http และ https คืออะไร และ แตกต่างกันอย่างไร

ปัจจุบันนี้เราคงต้องยอมรับว่าการเปลี่ยนแปลงของโลกมีการพัฒนาอย่างรวดเร็วมาก หากสังเกตุรอบๆตัวเราสิ่งที่เห็นได้ชัด เช่น การซื้อของผู้บริโภค การดำเนินธุรกิจ การทำธุรกรรมต่างๆ ก็มีการนำ Internet เข้ามาช่วยในการทำงานให้สะดวก มีประสิทธิภาพ และสามารถลดต้นทุนได้ในหลายกิจการ

การทำธุรกรรมทางการเงินเป็นกิจการหนึ่งที่เห็นได้ชัดเจนในการเปลี่ยนแปลงอย่างมาก เช่น จากเดิมหากเราต้องการโอนเงิน จะต้องถือเงินแล้วเดินไปโอนที่หน้า counter bank หรือที่ตู้ฝากเงิน ซึ่งจะเสียเวลาในการเดินทาง และมีความเสี่ยงที่จะถูกขโมยเงินระหว่างทางได้ แต่ปัจจุบันเราสามารถโอนเงินผ่านระบบ E-banking บนถือซึ่งมีความสะดวกและปลอดภัยมากขึ้น แต่อาจจะยังมีคนบางกลุ่มที่ยังใช้วิธีเดิมอยู่ เพราะยังไม่มีความเชื่อถือในระบบใหม่ๆเหล่านี้ ดังนั้นเรามาทำความเข้าใจผ่านคำว่า HTTP และ HTTPS มาดูกันว่าระบบเหล่านี้มีการทำงานอย่างไร และมีความน่าเชื่อถือหรือไม่

HTTP คือ อะไร ?

HTTP คือ อะไร

ก่อนอื่นเรามาทำความรู้จัก HTTP (Hyper Text Transfer Protocol) คือ โปรโตคอล หรือ รูปแบบการสื่อสารบนระบบเครือข่าย Internet ซึ่งเป็นจุดกำเนิดของ WWW (World Wide Web) ถูกเชื่อมต่อกันแบบพิเศษที่ทำให้คอมพิวเตอร์เหล่านั้นสามารถเข้าถึงข้อมูลเนื้อหาที่เก็บไว้ภายในของแต่ละเครื่องได้ (เป็นเครือข่ายแหล่งข้อมูลขนาดใหญ่) โดยผ่านทางบราวเซอร์ Browser เช่น Firefox, Google Chrome, Safari, Opera และ  Microsoft Internet Explorer เพื่อการแลกเปลี่ยนข้อมูล ถ่ายโอนไฟล์ในรูปแบบ Multimedia เช่น ข้อความ ภาพกราฟิก เสียง วิดีโอ และไฟล์มัลติมีเดียอื่น ๆ

รูปแบบการทำงานของ HTTP

รูปแบบการทำงานของ HTTP

ทำงานอยู่ในระดับ Application Layer บนโปรโตคอล TCP/IP ใช้ URL เพื่อระบุ Server ปลายทางในการดึงและแลกเปลี่ยนข้อมูลซึ่งมีโครงสร้างเป็นตัวอักษรและตัวเลข (text) ใช้สำหรับเป็น link เชื่อมระหว่าง ข้อมูล Text อื่นๆ ในรูปแบบ Plain text เป็นข้อความธรรมดาไม่มีการเข้ารหัส โดยสรุปรูปแบบดังนี้

  1. เป็นโปรโตคอลหลักที่ใช้ในการแลกเปลี่ยนข้อมูล (HTML) กันระหว่าง Web Server และ Web Client (Browser)
  2. ใช้ URL (Uniform Resource Locator) ในการเข้าถึงเว็ปไซต์ (Web Site) ซึ่งจะขึ้นต้นด้วย http:// ตามด้วยชื่อของเว็ปไซต์
  3. ส่งข้อมูลเป็นแบบ Plain text หรือ Clear text คือ เป็นข้อความที่ไม่มีการเข้ารหัสข้อมูลในระหว่างการส่ง (None-Encryption) ทำให้สามารถถูกดักจับและอ่านข้อมูลได้ง่าย จึงไม่ปลอดภัย

ในการแลกเปลี่ยนข้อมูลระหว่าง Web Client และ Web Server โดยการส่งจาก Web Client ไป Server จะเรียกว่า http Request ส่วนข้อมูลที่ Web Server ตอบกลับมาที่ Web Client จะเรียกว่า http Response

HTTPS คือ อะไร ?

