วิธีตรวจสอบความปลอดภัยของการเชื่อมต่อ HTTPS ใน Chrome

คนส่วนใหญ่ที่ใช้อินเทอร์เน็ตรู้อยู่แล้วว่าไอคอนรูปแม่กุญแจในแถบ URL หมายความว่าไซต์นั้น ปลอดภัย แต่คุณอาจไม่รู้แน่ชัดว่านั่นหมายถึงอะไรหรือการเชื่อมต่อของคุณปลอดภัยแค่ไหนกับสิ่งนั้น กุญแจ.

แม่กุญแจเป็นตัวบ่งชี้ว่าการเชื่อมต่อของคุณไปยังเว็บไซต์ได้รับการรักษาความปลอดภัยโดยใช้ HTTPS HTTPS หรือ Hypertext Transfer Protocol Secure เป็นเวอร์ชันของโปรโตคอล HTTP ที่ใช้การเข้ารหัสเพื่อรักษาความปลอดภัยข้อมูลของคุณจากการสอดรู้สอดเห็น

การเข้ารหัสเป็นกระบวนการของการเข้ารหัสข้อมูลด้วยการเข้ารหัสและคีย์เพื่อให้สามารถอ่านได้โดยใช้คีย์ถอดรหัสเท่านั้น คุณสามารถมองว่ามันเป็นกล่องนิรภัย คุณสามารถเขียนข้อความ ล็อคกล่อง จากนั้นมีเพียงผู้ที่มีคีย์ที่ถูกต้องเท่านั้นที่สามารถเปิดกล่องเพื่ออ่านข้อความได้ วิธีนี้ช่วยให้ข้อมูลของคุณปลอดภัยจากแฮกเกอร์ที่พยายามขโมยรายละเอียดบัญชี

ข้อมูลสำคัญชิ้นหนึ่งที่คุณควรทราบคือการเข้ารหัสและความปลอดภัยของ HTTPS จะตรวจสอบเฉพาะการเชื่อมต่อกับเว็บไซต์ที่คุณพิมพ์ในแถบ URL เท่านั้น ไม่ได้หมายความว่าเว็บไซต์นั้นปลอดภัย หรือแม้แต่เว็บไซต์ที่คุณตั้งใจจะเรียกดู เว็บไซต์ฟิชชิ่งและมัลแวร์จำนวนมากกำลังเปลี่ยนไปใช้ HTTPS เนื่องจากสามารถเข้าถึงได้มากขึ้น จึงไม่ปลอดภัยที่จะเพียงแค่เชื่อถือไซต์ใดๆ ที่ใช้ HTTPS

เคล็ดลับ: เว็บไซต์ “ฟิชชิง” พยายามหลอกล่อให้คุณส่งข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลบัญชี โดยปลอมแปลงหน้าเข้าสู่ระบบที่ถูกต้อง ลิงก์ไปยังไซต์ฟิชชิ่งมักจะส่งทางอีเมล มัลแวร์เป็นคำศัพท์เฉพาะสำหรับ “ซอฟต์แวร์ที่เป็นอันตราย” ซึ่งรวมถึงไวรัส เวิร์ม แรนซัมแวร์ และอื่นๆ

หมายเหตุ: คุณไม่ควรป้อนชื่อผู้ใช้และรหัสผ่านของคุณ หรือข้อมูลที่ละเอียดอ่อนอื่นๆ เช่น รายละเอียดธนาคารผ่านการเชื่อมต่อที่ไม่ปลอดภัย แม้ว่าไซต์จะมีแม่กุญแจและ HTTPS แต่ก็ไม่ได้หมายความว่าคุณไม่ควรระมัดระวังในการป้อนรายละเอียดของคุณ

เครื่องมือสำหรับนักพัฒนา Chrome

หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับการเชื่อมต่อที่ปลอดภัย คุณต้องเปิดแถบเครื่องมือสำหรับนักพัฒนา Chrome ทำได้โดยกด F12 หรือคลิกขวาแล้วเลือก "ตรวจสอบ" ที่ด้านล่างของรายการ

แถบเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์จะมีค่าเริ่มต้นเป็นแผง "องค์ประกอบ" เพื่อดูข้อมูลความปลอดภัยที่คุณต้องเปลี่ยนเป็นแผง "ความปลอดภัย" หากมองไม่เห็นในทันที คุณอาจต้องคลิกไอคอนลูกศรคู่ในแถบแผงเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ แล้วเลือก "ความปลอดภัย" จากที่นั่น

