รักษาเว็บไซต์ของคุณให้ปลอดภัยด้วย HTTPS

HTTPS คืออะไร

HTTPS (Hypertext Transfer Protocol Secure) คือโปรโตคอลการสื่อสารอินเทอร์เน็ตที่ช่วยรักษาความสมบูรณ์ถูกต้องของข้อมูลผู้ใช้และเก็บข้อมูลไว้เป็นความลับระหว่างคอมพิวเตอร์ของผู้ใช้กับเว็บไซต์ ผู้ใช้คาดหวังประสบการณ์ออนไลน์ที่มีความปลอดภัยและเป็นส่วนตัวระหว่างที่ใช้เว็บไซต์ เราขอแนะนำให้คุณใช้ HTTPS เพื่อปกป้องการเชื่อมต่อของผู้ใช้กับเว็บไซต์ ไม่ว่าเนื้อหาในเว็บไซต์จะเป็นรูปแบบใดก็ตาม

ข้อมูลที่ส่งด้วย HTTPS จะได้รับการรักษาความปลอดภัยผ่านโปรโตคอล Transport Layer Security (TLS) ซึ่งให้การปกป้องหลัก 3 ชั้นดังนี้

  1. การเข้ารหัส หมายถึง การเข้ารหัสข้อมูลที่แลกเปลี่ยนเพื่อรักษาความปลอดภัยจากผู้ลักลอบดูข้อมูล ซึ่งหมายความว่าขณะที่ผู้ใช้เรียกดูเว็บไซต์ จะไม่มีใครสามารถ "ฟัง" การสนทนาของพวกเขา ติดตามกิจกรรมของพวกเขาไปตลอดหลายหน้า หรือขโมยข้อมูลของพวกเขาได้
  2. ความสมบูรณ์ของข้อมูล หมายความว่าจะไม่สามารถแก้ไขหรือทำให้ข้อมูลเสียหายในช่วงที่ถ่ายโอนข้อมูลไม่ว่าจะมีเจตนาหรือไม่ก็ตาม โดยที่ไม่มีการตรวจพบ
  3. การตรวจสอบสิทธิ์ หมายถึงการพิสูจน์ว่าผู้ใช้สื่อสารกับเว็บไซต์ที่เขาต้องการ โดยจะป้องกันการโจมตีแบบแทรกกลางการสื่อสารและทำให้ผู้ใช้เกิดความเชื่อมั่น ซึ่งทำให้เกิดผลประโยชน์อื่นๆ ในทางธุรกิจตามมา

แนวทางปฏิบัติแนะนำเมื่อนำ HTTPS มาใช้

ใช้ใบรับรองความปลอดภัยที่มีประสิทธิภาพ

คุณจะต้องได้รับใบรับรองความปลอดภัยเป็นส่วนหนึ่งของการเปิดใช้ HTTPS สำหรับเว็บไซต์ ใบรับรองนี้ออกโดยหน่วยงานผู้ให้การรับรอง (CA) ซึ่งจะมีขั้นตอนยืนยันว่าองค์กรของคุณเป็นเจ้าของที่อยู่เว็บจริงๆ ดังนั้นจึงช่วยปกป้องลูกค้าของคุณจากการโจมตีแบบแทรกกลางการสื่อสาร เมื่อตั้งค่าใบรับรองแล้ว ให้ตรวจสอบว่าความปลอดภัยอยู่ในระดับสูงโดยการเลือกคีย์ 2048 บิต หากคุณมีใบรับรองที่มีคีย์ที่ปลอดภัยน้อยกว่า (1024 บิต) โปรดอัปเกรดเป็น 2048 บิต เมื่อเลือกใบรับรองไซต์แล้ว โปรดทราบถึงหลักการต่อไปนี้

  • รับใบรับรองจาก CA ที่เชื่อถือได้ซึ่งให้บริการฝ่ายสนับสนุนด้านเทคนิค
  • ตัดสินใจว่าต้องการใช้ใบรับรองชนิดใด ดังนี้
    • ใบรับรองเดียวสำหรับต้นกำเนิดที่ปลอดภัยที่เดียว (เช่น www.example.com)
    • ใบรับรองหลายโดเมนสำหรับต้นกำเนิดที่ปลอดภัยที่มีชื่อเสียงหลายที่ (เช่น www.example.com, cdn.example.com, example.co.uk)
    • ใบรับรองไวลด์การ์ดสำหรับต้นกำเนิดที่ปลอดภัยที่มีโดเมนย่อยแบบไดนามิกจำนวนมาก (เช่น a.example.com, b.example.com)