HTTPS คือ อะไร

HTTPS (Hypertext Transfer Protocol Secure หรือ Hypertext Transfer Protocol over Secure Socket Layer หรือ Http over SSL) คือ โปรโตคอล หรือ รูปแบบการสื่อสารบนระบบเครือข่ายInternet ต่างกับ http คือการเพิ่ม S หรือ Secure คือมีการใช้ SSL (secure socket layer) และ TLS (transport layer security) ในการเข้ารหัสข้อมูลระหว่างการส่ง ช่วยรักษาความสมบูรณ์ถูกต้องของข้อมูลผู้ใช้และเก็บข้อมูลไว้เป็นความลับระหว่างคอมพิวเตอร์ของผู้ใช้กับเว็บไซต์ โดยมีความปลอดภัยและเป็นส่วนตัวระหว่างใช้งาน

HTTPS หรือ HTTP + SSL จุดที่สำคัญคือมีส่วน Authentication เป็นการตรวจสอบเพื่อระบุตัวตน ในการเข้าสู่ Website ก่อนแลกเปลี่ยนข้อมูลโดยตรงกับทาง Web Server เป็นโปรโตคอลที่เข้ารหัสในการสื่อสาร โดยใช้ Asymmetric Algorithm เพื่อไม่ให้เกิดการโจรกรรมข้อมูลระหว่างกลางหรือ man-in-the-middle attacks มากกว่านั้นยังสามารถเข้ารหัสทั้ง 2 ทาง ระหว่าง Web Client – Web Server เพื่อป้องกันการปลอมแปลงข้อมูล และยังมั่นใจได้ว่าระหว่างการแลกเปลี่ยนข้อมูลจะไม่ถูกแกะ หรือ ปลอมแปลง เหมาะสำหรับธุรกิจที่มีข้อมูลเป็นความลับ เช่น ธนาคาร เป็นต้น

ยกตัวอย่างเราป้อนรหัส 123456789 Algorithm จะเปลี่ยนเป็น Yq30/x9b จะถูกเปลี่ยนให้แตกต่างจากข้อมูลต้นทางโดยสิ้นเชิง จะทำให้ผู้ที่ต้องการปลอมแปลงไม่สามารถเข้าถึงข้อมูลได้ ซึ่งผู้ที่จะอ่านข้อมูลที่ถูกได้นั้นจะมีเพียงผู้ป้อนและผู้รับปลายทางเท่านั้น

รูปแบบการทำงานของ HTTPS

รูปแบบการทำงานของ HTTPS

          HTTPS เป็นการทำงานเหมือนกับ HTTP ธรรมดาแต่ ใช้ SSL (secure socket layer) และ TLS (transport layer security) เพื่อเข้ารหัสข้อมูลระหว่างการส่งให้เกิดความปลอดภัยในการส่งข้อมูลมากยิ่งขึ้น มีรูปแบบดังนี้

  1. ใช้ URL ต้นด้วย https:// ตามด้วยชื่อของเว็ปไซต์ในการส่งข้อมูล
  2. การส่งข้อมูลในรูปแบบ Cipher text คือ มีการเข้ารหัสข้อมูลในระหว่างการส่ง (Encryption) สามารถถูกดักจับและแกะได้ แต่อ่านข้อมูลไม่รู้เรื่อง
  3. มีการทำ Authentication เพื่อตรวจสอบยืนยันระบุตัวตน

HTTP แตกต่างกับ HTTPS อย่างไร

HTTP แตกต่างกับ HTTPS อย่างไร

ตามที่กล่าวมา HTTPS จะเป็นการแลกเปลี่ยนข้อมูลที่ปลอดภัยมากกว่า เนื่องจากมีการใช้ SSL (secure socket layer) และ TLS (transport layer security) เพื่อเป็นการเข้ารหัสข้อมูล ระหว่างการส่งทั้ง 2 ทาง ระหว่าง Web Client – Web Server โดยต้องมีการตรวจสอบระบุตัวตน เพื่อให้มั่นใจได้ว่าข้อมูลจะเป็นความลับ และไม่ถูกปลอมแปลงระหว่างทาง ผู้ที่เข้าถึงข้อมูลได้จะต้องเป็นผู้ที่ใส่ข้อมูลและผู้รับปลายทางเท่านั้น

SSL Certificates คือ อะไร ?

SSL Certificate หรือ เรียกกันสั้นๆว่า SSL  ย่อมาจาก Secure Socket Layer Protocol คือ เครื่องหมายรับรองความปลอดภัยทางอิเล็กทรอนิกส์ ที่ออกหรืออนุมัติโดย CA (Certificates Authority)   ซึ่งเครื่องหมายเหล่านี้ จะเป็นการรับรองมาตรฐานความปลอดภัย SSL ซึ่ง CA (Certificates Authority) จะอนุมัติมอบให้แก่เว็บไซต์ เพื่อยืนยันการมีตัวตนของเจ้าของเว็บไซต์นั้นๆ และเพื่อเป็นการยืนยันความสมบูรณ์ของการเข้ารหัสข้อมูล

