เมื่อมีการละเมิดข้อมูลสำคัญๆ มากมายในข่าวเมื่อเร็วๆ นี้ คุณอาจสงสัยว่าข้อมูลของคุณได้รับการปกป้องอย่างไรเมื่อคุณออนไลน์ เมื่อคุณไปที่เว็บไซต์เพื่อซื้อของและป้อนหมายเลขบัตรเครดิต หวังว่าภายในสองสามวัน พัสดุจะมาถึงประตูคุณ แต่ในขณะนั้น ก่อนที่คุณจะกด Order คุณสงสัยหรือไม่ว่าการรักษาความปลอดภัยออนไลน์ทำงานอย่างไร
พื้นฐานของความปลอดภัยออนไลน์
ในรูปแบบพื้นฐาน การรักษาความปลอดภัยออนไลน์ - การรักษาความปลอดภัยที่เกิดขึ้นระหว่างคอมพิวเตอร์และเว็บไซต์ - ดำเนินการผ่านชุดคำถามและคำตอบ คุณพิมพ์ที่อยู่เว็บลงในเบราว์เซอร์ จากนั้นเบราว์เซอร์จะขอให้ไซต์นั้นตรวจสอบความถูกต้องไซต์ตอบสนองด้วยข้อมูลที่เหมาะสม และหลังจากที่ทั้งคู่ตกลงกัน ไซต์จะเปิดขึ้นในเว็บเบราว์เซอร์
ในบรรดาคำถามที่ถามและแลกเปลี่ยนข้อมูลคือข้อมูลเกี่ยวกับประเภทของการเข้ารหัสที่ส่งข้อมูลเบราว์เซอร์ ข้อมูลคอมพิวเตอร์ และข้อมูลส่วนบุคคลระหว่างเบราว์เซอร์กับเว็บไซต์ คำถามและคำตอบเหล่านี้เรียกว่าการจับมือกัน หากการจับมือไม่เกิดขึ้น แสดงว่าเว็บไซต์ที่คุณกำลังพยายามเข้าชมนั้นไม่ปลอดภัย
HTTP กับ
- เปิดให้ใครเห็นระหว่างทาง
- ง่ายต่อการติดตั้งและเรียกใช้
- ไม่มีการรักษาความปลอดภัยสำหรับรหัสผ่านและข้อมูลที่ส่ง
- เข้ารหัสอย่างสมบูรณ์เพื่อซ่อนข้อมูล
- ต้องการการกำหนดค่าเซิร์ฟเวอร์เพิ่มเติม
-
ปกป้องข้อมูลที่ส่ง รวมถึงรหัสผ่าน
สิ่งหนึ่งที่คุณอาจสังเกตเห็นเมื่อเข้าชมเว็บไซต์คือเว็บไซต์บางแห่งมีที่อยู่ที่ขึ้นต้นด้วย http และบางส่วนขึ้นต้นด้วย https HTTP หมายถึง Hypertext Transfer Protocol; เป็นโปรโตคอลหรือชุดแนวทางที่กำหนดการสื่อสารที่ปลอดภัยผ่านทางอินเทอร์เน็ต
บางเว็บไซต์ โดยเฉพาะเว็บไซต์ที่คุณถูกขอให้ระบุข้อมูลที่ละเอียดอ่อนหรือระบุตัวตน อาจแสดง https เป็นสีเขียวหรือสีแดงโดยมีเส้นขีดทับ HTTPS หมายถึง Hypertext Transfer Protocol Secure และสีเขียวหมายความว่าไซต์มีใบรับรองความปลอดภัยที่ตรวจสอบได้ สีแดงที่มีเส้นขีดทับ แสดงว่าเว็บไซต์ไม่มีใบรับรองความปลอดภัย หรือใบรับรองไม่ถูกต้องหรือหมดอายุ
นี่คือสิ่งที่ทำให้สับสนเล็กน้อย HTTP ไม่ได้หมายความว่าข้อมูลที่ถ่ายโอนระหว่างคอมพิวเตอร์และเว็บไซต์จะถูกเข้ารหัสหมายความว่าเว็บไซต์ที่สื่อสารกับเบราว์เซอร์นั้นมีใบรับรองความปลอดภัยที่ใช้งานอยู่เท่านั้น เฉพาะเมื่อมีการรวม S (เช่น S) ไว้เท่านั้นคือข้อมูลที่ถ่ายโอนอย่างปลอดภัย และมีเทคโนโลยีอื่นที่ใช้อยู่ซึ่งทำให้การกำหนดความปลอดภัยนั้น เป็นไปได้
