รักษาเว็บไซต์ของคุณให้ปลอดภัยด้วย HTTPS
HTTPS (Hypertext Transfer Protocol Secure) คือโปรโตคอลการสื่อสารอินเทอร์เน็ตที่ช่วยรักษาความสมบูรณ์ของข้อมูลที่ส่งระหว่างคอมพิวเตอร์ของผู้ใช้กับเว็บไซต์ รวมทั้งเก็บข้อมูลนั้นไว้เป็นความลับ ผู้ใช้คาดหวังประสบการณ์ออนไลน์ที่มีความปลอดภัยและเป็นส่วนตัวระหว่างที่ใช้เว็บไซต์ เราขอแนะนำให้คุณใช้ HTTPS เพื่อปกป้องการเชื่อมต่อของผู้ใช้กับเว็บไซต์ ไม่ว่าเนื้อหาในเว็บไซต์จะเป็นรูปแบบใดก็ตาม
ข้อมูลที่ส่งด้วย HTTPS จะได้รับการรักษาความปลอดภัยผ่านโปรโตคอล Transport Layer Security (TLS) ซึ่งให้การปกป้องหลัก 3 ชั้นดังนี้
- การเข้ารหัส หมายถึงการเข้ารหัสข้อมูลที่แลกเปลี่ยนเพื่อรักษาความปลอดภัยจากผู้ลักลอบดูข้อมูล ซึ่งหมายความว่าขณะที่ผู้ใช้เรียกดูเว็บไซต์ จะไม่มีใครสามารถ "ฟัง" การสนทนา ติดตามกิจกรรมไปตลอดหลายหน้า หรือขโมยข้อมูลของผู้ใช้ได้
- ความสมบูรณ์ของข้อมูล หมายความว่าจะไม่สามารถแก้ไขหรือทำให้ข้อมูลเสียหายในช่วงที่ถ่ายโอนข้อมูลไม่ว่าจะมีเจตนาหรือไม่ก็ตาม โดยที่ไม่มีการตรวจพบ
- การตรวจสอบสิทธิ์ หมายถึงการพิสูจน์ว่าผู้ใช้สื่อสารกับเว็บไซต์ที่ตนต้องการ โดยจะป้องกันการโจมตีแบบแทรกกลางการสื่อสารและทำให้ผู้ใช้เกิดความเชื่อมั่น ซึ่งทำให้เกิดประโยชน์อื่นๆ ในทางธุรกิจตามมา
แนวทางปฏิบัติแนะนำเมื่อนำ HTTPS มาใช้
ใช้ใบรับรองความปลอดภัยที่มีประสิทธิภาพ
คุณจะต้องได้รับใบรับรองความปลอดภัยเป็นส่วนหนึ่งของการเปิดใช้ HTTPS สำหรับเว็บไซต์ ใบรับรองนี้ออกโดยผู้ออกใบรับรอง (CA) ซึ่งจะมีขั้นตอนยืนยันว่าองค์กรของคุณเป็นเจ้าของที่อยู่เว็บจริงๆ จึงช่วยปกป้องลูกค้าของคุณจากการโจมตีแบบแทรกกลางการสื่อสาร เมื่อตั้งค่าใบรับรองแล้ว ให้ตรวจสอบว่าความปลอดภัยอยู่ในระดับสูงโดยการเลือกคีย์ 2048 บิต หากคุณมีใบรับรองที่มีคีย์ที่ปลอดภัยน้อยกว่า (1024 บิต) โปรดอัปเกรดเป็น 2048 บิต เวลาเลือกใบรับรองเว็บไซต์ โปรดคำนึงถึงประเด็นต่อไปนี้
- รับใบรับรองจาก CA ที่เชื่อถือได้ซึ่งมีฝ่ายสนับสนุนด้านเทคนิค
- ตัดสินใจว่าต้องการใช้ใบรับรองชนิดใดต่อไปนี้
- ใบรับรองเดียวสำหรับต้นทางที่ปลอดภัยที่เดียว (
www.example.com) - ใบรับรองหลายโดเมนสําหรับต้นทางที่ปลอดภัยที่มีชื่อเสียงหลายที่ (เช่น