หากคุณไม่ชอบการแนบแถบเครื่องมือสำหรับนักพัฒนาซอฟต์แวร์ไว้ทางด้านขวาของหน้า คุณสามารถย้ายไปด้านล่าง ซ้าย หรือย้ายไปยังส่วนอื่น หน้าต่างโดยคลิกไอคอนสามจุดที่ด้านบนขวาของแถบเครื่องมือสำหรับนักพัฒนา แล้วเลือกตัวเลือกที่คุณต้องการจาก "ฝั่งท่าเรือ" การเลือก

ในภาพรวมแผงความปลอดภัย มีข้อมูลสามส่วน ใบรับรอง การเชื่อมต่อ และทรัพยากร ข้อมูลเหล่านี้ครอบคลุมรายละเอียดของใบรับรอง HTTPS การเข้ารหัสที่ใช้ในการรักษาความปลอดภัยการเชื่อมต่อ และรายละเอียดว่าทรัพยากรใดได้รับบริการอย่างไม่ปลอดภัยตามลำดับ

ใบรับรอง

ส่วนใบรับรองระบุว่าผู้ออกใบรับรองรายใดเป็นผู้ออกใบรับรอง HTTPS หากใบรับรองนั้นถูกต้องและเชื่อถือได้ และอนุญาตให้คุณดูใบรับรองได้ นอกเหนือจากการตรวจสอบว่าเว็บไซต์ที่คุณกำลังเชื่อมต่อนั้นดำเนินการโดยบุคคลที่เป็นเจ้าของ URL ใบรับรองจะไม่ส่งผลโดยตรงต่อความปลอดภัยของการเชื่อมต่อของคุณ

เคล็ดลับ: ใบรับรอง HTTPS ทำงานบนระบบลูกโซ่แห่งความเชื่อถือ ผู้ออกใบรับรองหลักจำนวนหนึ่งได้รับความไว้วางใจให้ออกใบรับรองให้กับเจ้าของเว็บไซต์ หลังจากที่พวกเขาพิสูจน์แล้วว่าเป็นเจ้าของเว็บไซต์ ระบบนี้ออกแบบมาเพื่อป้องกันไม่ให้แฮกเกอร์สามารถสร้างใบรับรองสำหรับเว็บไซต์ได้ พวกเขาไม่ได้เป็นเจ้าของ เนื่องจากใบรับรองเหล่านี้จะไม่มีการส่งต่อความไว้วางใจกลับไปยังใบรับรองหลัก อำนาจ.

การเชื่อมต่อ

ส่วน "การเชื่อมต่อ" ให้รายละเอียดเกี่ยวกับโปรโตคอลการเข้ารหัส อัลกอริธึมการแลกเปลี่ยนคีย์ และอัลกอริธึมการเข้ารหัสที่ใช้เข้ารหัสข้อมูลของคุณ อัลกอริทึมการเข้ารหัสควรพูดว่า "TLS 1.2" หรือ "TLS 1.3" TLS หรือ Transport Level Security เป็นมาตรฐานสำหรับการเจรจาการกำหนดค่าการเข้ารหัส

TLS เวอร์ชัน 1.3 และ 1.2 เป็นมาตรฐานปัจจุบันและถือว่าปลอดภัย TLS 1.0 และ 1.1 อยู่ในกระบวนการเลิกใช้งานเนื่องจากเป็นรุ่นเก่าและมีจุดอ่อนที่ทราบอยู่บ้าง แม้ว่าจะยังมีความปลอดภัยเพียงพอก็ตาม

เคล็ดลับ: เลิกใช้งานหมายความว่าไม่สนับสนุนการใช้งานและกำลังดำเนินการตามขั้นตอนเพื่อนำการสนับสนุนออก

TLS รุ่นก่อนคือ SSLv3 และ SSLv2 แทบไม่มีที่ไหนรองรับตัวเลือกเหล่านี้อีกต่อไปแล้ว เนื่องจากตัวเลือกเหล่านี้เลิกใช้แล้วเนื่องจากถือว่าไม่ปลอดภัยตั้งแต่ปี 2015 และ 2011 ตามลำดับ

