รักษาเว็บไซต์ของคุณให้ปลอดภัยด้วย HTTPS

HTTPS (Hypertext Transfer Protocol Secure) คือโปรโตคอลการสื่อสารอินเทอร์เน็ตที่ช่วยรักษาความสมบูรณ์ของข้อมูลที่ส่งระหว่างคอมพิวเตอร์ของผู้ใช้กับเว็บไซต์ รวมทั้งเก็บข้อมูลนั้นไว้เป็นความลับ ผู้ใช้คาดหวังประสบการณ์ออนไลน์ที่มีความปลอดภัยและเป็นส่วนตัวระหว่างที่ใช้เว็บไซต์ เราขอแนะนำให้คุณใช้ HTTPS เพื่อปกป้องการเชื่อมต่อของผู้ใช้กับเว็บไซต์ ไม่ว่าเนื้อหาในเว็บไซต์จะเป็นรูปแบบใดก็ตาม

ข้อมูลที่ส่งด้วย HTTPS จะได้รับการรักษาความปลอดภัยผ่านโปรโตคอล Transport Layer Security (TLS) ซึ่งให้การปกป้องหลัก 3 ชั้นดังนี้

  1. การเข้ารหัส หมายถึงการเข้ารหัสข้อมูลที่แลกเปลี่ยนเพื่อรักษาความปลอดภัยจากผู้ลักลอบดูข้อมูล ซึ่งหมายความว่าขณะที่ผู้ใช้เรียกดูเว็บไซต์ จะไม่มีใครสามารถ "ฟัง" การสนทนา ติดตามกิจกรรมไปตลอดหลายหน้า หรือขโมยข้อมูลของผู้ใช้ได้
  2. ความสมบูรณ์ของข้อมูล หมายความว่าจะไม่สามารถแก้ไขหรือทำให้ข้อมูลเสียหายในช่วงที่ถ่ายโอนข้อมูลไม่ว่าจะมีเจตนาหรือไม่ก็ตาม โดยที่ไม่มีการตรวจพบ
  3. การตรวจสอบสิทธิ์ หมายถึงการพิสูจน์ว่าผู้ใช้สื่อสารกับเว็บไซต์ที่ตนต้องการ โดยจะป้องกันการโจมตีแบบแทรกกลางการสื่อสารและทำให้ผู้ใช้เกิดความเชื่อมั่น ซึ่งทำให้เกิดประโยชน์อื่นๆ ในทางธุรกิจตามมา

แนวทางปฏิบัติแนะนำเมื่อนำ HTTPS มาใช้

ใช้ใบรับรองความปลอดภัยที่มีประสิทธิภาพ

คุณจะต้องได้รับใบรับรองความปลอดภัยเป็นส่วนหนึ่งของการเปิดใช้ HTTPS สำหรับเว็บไซต์ ใบรับรองนี้ออกโดยผู้ออกใบรับรอง (CA) ซึ่งจะมีขั้นตอนยืนยันว่าองค์กรของคุณเป็นเจ้าของที่อยู่เว็บจริงๆ จึงช่วยปกป้องลูกค้าของคุณจากการโจมตีแบบแทรกกลางการสื่อสาร เมื่อตั้งค่าใบรับรองแล้ว ให้ตรวจสอบว่าความปลอดภัยอยู่ในระดับสูงโดยการเลือกคีย์ 2048 บิต หากคุณมีใบรับรองที่มีคีย์ที่ปลอดภัยน้อยกว่า (1024 บิต) โปรดอัปเกรดเป็น 2048 บิต เวลาเลือกใบรับรองเว็บไซต์ โปรดคำนึงถึงประเด็นต่อไปนี้