www.example.com, cdn.example.com, example.co.uk) - ใบรับรองไวลด์การ์ดสำหรับต้นทางที่ปลอดภัยที่มีโดเมนย่อยแบบไดนามิกจำนวนมาก (เช่น
a.example.com, b.example.com)
- ใบรับรองเดียวสำหรับต้นทางที่ปลอดภัยที่เดียว (
ใช้การเปลี่ยนเส้นทางฝั่งเซิร์ฟเวอร์แบบถาวร
เปลี่ยนเส้นทางผู้ใช้และเครื่องมือค้นหาไปยังหน้า HTTPS หรือทรัพยากรด้วยการเปลี่ยนเส้นทางฝั่งเซิร์ฟเวอร์แบบถาวร
ตรวจสอบว่า Google สามารถรวบรวมข้อมูลและจัดทำดัชนีหน้า HTTPS ของคุณได้
- ใช้เครื่องมือตรวจสอบ URL เพื่อทดสอบว่า Googlebot เข้าถึงหน้าเว็บได้หรือไม่
- อย่าบล็อกหน้า HTTPS โดยใช้ไฟล์ robots.txt
- อย่าใส่แท็ก
noindexในหน้า HTTPS
รองรับ HSTS
เราขอแนะนำให้เว็บไซต์ HTTPS รองรับ HSTS (HTTP Strict Transport Security) โดย HSTS จะบอกให้เบราว์เซอร์ขอหน้า HTTPS โดยอัตโนมัติ แม้ว่าผู้ใช้จะป้อน http ในแถบที่อยู่ของเบราว์เซอร์ นอกจากนี้ยังบอกให้ Google แสดง URL ที่ปลอดภัยในผลการค้นหาด้วย ซึ่งทั้งหมดนี้จะช่วยลดความเสี่ยงในการแสดงเนื้อหาที่ไม่ปลอดภัยแก่ผู้ใช้
หากต้องการรองรับ HSTS ให้ใช้เว็บเซิร์ฟเวอร์ที่รองรับและเปิดใช้ฟังก์ชันการทำงานดังกล่าว
แม้ว่าจะช่วยเพิ่มความปลอดภัย แต่ HSTS จะทำให้กลยุทธ์การย้อนกลับของคุณซับซ้อนขึ้น เราขอแนะนำให้เปิดใช้ HSTS โดยทำดังต่อไปนี้
- เปิดตัวหน้า HTTPS โดยไม่ใช้ HSTS ก่อน
- เริ่มส่งส่วนหัว HSTS ที่มี
max-ageระยะสั้น ตรวจสอบการเข้าชมทั้งจากผู้ใช้และไคลเอ็นต์อื่นๆ รวมถึงประสิทธิภาพของสิ่งที่พึ่งพาเว็บไซต์ เช่น โฆษณา - ค่อยๆ เพิ่ม HSTS
max-ageอย่างช้าๆ - หาก HSTS ไม่ได้ส่งผลลบต่อผู้ใช้และเครื่องมือค้นหา คุณจะเพิ่มเว็บไซต์ลงในรายการโหลดล่วงหน้าของ HSTS ได้ ซึ่งเบราว์เซอร์หลักส่วนใหญ่ใช้กัน การดำเนินการนี้จะช่วยยกระดับความปลอดภัยและเพิ่มประสิทธิภาพ
หลีกเลี่ยงข้อผิดพลาดที่พบบ่อยเหล่านี้
โปรดหลีกเลี่ยงความผิดพลาดต่อไปนี้ ในทุกขั้นตอนของการทำให้เว็บไซต์มีความปลอดภัยด้วย TLS
| ข้อผิดพลาดที่พบบ่อยและวิธีแก้ไขปัญหา | |
|---|---|
| ใบรับรองหมดอายุ | ตรวจสอบว่าใบรับรองเป็นรุ่นล่าสุดอยู่เสมอ |