ค่าถัดไปคืออัลกอริธึมการแลกเปลี่ยนคีย์ ใช้เพื่อเจรจาคีย์เข้ารหัสอย่างปลอดภัยเพื่อใช้กับอัลกอริธึมการเข้ารหัส มีชื่อมากเกินไป แต่โดยทั่วไปแล้วพวกเขาใช้โปรโตคอลข้อตกลงหลักที่เรียกว่า "Elliptic-curve Diffe-Hellman Ephemeral" หรือ ECDHE เป็นไปไม่ได้ที่จะระบุคีย์การเข้ารหัสที่ตกลงกันไว้โดยไม่ต้องใช้ซอฟต์แวร์ตรวจสอบเครือข่ายของบุคคลที่สามและการกำหนดค่าที่อ่อนแอโดยเจตนา การไม่สนับสนุนการเข้าถึงข้อมูลนี้ในเบราว์เซอร์โดยชัดแจ้งหมายความว่าไม่สามารถบุกรุกได้โดยบังเอิญ

ค่าสุดท้ายในส่วนการเชื่อมต่อคือชุดรหัสที่ใช้ในการเข้ารหัสการเชื่อมต่อ เป็นอีกครั้งที่มีชื่อมากเกินไป การเข้ารหัสโดยทั่วไปมีชื่อหลายส่วนที่สามารถอธิบายอัลกอริธึมการเข้ารหัสที่ใช้ ความแรงของรหัสเป็นบิต และโหมดใดที่กำลังใช้อยู่

ในตัวอย่างของ AES-128-GCM ตามที่เห็นในภาพหน้าจอด้านบน อัลกอริธึมการเข้ารหัสคือ AES หรือ มาตรฐานการเข้ารหัสขั้นสูง ความแรงอยู่ที่ 128 บิต และโหมด Galois-Counter-Mode ใช้แล้ว.

เคล็ดลับ: 128 หรือ 256 บิตเป็นระดับความปลอดภัยการเข้ารหัสที่พบบ่อยที่สุด หมายความว่ามีการสุ่ม 128 หรือ 256 บิตประกอบขึ้นเป็นคีย์การเข้ารหัสที่ใช้ นั่นคือชุดค่าผสมที่เป็นไปได้ 2^128 หรือสองตัวคูณด้วยตัวมันเอง 128 ครั้ง เช่นเดียวกับเลขชี้กำลังทั้งหมด ตัวเลขมีขนาดใหญ่มาก เร็วมาก จำนวนชุดคีย์ผสม 256 บิตที่เป็นไปได้นั้นใกล้เคียงกับค่าประมาณค่าต่ำสุดของจำนวนอะตอมในเอกภพที่สังเกตได้ เป็นการยากที่จะคาดเดาคีย์เข้ารหัสได้อย่างถูกต้อง แม้จะมีซูเปอร์คอมพิวเตอร์หลายเครื่องและใช้เวลาหลายศตวรรษ

ทรัพยากร

ส่วนทรัพยากรจะแสดงทรัพยากรของหน้า เช่น รูปภาพ สคริปต์ และสไตล์ชีตที่ไม่ได้โหลดผ่านการเชื่อมต่อที่ปลอดภัย หากมีการโหลดทรัพยากรใด ๆ อย่างไม่ปลอดภัย ส่วนนี้จะเน้นเป็นสีแดงและให้ลิงก์เพื่อแสดงรายการเฉพาะหรือรายการในแผงเครือข่าย

ตามหลักการแล้ว ทรัพยากรทั้งหมดควรถูกโหลดอย่างปลอดภัย เนื่องจากทรัพยากรที่ไม่ปลอดภัยสามารถแก้ไขได้โดยแฮ็กเกอร์โดยที่คุณไม่รู้ตัว

ข้อมูลมากกว่านี้

คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับแต่ละโดเมนและโดเมนย่อยที่โหลดได้โดยใช้คอลัมน์ทางด้านซ้ายของแผง หน้าเหล่านี้แสดงข้อมูลคร่าวๆ เหมือนกับภาพรวม แม้ว่าจะมีการแสดงข้อมูลความโปร่งใสของใบรับรองและรายละเอียดเพิ่มเติมบางส่วนจากใบรับรอง

เคล็ดลับ: ความโปร่งใสของใบรับรองเป็นโปรโตคอลที่ใช้ในการตอบโต้การละเมิดในอดีตของกระบวนการออกใบรับรอง ปัจจุบันเป็นส่วนบังคับของใบรับรองที่ออกใหม่ทั้งหมด และใช้เพื่อตรวจสอบเพิ่มเติมว่าใบรับรองนั้นถูกต้องหรือไม่

มุมมองต้นทางทำให้คุณสามารถดูแต่ละโดเมนและโดเมนย่อยที่โหลดเนื้อหาในหน้าเว็บได้ ดังนั้นคุณจึงสามารถตรวจทานการกำหนดค่าความปลอดภัยเฉพาะได้