ใช้การเปลี่ยนเส้นทาง 301 ฝั่งเซิร์ฟเวอร์

เปลี่ยนเส้นทางผู้ใช้และเครื่องมือค้นหาไปยังหน้า HTTPS หรือทรัพยากรที่มีการเปลี่ยนเส้นทาง 301 HTTP ฝั่งเซิร์ฟเวอร์

ตรวจสอบว่า Google สามารถรวบรวมข้อมูลและจัดทำดัชนีหน้า HTTPS ของคุณได้

  • อย่าบล็อกหน้า HTTPS โดยใช้ไฟล์ robots.txt
  • อย่ารวมแท็ก noindex ในหน้า HTTPS
  • ใช้เครื่องมือตรวจสอบ URL เพื่อทดสอบว่า Googlebot เข้าถึงหน้าเว็บได้หรือไม่

รองรับ HSTS

เราขอแนะนำให้เว็บไซต์ HTTPS รองรับ HSTS (HTTP Strict Transport Security) โดย HSTS จะบอกให้เบราว์เซอร์ขอหน้า HTTPS โดยอัตโนมัติ แม้ว่าผู้ใช้จะป้อน http ในแถบที่อยู่ของเบราว์เซอร์ นอกจากนี้ยังบอกให้ Google แสดง URL ที่ปลอดภัยในผลการค้นหาด้วย ซึ่งทั้งหมดนี้จะช่วยลดความเสี่ยงในการแสดงเนื้อหาที่ไม่ปลอดภัยให้แก่ผู้ใช้

หากต้องการรองรับ HSTS ให้ใช้เว็บเซิร์ฟเวอร์ที่รองรับและเปิดใช้ฟังก์ชันการทำงานดังกล่าว

แม้ว่า HSTS ช่วยเพิ่มความปลอดภัย แต่จะทำให้กลยุทธ์การย้อนกลับของคุณซับซ้อนขึ้น เราขอแนะนำให้เปิดใช้ HSTS โดยทำดังต่อไปนี้

  1. เปิดหน้า HTTPS โดยไม่ใช้ HSTS ก่อน
  2. เริ่มส่งส่วนหัว HSTS ที่มี max-age ระยะสั้น ตรวจสอบการเข้าชมทั้งจากผู้ใช้และไคลเอ็นต์อื่นๆ รวมถึงประสิทธิภาพของสิ่งที่พึ่งพาเว็บไซต์ เช่น โฆษณา
  3. ค่อยๆ เพิ่ม HSTS max-age อย่างช้าๆ
  4. หาก HSTS ไม่ได้ส่งผลลบต่อผู้ใช้และเครื่องมือค้นหา คุณขอให้เพิ่มเว็บไซต์ลงในรายการโหลดล่วงหน้าของ HSTS ได้หากต้องการ ซึ่งเบราว์เซอร์หลักส่วนใหญ่ใช้กัน

พิจารณาการใช้การโหลดล่วงหน้าของ HSTS

หากคุณเปิดใช้ HSTS คุณจะเลือกรองรับการโหลดล่วงหน้าของ HSTS เพื่อยกระดับความปลอดภัยได้ หากต้องการเปิดใช้การโหลดล่วงหน้า คุณต้องไปที่ hstspreload.org และทำตามข้อกำหนดการส่งสำหรับเว็บไซต์

หลีกเลี่ยงข้อผิดพลาดที่พบบ่อยเหล่านี้

โปรดหลีกเลี่ยงความผิดพลาดต่อไปนี้ ในทุกขั้นตอนของการทำให้เว็บไซต์มีความปลอดภัยด้วย TLS