  • รับใบรับรองจาก CA ที่เชื่อถือได้ซึ่งมีฝ่ายสนับสนุนด้านเทคนิค
  • ตัดสินใจว่าต้องการใช้ใบรับรองชนิดใดต่อไปนี้
    • ใบรับรองเดียวสำหรับต้นทางที่ปลอดภัยที่เดียว (www.example.com)
    • ใบรับรองหลายโดเมนสําหรับต้นทางที่ปลอดภัยที่มีชื่อเสียงหลายที่ (เช่น www.example.com, cdn.example.com, example.co.uk)
    • ใบรับรองไวลด์การ์ดสำหรับต้นทางที่ปลอดภัยที่มีโดเมนย่อยแบบไดนามิกจำนวนมาก (เช่น a.example.com, b.example.com)

ใช้การเปลี่ยนเส้นทางฝั่งเซิร์ฟเวอร์แบบถาวร

เปลี่ยนเส้นทางผู้ใช้และเครื่องมือค้นหาไปยังหน้า HTTPS หรือทรัพยากรด้วยการเปลี่ยนเส้นทางฝั่งเซิร์ฟเวอร์แบบถาวร

ตรวจสอบว่า Google สามารถรวบรวมข้อมูลและจัดทำดัชนีหน้า HTTPS ของคุณได้

  • ใช้เครื่องมือตรวจสอบ URL เพื่อทดสอบว่า Googlebot เข้าถึงหน้าเว็บได้หรือไม่
  • อย่าบล็อกหน้า HTTPS โดยใช้ไฟล์ robots.txt
  • อย่าใส่แท็ก noindex ในหน้า HTTPS

รองรับ HSTS

เราขอแนะนำให้เว็บไซต์ HTTPS รองรับ HSTS (HTTP Strict Transport Security) โดย HSTS จะบอกให้เบราว์เซอร์ขอหน้า HTTPS โดยอัตโนมัติ แม้ว่าผู้ใช้จะป้อน http ในแถบที่อยู่ของเบราว์เซอร์ นอกจากนี้ยังบอกให้ Google แสดง URL ที่ปลอดภัยในผลการค้นหาด้วย ซึ่งทั้งหมดนี้จะช่วยลดความเสี่ยงในการแสดงเนื้อหาที่ไม่ปลอดภัยแก่ผู้ใช้

หากต้องการรองรับ HSTS ให้ใช้เว็บเซิร์ฟเวอร์ที่รองรับและเปิดใช้ฟังก์ชันการทำงานดังกล่าว

แม้ว่าจะช่วยเพิ่มความปลอดภัย แต่ HSTS จะทำให้กลยุทธ์การย้อนกลับของคุณซับซ้อนขึ้น เราขอแนะนำให้เปิดใช้ HSTS โดยทำดังต่อไปนี้

  1. เปิดตัวหน้า HTTPS โดยไม่ใช้ HSTS ก่อน
  2. เริ่มส่งส่วนหัว HSTS ที่มี max-age ระยะสั้น ตรวจสอบการเข้าชมทั้งจากผู้ใช้และไคลเอ็นต์อื่นๆ รวมถึงประสิทธิภาพของสิ่งที่พึ่งพาเว็บไซต์ เช่น โฆษณา
  3. ค่อยๆ เพิ่ม HSTS max-age อย่างช้าๆ
  4. หาก HSTS ไม่ได้ส่งผลลบต่อผู้ใช้และเครื่องมือค้นหา คุณจะเพิ่มเว็บไซต์ลงในรายการโหลดล่วงหน้าของ HSTS ได้ ซึ่งเบราว์เซอร์หลักส่วนใหญ่ใช้กัน การดำเนินการนี้จะช่วยยกระดับความปลอดภัยและเพิ่มประสิทธิภาพ

หลีกเลี่ยงข้อผิดพลาดที่พบบ่อยเหล่านี้

โปรดหลีกเลี่ยงความผิดพลาดต่อไปนี้ ในทุกขั้นตอนของการทำให้เว็บไซต์มีความปลอดภัยด้วย TLS