SSL Certificates คือ อะไร

SSL Certificates  แบ่งเป็น 3 ประเภท คือ

1. Private SSL คือ รูปแบบ SSL ที่ปัจจุบันใช้งานกันเป็นส่วนมาก ซึ่งมีความน่าเชื่อถือสูงสุด ในการติดตั้งจะต้องทำการซื้อ SSL Certificates จาก ผู้ให้บริการ SSL Certificates ที่ได้รับอนุญาตและการรับรองจาก CA โดยจะต้องติดตั้งบน Dedicated IP address พร้อมระบุ ชื่อเว็บไซต์ ให้ชัดเจน เช่น https://www.domain.com หรือ https://domain.com หรือ https://secure.domain.com ซึ่งทั้ง 3 url จะถือว่าเป็นคนละชื่อกัน หากต้องการเรียกใช้ https ทั้ง 3 ชื่อจะต้องซื้อ SSL Certificates รวมเป็น 3 รายการ

2. Shared SSL คือ รูปแบบการติดตั้ง SSL ที่นิยมในหมู่ผู้ให้บริการ Web Hosting ยกระดับการรักษาความปลอดภัยของข้อมูล ให้ลูกค้า ซึ่งเป็นทางเลือกสำหรับกลุ่มลูกค้าที่ต้องการใช้ SSL แต่ไม่สะดวกที่จะซื้อ SSL Certificates เองโดยตรง ในการเรียกใช้ จะต้องเรียกในรูปแบบ https://secure.yourHostingProvider.tld/~username สำหรับวิธีนี้จะไม่สามารถเรียกผ่าน ชื่อ Domain ของตัวเองได้โดยตรง

3. Self Signed Certificates คือ การติดตั้ง SSL โดยไม่ได้ซื้อ SSL Certificates มาติดตั้ง ซึ่งผู้ดูแลเว็บไซต์ จะทำการสร้าง Certificates File ขึ้นมาเอง โดยไม่ผ่านการรับรองจาก CA ซึ่งการเรียกเข้าสู่เว็บบราวเซอร์ จะมีข้อความ Security Warning ขึ้นมาเตือน โดยผู้เข้าเว็บไซต์จะต้อง click accept เพื่อยืนยันตอบรับ Certificates ดังกล่าวก่อนเข้าสู่หน้าเว็บไซต์นั้น ๆ

*** ปกติ Host ดีๆทั่วไป จะมีบริการติดตั้ง SSL ให้ฟรีอยู่แล้ว เราแค่คลิ๊กติดตั้ง SSL Certificate เท่านั้นเอง ***

*** หรือ ท่านใดทาง Host ไม่มีให้ ในกรณีใช้ WordPress ก็สามารถติดตั้ง Plugin ที่ชื่อว่า “Really Simple SSL (คลิ๊ก)” ในการติดตั้ง SSL Certificates ให้กับ Website ของทาง ***

สรุป

สรุป http s

HTTPS ดีกว่า HTTP เนื่องจากเป็นการป้องกันการปลอมแปลงข้อมูล และการถูก Hacker ดังนั้น จึงจำเป็นต้องมีระบบ SSL Certificates เพื่อให้มีการเข้ารหัสข้อมูลผ่าน SSL ที่เป็นส่วนสำคัญในการรับ – ส่งข้อมูล เพื่อรักษาความปลอดภัยที่ดี จะช่วยสร้างความน่าเชื่อถือ และความมั่นใจในความปลอดภัย ให้ทั้งเจ้าของเว็บไซต์ และผู้ใช้งานเว็บไซต์ด้วย ซึ่งเหมาะสำหรับเว็บไซต์ Ecommerce (ขายของออนไลน์) ที่มีการชำระเงินผ่านบัตรเครดิต , เว็บไซต์การเงินการธนาคาร และเว็บไซต์ที่ให้ความสำคัญในการรับ – ส่งข้อมูลสูง มีระบบ Login Username & Password เช่น Web E-Mail , Intranet , เว็บที่มีข้อมูลสำคัญ , ขัอมูลที่เป็นความลับ ที่ต้องการความปลอดภัยสูง หรือการใช้งานภายในองค์กร เป็นต้น

ข้อดี HTTPS :

  • เพิ่มความปลอดภัยให้ผู้ใช้งาน
  • สร้างความน่าเชื่อถือให้กับเว็บไซต์และธุรกิจ
  • คะแนนอันดับ SEO ดีขึ้น
  • มีลูกเล่น html ที่มากกว่า HTTP
  • ป้องกันการถูกโจมตีข้อมูล

ข้อเสีย HTTPS :

  • เนื่องจากการทำ HTTPS สำหรับ website จำเป็นต้องได้รับ certificate file จากทางCertificate Authority (CA) ก่อน หรือ แบบไม่ต้อง Self Signed Certificates จะมีค่าใช้จ่ายค่อนข้างสูง

แหลงข้อมูลอ้างอิง :