ปัญหา การดำเนินการ
ใบรับรองหมดอายุ ตรวจสอบว่าใบรับรองเป็นรุ่นล่าสุดอยู่เสมอ
ลงทะเบียนใบรับรองด้วยชื่อเว็บไซต์ที่ไม่ถูกต้อง ตรวจสอบว่าคุณได้รับใบรับรองสำหรับชื่อโฮสต์ทั้งหมดที่เว็บไซต์ของคุณแสดง ตัวอย่างเช่น ถ้าใบรับรองของคุณครอบคลุมเพียง www.example.com ผู้เข้าชมที่โหลดเว็บไซต์โดยใช้เพียง example.com (แบบไม่มี "www." นำหน้า) จะถูกบล็อกไม่ให้เข้าเว็บไซต์จากข้อผิดพลาดชื่อใบรับรองไม่ตรงกัน
ไม่มีการรองรับการระบุชื่อเซิร์ฟเวอร์ (SNI) ตรวจสอบว่าเว็บเซิร์ฟเวอร์สนับสนุน SNI และผู้ชมใช้เบราว์เซอร์ที่สนับสนุนโดยทั่วไป แม้ว่าเบราว์เซอร์สมัยใหม่ทั้งหมดจะสนับสนุน SNI คุณจะต้องใช้ IP เฉพาะหากคุณต้องการสนับสนุนเบราว์เซอร์รุ่นเก่าๆ ด้วย
ปัญหาการรวบรวมข้อมูล อย่าบล็อกไม่ให้เว็บไซต์ HTTPS รวบรวมข้อมูลโดยใช้ robots.txt
ปัญหาการจัดทำดัชนี อนุญาตให้เครื่องมือค้นหาจัดทำดัชนีหน้าเท่าที่เป็นไปได้ หลีกเลี่ยงแท็ก noindex
โปรโตคอลเป็นเวอร์ชันเก่า โปรโตคอลเวอร์ชันเก่ามีความเสี่ยง โปรดตรวจสอบว่าคุณมีไลบรารี TLS เวอร์ชันล่าสุดและใช้โปรโตคอลเวอร์ชันล่าสุด
องค์ประกอบความปลอดภัยที่ปะปนกัน ฝังเฉพาะเนื้อหาแบบ HTTPS ในหน้า HTTPS
เนื้อหาที่แตกต่างกันใน HTTP และ HTTPS ตรวจสอบว่าเนื้อหาบนไซต์ HTTP และ HTTPS เหมือนกัน
ข้อผิดพลาดรหัสสถานะ HTTP บน HTTPS ตรวจสอบว่าเว็บไซต์ของคุณแสดงผลรหัสสถานะ HTTP ที่ถูกต้อง เช่น 200 OK สำหรับหน้าที่เข้าถึงได้หรือ 404 หรือ 410 สำหรับหน้าที่ไม่มีอยู่จริง

เคล็ดลับเพิ่มเติม

ดูคำถามที่พบบ่อยเกี่ยวกับการย้ายไปเป็น HTTPS สำหรับเคล็ดลับเพิ่มเติมในการใช้หน้า HTTPS บนเว็บไซต์ของคุณ

การย้ายจาก HTTP ไปใช้ HTTPS

หากคุณย้ายเว็บไซต์จาก HTTP ไปใช้ HTTPS Google จะถือว่าการย้ายนี้เป็นการย้ายเว็บไซต์ที่มีการเปลี่ยน URL เท่านั้น การดำเนินการนี้อาจส่งผลต่อปริมาณการเข้าชมบ้างเป็นการชั่วคราว ดูหน้าภาพรวมของการย้ายเว็บไซต์เพื่อดูข้อมูลเพิ่มเติม

เพิ่มพร็อพเพอร์ตี้ HTTPS ใหม่ใน Search Console: Search Console จะถือว่า HTTP และ HTTPS เป็น 2 สิ่งที่แยกออกจากกัน และจะไม่มีการแชร์ข้อมูลกับพร็อพเพอร์ตี้ต่างๆ ใน Search Console

ดูหน้าการแก้ปัญหาในการย้ายแผนผังเว็บไซต์เพื่อแก้ปัญหาเกี่ยวกับการย้าย

ข้อมูลเพิ่มเติม

รายละเอียดเพิ่มเติมเกี่ยวกับการนำ TLS มาใช้บนเว็บไซต์ของคุณ