ข้อผิดพลาดที่พบบ่อยและวิธีแก้ไขปัญหา
ใบรับรองหมดอายุ ตรวจสอบว่าใบรับรองเป็นรุ่นล่าสุดอยู่เสมอ
ลงทะเบียนใบรับรองด้วยชื่อเว็บไซต์ที่ไม่ถูกต้อง ตรวจสอบว่าคุณได้รับใบรับรองสำหรับชื่อโฮสต์ทั้งหมดที่เว็บไซต์ของคุณแสดง ตัวอย่างเช่น หากใบรับรองครอบคลุมเพียง www.example.com เท่านั้น ผู้เข้าชมที่โหลดเว็บไซต์โดยใช้เพียง example.com (แบบไม่มี www. นำหน้า) จะถูกบล็อกไม่ให้เข้าเว็บไซต์จากข้อผิดพลาดชื่อใบรับรองไม่ตรงกัน
ไม่มีการรองรับการระบุชื่อเซิร์ฟเวอร์ (SNI) ตรวจสอบว่าเว็บเซิร์ฟเวอร์รองรับ SNI และผู้ชมใช้เบราว์เซอร์ที่รองรับโดยทั่วไป แม้ว่าเบราว์เซอร์ที่ทันสมัยทั้งหมดจะรองรับ SNI คุณจะต้องใช้ IP เฉพาะหากต้องการรองรับเบราว์เซอร์รุ่นเก่าๆ ด้วย
ปัญหาการรวบรวมข้อมูล อย่าบล็อกไม่ให้เว็บไซต์ HTTPS รวบรวมข้อมูลโดยใช้ robots.txt ดูข้อมูลเพิ่มเติม
ปัญหาการจัดทำดัชนี อนุญาตให้เครื่องมือค้นหาจัดทำดัชนีหน้าเท่าที่เป็นไปได้ อย่าใช้แท็ก noindex
โปรโตคอลเป็นเวอร์ชันเก่า โปรโตคอลเวอร์ชันเก่ามีความเสี่ยง โปรดตรวจสอบว่าคุณมีไลบรารี TLS เวอร์ชันล่าสุดและใช้โปรโตคอลเวอร์ชันล่าสุด
องค์ประกอบความปลอดภัยที่ปะปนกัน ฝังเฉพาะเนื้อหาแบบ HTTPS ในหน้า HTTPS
เนื้อหาที่แตกต่างกันใน HTTP และ HTTPS ตรวจสอบว่าเนื้อหาในเว็บไซต์ HTTP และ HTTPS เหมือนกัน
ข้อผิดพลาดรหัสสถานะ HTTP บน HTTPS ตรวจสอบว่าเว็บไซต์ของคุณแสดงรหัสสถานะ HTTP ที่ถูกต้อง เช่น 200 OK สำหรับหน้าที่เข้าถึงได้ หรือ 404 หรือ 410 สำหรับหน้าที่ไม่มีอยู่จริง

การย้ายจาก HTTP ไปใช้ HTTPS

หากคุณย้ายเว็บไซต์จาก HTTP ไปใช้ HTTPS Google จะถือว่าการย้ายนี้เป็นการย้ายเว็บไซต์ที่มีการเปลี่ยน URL การดำเนินการนี้อาจส่งผลต่อปริมาณการเข้าชมบ้างเป็นการชั่วคราว ดูข้อมูลเพิ่มเติมเกี่ยวกับคำแนะนำในการย้ายเว็บไซต์ทั้งหมด

ตรวจสอบว่าคุณเพิ่มพร็อพเพอร์ตี้ HTTPS ใหม่ใน Search Console แล้ว Search Console จะถือว่า HTTP และ HTTPS เป็น 2 สิ่งที่แยกออกจากกัน และจะไม่มีการแชร์ข้อมูลระหว่างพร็อพเพอร์ตี้ต่างๆ ใน Search Console

ดูเคล็ดลับเพิ่มเติมเกี่ยวกับการใช้หน้า HTTPS ในเว็บไซต์ได้ในคำถามที่พบบ่อยเกี่ยวกับการย้ายไปใช้ HTTPS

แหล่งข้อมูลเพิ่มเติมเกี่ยวกับการใช้ TLS

ต่อไปนี้เป็นแหล่งข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน TLS ในเว็บไซต์