เอามาพิจารณาร่วมด้วยครับ

อนึ่ง เนื่องจาก Ensogo ปิดกิจการในไทยเรียบร้อยแล้ว เราจึงตัดเว็บนี้ออกจากการสำรวจครับ

ตารางที่ 2: การรองรับ HTTPS ของเว็บอีคอมเมิร์ซ

ธนาคาร

ตารางที่ 3: การรองรับ HTTPS ของเว็บธนาคาร

จุดที่น่าสังเกต คือ ธนาคาร TISCO ไม่ได้แยกโดเมนของหน้าเว็บข้อมูลกับหน้าเว็บธุรกรรมออกจากกันดั่งเช่นธนาคารอื่นๆ ซึ่งในแง่หนึ่งก็ถือว่าเป็นเรื่องน่าชื่นชมเพราะทำให้ลูกค้าธนาคารไม่สับสนกับโดเมนอันมากมายหลากหลายที่มี อย่างไรก็ตามธนาคารดังกล่าวไม่ได้ใช้ใบรับรองแบบ EV เหมือนเจ้าอื่นครับ

เครือข่ายสังคม

น่าเสียดายว่าเว็บเครือข่ายสังคมของไทยดูเหมือนผ่านยุครุ่งโรจน์ไปแล้ว อาจเป็นเพราะการเข้ามาของเว็บอย่าง Facebook และ Instagram ที่ตอบโจทย์เกือบทั้งหมดของผู้ใช้ไปเรียบร้อยแล้ว ทำให้เราไม่สามารถเสาะหาเว็บที่เข้าข่ายมาเพิ่มในหมวดนี้ได้เยอะเท่าไรครับ

ตารางที่ 4: การรองรับ HTTPS ของเว็บเครือข่ายสังคม

หน่วยงานรัฐ

ตารางที่ 5: การรองรับ HTTPS ของเว็บหน่วยงานรัฐ

บทสรุป

รูปที่ 9: เปอร์เซ็นต์การรองรับ HTTPS แยกตามประเภทเว็บ

จากรูปที่ 9 ซึ่งแสดงถึงข้อมูลการรองรับ HTTPS ของเว็บทั้งหมดที่สำรวจในปี 2017 นี้ เราจะเห็นได้ชัดว่าเว็บกลุ่มที่ยังไม่รองรับ HTTPS เป็นปริมาณมาก ได้แก่กลุ่มหน่วยงานรัฐ เว็บข่าว และเว็บข้อมูลธนาคาร

สำหรับเว็บกลุ่มหน่วยงานรัฐ แม้จะน่าเป็นห่วงเพราะว่าเป็นเว็บที่ควรต้องสร้างความน่าเชื่อถือให้แก่ผู้ใช้งานมากที่สุด แต่ก็เข้าใจได้ว่าการปรับตัวของหน่วยงานรัฐนั้นมีความหนืดสูงกว่าหน่วยงานเอกชนหรือหน่วยงานอิสระ อนึ่ง หากดูไล่เป็นรายเว็บไปโดยนำข้อมูลเปรียบเทียบกับปีก่อน ก็อาจนับว่าเว็บกลุ่มนี้มีพัฒนาการที่น่าสนใจเลยทีเดียว

ด้านข้อมูลข่าวสารนั้น ก็มีพัฒนาการรายเว็บเทียบกับปีก่อนเป็นอย่างดีเช่นกัน และด้วยธรรมชาติของเว็บเหล่านี้ที่เน้นการเผยแพร่ข้อมูลเป็นหลัก ไม่ได้มุ่งสร้างเครือข่ายสังคมที่ให้สมาชิกมาโต้ตอบกัน การใช้ HTTP เพื่อเผยแพร่ข้อมูลอาจนับว่าเป็นเรื่องที่ยอมรับได้

ส่วนที่น่าเสียดายมากที่สุดคงหนีไม่พ้นกลุ่มเว็บข้อมูลธนาคาร ทั้งที่ภายในหน่วยงานสามารถสร้างเว็บที่มีความปลอดภัยสูงให้ผู้ใช้เชื่อใจและทำธุรกรรมทางการเงินได้ แต่กลับปล่อยให้หน้าเว็บข้อมูลให้ขึ้นเตือนว่าไม่ปลอดภัย ทิ้งใบรับรองแบบ EV ให้อยู่เพียงแค่หน้าธุรกรรมเท่านั้น

อย่างไรก็ตาม เมื่อเปรียบเทียบกับการสำรวจในปี 2016 ที่ผ่านมา จะพบว่าเว็บส่วนมากมีระดับการจัดกลุ่มที่ดีขึ้น จะมีเพียงบางเว็บที่ลืมต่ออายุใบรับรอง หรือย้ายโดเมนแล้วไม่ได้ขอใบรับรองใหม่เท่านั้นที่มีคะแนนต่ำลง หวังว่าการสำรวจครั้งนี้จะกระตุ้นให้คนทำเว็บหลายๆ คนหันมาสนใจเรื่องความปลอดภัยกันมากขึ้นครับ