Free HTTPS Is Real But Can You Trust That Website

ในโลกปัจจุบัน คุณสามารถเปิดใช้ HTTPS ได้ฟรี ภายในไม่กี่วินาที ด้วยบริการอย่าง Let's Encrypt

ฟังดูดีใช่ไหม? ใช้งานฟรี แถมเว็บมีไอคอนแม่กุญแจ 🔒 ขึ้นมาทันที
แต่...เราควรตั้งคำถามว่า

• เว็บนั้น "เป็นของใคร" กันแน่?
• ใครเป็นคน "ยืนยันตัวตน" ของเจ้าของเว็บนั้น?
• แล้ว attacker จะสามารถขอใบรับรองแบบเดียวกันได้หรือเปล่า?

คำตอบของคำถามเหล่านี้…
ทั้งหมดเริ่มต้นจากคำว่า "การยืนยันตัวตน" หรือ Verification ของ Certificate Authority

---

🧾 ใบรับรอง SSL/TLS คืออะไร?

ใบรับรองดิจิทัลที่ใช้งานกับ HTTPS
ช่วยให้เราสามารถ:

• ✅ เข้ารหัสข้อมูลระหว่างผู้ใช้กับเว็บไซต์
• ✅ ยืนยันว่าเราเชื่อมต่อกับ "เว็บไซต์ที่ถูกต้อง"

แต่คำว่า "ถูกต้อง" นั้น...ก็มีหลายระดับ
และสิ่งที่แยกแยะความ "น่าเชื่อถือ" เหล่านั้นก็คือ DV / OV / EV

---

🏷️ ประเภทของใบรับรอง: DV, OV, EV ต่างกันยังไง?

ประเภท	วิธีตรวจสอบ	ความน่าเชื่อถือ	ตัวอย่าง
DV (Domain Validation)	แค่ยืนยันว่าคุณควบคุมโดเมนได้	ขั้นพื้นฐาน	Let's Encrypt, ZeroSSL
OV (Organization Validation)	ยืนยันตัวตนขององค์กรจริง	ปานกลาง	DigiCert, Sectigo
EV (Extended Validation)	ตรวจเข้มทุกมิติ: เอกสาร, ที่ตั้ง, บุคคล	สูงสุด	แถบเขียว (ปัจจุบันไม่แสดงในเบราว์เซอร์แล้ว)
ตัวอย่างการเปรียบเทียบจุดที่เห็นได้ชัดของ DV เทียบกับ OV/EV จะเห็นว่าในส่วนของ Subject Name จะไม่มีรายละเอียดของ Organization

---

🔍 DV: ง่าย เร็ว ฟรี แต่...

DV หรือ Domain Validation เป็นประเภทที่ถูกใช้งานมากที่สุดในโลก
Let's Encrypt เป็นตัวอย่างที่ชัดเจน — ออกใบรับรองได้ในไม่กี่วินาทีโดยใช้วิธีการยืนยันความเป็นเจ้าของ:

• HTTP-01 challenge: สร้างไฟล์พิเศษบนเว็บไซต์เพื่อพิสูจน์ว่าคุณควบคุมเว็บนั้นจริง
• DNS-01 challenge: เพิ่ม TXT record บน DNS เพื่อพิสูจน์ว่าคุณมีสิทธิ์เหนือโดเมนนั้น

ง่าย ✅ เร็ว ✅ แต่ไม่ได้ยืนยันว่า "ใคร" เป็นเจ้าของเว็บ ❌
ใครก็ขอได้ แม้แต่ Phishing site

---

🏢 OV & EV: สำหรับองค์กรที่ต้องการความน่าเชื่อถือ

• ต้องมีเอกสาร: หนังสือจดทะเบียน, ที่ตั้ง, บุคคลยืนยัน
• มีขั้นตอนตรวจสอบ เช่น โทรเข้าหมายเลขหลักขององค์กร
• ได้ชื่อองค์กรแสดงบนใบรับรอง

OV แสดงชื่อองค์กรใน certificate
EV ผ่านขั้นตอนเข้มข้นถึงระดับที่ Certificate Authority (ถ้าแบบลึก ๆ แล้วจะมีหน่วยงานที่เรียกว่า Registration Authority - RA เป็นคนตรวจสอบ) เองต้องทำ KYC อย่างจริงจัง

---

💡 แล้วเราควรใช้แบบไหนดี?

กรณี	แนะนำใบรับรอง
เว็บไซต์ส่วนตัว / Portfolio / Blog	DV ก็เพียงพอ
SME / เว็บขายของ / e-Commerce	OV (หรือ EV ถ้าต้องการสร้าง trust)
ธนาคาร / ราชการ / องค์กรใหญ่	EV หรือใบรับรองจาก CA ชั้นนำ

---

⚠️ ความเชื่อผิด ๆ: "ใบรับรองฟรี = ไม่ปลอดภัย?"

หลายคนยังเข้าใจว่า Let's Encrypt ไม่ปลอดภัย เพราะใช้ฟรี
แต่ในความเป็นจริง:

✅ ระบบเข้ารหัส ของ Let's Encrypt เทียบเท่าหรือดีกว่า CA เชิงพาณิชย์
❌ ที่ต่างคือ "ระดับการยืนยันตัวตน" ไม่ใช่ "ความปลอดภัยของการเข้ารหัส"

พูดง่าย ๆ คือ:
การใช้ HTTPS ด้วย Let's Encrypt = ปลอดภัยในการส่งข้อมูล
แต่ ไม่สามารถยืนยันได้ว่าเว็บนั้นเป็นของใคร
ซึ่ง phishing site ก็สามารถใช้ได้เช่นกัน

---

🧭 สรุปส่งท้าย

Digital Certificate ไม่ใช่แค่ไอคอนรูปแม่กุญแจ
แต่มันคือ "บัตรประชาชนดิจิทัล" ของเว็บไซต์

ก่อนจะกรอกข้อมูลบัตรเครดิต
อัปโหลดข้อมูลสุขภาพ
หรือสแกนหน้ายืนยันตัวตนบนเว็บใด ๆ

❗คุณควรรู้ว่า HTTPS ที่ใช้นั้น "เชื่อถือได้จริง" หรือแค่ "เข้ารหัสเฉย ๆ"

ในบทความนี้เราเข้าใจประเภทของ Digital Certificate แล้ว บทความถัดไปจะอธิบายถึง Protocol ที่ใช้ในการทำ Auto-renew digital certificate

📌 อ่านบทความเสริมเรื่อง PKI และความเข้าใจ HTTPS เพิ่มเติมได้ที่

HTTPS Insecurity Part 1

เรื่องน่าเบื่อที่ผู้ใช้งาน Internet คงได้ยินกันบ่อย ๆ คือ การเข้า Web ให้ปลอดภัยนั้นจะต้องดูว่าเป็น HTTPS หรือไม่

📥 หากองค์กรของคุณต้องการคำแนะนำเรื่องใบรับรองดิจิทัลที่เหมาะสม
ติดต่อทีม Incognito Lab ได้เลย!

#HTTPSไม่เท่ากันทุกเว็บ #DigitalCertificate #CybersecurityThailand #SSL #TLS #IncognitoLab #OV #EV