SSL กับ TLS
-
พัฒนาครั้งแรกในปี 1995
- ระดับก่อนหน้าของการเข้ารหัสเว็บ
- ล้าหลังอินเทอร์เน็ตที่เติบโตอย่างรวดเร็ว
- เริ่มเป็นเวอร์ชันที่สามของ SSL
- การรักษาความปลอดภัยชั้นขนส่ง
- ปรับปรุงการเข้ารหัสที่ใช้ใน SSL อย่างต่อเนื่อง
- เพิ่มการแก้ไขความปลอดภัยสำหรับการโจมตีและช่องโหว่ประเภทใหม่
SSL เป็นโปรโตคอลความปลอดภัยดั้งเดิมเพื่อให้แน่ใจว่าเว็บไซต์และข้อมูลที่ส่งระหว่างไซต์นั้นปลอดภัย ตาม GlobalSign SSL เปิดตัวในปี 1995 เป็นเวอร์ชัน 2.0 เวอร์ชันแรก (1.0) ไม่เคยทำให้เป็นสาธารณสมบัติ เวอร์ชัน 2.0 ถูกแทนที่ด้วยเวอร์ชัน 3.0 ภายในหนึ่งปีเพื่อแก้ไขช่องโหว่ในโปรโตคอล
ในปี 2542 มีการเปิดตัว SSL เวอร์ชันอื่นที่เรียกว่า Transport Layer Security (TLS) เพื่อปรับปรุงความเร็วของการสนทนาและความปลอดภัยของการจับมือกัน TLS เป็นเวอร์ชันที่ใช้อยู่ในปัจจุบัน แม้ว่ามักเรียกกันว่า SSL เพื่อความง่าย
ทำความเข้าใจโปรโตคอล SSL
- ซ่อนชุดข้อมูลระหว่างคอมพิวเตอร์และเว็บไซต์
- ปกป้องข้อมูลการเข้าสู่ระบบ
- รักษาความปลอดภัยการสั่งซื้อออนไลน์
- ไม่ป้องกันภัยคุกคามทั้งหมด
- ไม่สามารถรักษาความปลอดภัยให้คุณในไซต์ที่ไม่ได้ใช้ SSL
- ไม่สามารถซ่อนเว็บไซต์ที่คุณเยี่ยมชม
เมื่อคุณคิดจะจับมือกับใครซักคน แสดงว่ามีคนที่สองเข้ามาเกี่ยวข้อง ความปลอดภัยออนไลน์ก็เช่นเดียวกัน สำหรับการจับมือที่รับประกันความปลอดภัยทางออนไลน์ จะต้องมีบุคคลที่สองเข้ามาเกี่ยวข้อง หาก HTTPS เป็นโปรโตคอลที่เว็บเบราว์เซอร์ใช้เพื่อให้แน่ใจว่ามีความปลอดภัย ครึ่งหลังของการจับมือนั้นจะเป็นโปรโตคอลที่รับรองการเข้ารหัส
การเข้ารหัสเป็นเทคโนโลยีที่ใช้ในการปิดบังข้อมูลที่ถ่ายโอนระหว่างอุปกรณ์สองเครื่องบนเครือข่าย ทำได้โดยการเปลี่ยนอักขระที่รู้จักให้กลายเป็นคำพ้องความหมายที่ไม่รู้จักซึ่งสามารถกลับสู่สถานะเดิมได้โดยใช้คีย์เข้ารหัสซึ่งเดิมทำได้สำเร็จผ่านเทคโนโลยีที่เรียกว่าการรักษาความปลอดภัย Secure Socket Layer (SSL)
SSL เป็นเทคโนโลยีที่เปลี่ยนข้อมูลที่ย้ายระหว่างเว็บไซต์และเบราว์เซอร์ให้กลายเป็นคำที่ไม่มีความหมาย แล้วจึงกลับมาเป็นข้อมูลอีกครั้ง วิธีการทำงาน:
- คุณเปิดเบราว์เซอร์และพิมพ์ที่อยู่สำหรับธนาคารของคุณ
- เว็บเบราว์เซอร์เคาะประตูธนาคารและแนะนำคุณ
- คนเฝ้าประตูยืนยันว่าคุณเป็นคนที่คุณบอกว่าคุณเป็นใครและตกลงที่จะให้คุณเข้ามาภายใต้เงื่อนไขชุดหนึ่ง