| ลงทะเบียนใบรับรองด้วยชื่อเว็บไซต์ที่ไม่ถูกต้อง | ตรวจสอบว่าคุณได้รับใบรับรองสำหรับชื่อโฮสต์ทั้งหมดที่เว็บไซต์ของคุณแสดง ตัวอย่างเช่น หากใบรับรองครอบคลุมเพียง www.example.com เท่านั้น ผู้เข้าชมที่โหลดเว็บไซต์โดยใช้เพียง example.com (แบบไม่มี www. นำหน้า) จะถูกบล็อกไม่ให้เข้าเว็บไซต์จากข้อผิดพลาดชื่อใบรับรองไม่ตรงกัน |
| ไม่มีการรองรับการระบุชื่อเซิร์ฟเวอร์ (SNI) | ตรวจสอบว่าเว็บเซิร์ฟเวอร์รองรับ SNI และผู้ชมใช้เบราว์เซอร์ที่รองรับโดยทั่วไป แม้ว่าเบราว์เซอร์ที่ทันสมัยทั้งหมดจะรองรับ SNI คุณจะต้องใช้ IP เฉพาะหากต้องการรองรับเบราว์เซอร์รุ่นเก่าๆ ด้วย |
| ปัญหาการรวบรวมข้อมูล | อย่าบล็อกไม่ให้เว็บไซต์ HTTPS รวบรวมข้อมูลโดยใช้ robots.txt
ดูข้อมูลเพิ่มเติม |
| ปัญหาการจัดทำดัชนี | อนุญาตให้เครื่องมือค้นหาจัดทำดัชนีหน้าเท่าที่เป็นไปได้ อย่าใช้แท็ก noindex |
| โปรโตคอลเป็นเวอร์ชันเก่า | โปรโตคอลเวอร์ชันเก่ามีความเสี่ยง โปรดตรวจสอบว่าคุณมีไลบรารี TLS เวอร์ชันล่าสุดและใช้โปรโตคอลเวอร์ชันล่าสุด |
| องค์ประกอบความปลอดภัยที่ปะปนกัน | ฝังเฉพาะเนื้อหาแบบ HTTPS ในหน้า HTTPS |
| เนื้อหาที่แตกต่างกันใน HTTP และ HTTPS | ตรวจสอบว่าเนื้อหาในเว็บไซต์ HTTP และ HTTPS เหมือนกัน |
| ข้อผิดพลาดรหัสสถานะ HTTP บน HTTPS | ตรวจสอบว่าเว็บไซต์ของคุณแสดงรหัสสถานะ HTTP ที่ถูกต้อง เช่น 200 OK สำหรับหน้าที่เข้าถึงได้ หรือ 404 หรือ 410 สำหรับหน้าที่ไม่มีอยู่จริง |
การย้ายจาก HTTP ไปใช้ HTTPS
หากคุณย้ายเว็บไซต์จาก HTTP ไปใช้ HTTPS Google จะถือว่าการย้ายนี้เป็นการย้ายเว็บไซต์ที่มีการเปลี่ยน URL การดำเนินการนี้อาจส่งผลต่อปริมาณการเข้าชมบ้างเป็นการชั่วคราว ดูข้อมูลเพิ่มเติมเกี่ยวกับคำแนะนำในการย้ายเว็บไซต์ทั้งหมด
ตรวจสอบว่าคุณเพิ่มพร็อพเพอร์ตี้ HTTPS ใหม่ใน Search Console แล้ว Search Console จะถือว่า HTTP และ HTTPS เป็น 2 สิ่งที่แยกออกจากกัน และจะไม่มีการแชร์ข้อมูลระหว่างพร็อพเพอร์ตี้ต่างๆ ใน Search Console
ดูเคล็ดลับเพิ่มเติมเกี่ยวกับการใช้หน้า HTTPS ในเว็บไซต์ได้ในคำถามที่พบบ่อยเกี่ยวกับการย้ายไปใช้ HTTPS
แหล่งข้อมูลเพิ่มเติมเกี่ยวกับการใช้ TLS
ต่อไปนี้เป็นแหล่งข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน TLS ในเว็บไซต์
หากคุณเป็นผู้ใช้ Search Console และประสบปัญหาด้านความปลอดภัยอย่างต่อเนื่องหรือแก้ไขไม่ได้ในเว็บไซต์ของคุณ โปรดแจ้งให้เราทราบ