- เว็บเบราว์เซอร์ยอมรับเงื่อนไขเหล่านั้น จากนั้นคุณจึงสามารถเข้าถึงเว็บไซต์ของธนาคารได้
กระบวนการจะเกิดขึ้นซ้ำเมื่อคุณป้อนชื่อผู้ใช้และรหัสผ่าน โดยมีขั้นตอนเพิ่มเติม
- คุณป้อนชื่อผู้ใช้และรหัสผ่านเพื่อเข้าถึงบัญชีของคุณ
- เว็บเบราว์เซอร์ของคุณจะบอกผู้จัดการบัญชีของธนาคารว่าคุณต้องการเข้าถึงบัญชีของคุณ
- พวกเขาพูดคุยและตกลงว่าหากคุณสามารถให้ข้อมูลประจำตัวที่ถูกต้องได้ คุณก็จะได้รับสิทธิ์ในการเข้าถึง อย่างไรก็ตาม ข้อมูลประจำตัวเหล่านั้นต้องแสดงโดยใช้ภาษาพิเศษ
- เว็บเบราว์เซอร์และผู้จัดการบัญชีของธนาคารยอมรับภาษาที่จะใช้
- เว็บเบราว์เซอร์จะแปลงชื่อผู้ใช้และรหัสผ่านของคุณเป็นภาษาพิเศษนั้น และส่งผ่านไปยังผู้จัดการบัญชีของธนาคาร
- ผู้จัดการบัญชีได้รับข้อมูล ถอดรหัส และเปรียบเทียบกับบันทึกของพวกเขา
- หากข้อมูลประจำตัวของคุณตรงกัน คุณจะได้รับอนุญาตให้เข้าถึงบัญชีของคุณ
กระบวนการนี้เกิดขึ้นในหน่วยนาโนวินาที ดังนั้นคุณจึงไม่สังเกตเห็นเวลาที่ใช้สำหรับการสนทนาและการจับมือกันระหว่างเว็บเบราว์เซอร์และเว็บไซต์
การเข้ารหัส TLS
- การเข้ารหัสที่ปลอดภัยยิ่งขึ้น
- ซ่อนข้อมูลระหว่างคอมพิวเตอร์และเว็บไซต์
- กระบวนการจับมือที่ดีขึ้นเมื่อเจรจาการสื่อสารที่เข้ารหัส
- ไม่มีการเข้ารหัสใดที่สมบูรณ์แบบ
- ไม่รักษาความปลอดภัย DNS โดยอัตโนมัติ
- เข้ากันไม่ได้กับรุ่นเก่ากว่า
การเข้ารหัส TLS ถูกนำมาใช้เพื่อปรับปรุงความปลอดภัยของข้อมูล แม้ว่า SSL จะเป็นเทคโนโลยีที่ดี แต่การรักษาความปลอดภัยก็เปลี่ยนแปลงไปอย่างรวดเร็ว ส่งผลให้ต้องมีการรักษาความปลอดภัยที่ดีขึ้นและทันสมัยมากขึ้น TLS สร้างขึ้นบนเฟรมเวิร์กของ SSL โดยมีการปรับปรุงอัลกอริทึมที่ควบคุมกระบวนการสื่อสารและจับมือกัน
TLS เวอร์ชันใดที่เป็นปัจจุบันมากที่สุด
เช่นเดียวกับ SSL การเข้ารหัส TLS มีการปรับปรุงอย่างต่อเนื่อง TLS เวอร์ชันปัจจุบันคือ 1.2 แต่ TLSv1.3 ได้รับการร่างขึ้นแล้ว และบางบริษัทและเบราว์เซอร์ได้ใช้การรักษาความปลอดภัยในช่วงเวลาสั้นๆในกรณีส่วนใหญ่ จะเปลี่ยนกลับไปเป็น TLSv1.2 เนื่องจากเวอร์ชัน 1.3 ยังคงได้รับการปรับปรุงให้สมบูรณ์
เมื่อเสร็จสิ้น TLSv1.3 จะนำมาซึ่งการปรับปรุงความปลอดภัยมากมาย รวมถึงการรองรับที่ได้รับการปรับปรุงสำหรับการเข้ารหัสประเภทปัจจุบันมากขึ้น อย่างไรก็ตาม TLSv1.3 จะเลิกรองรับโปรโตคอล SSL เวอร์ชันเก่าและเทคโนโลยีความปลอดภัยอื่น ๆ ที่ไม่แข็งแกร่งพอที่จะรับรองความปลอดภัยและการเข้ารหัสข้อมูลส่วนบุคคลที่เหมาะสม
