Free HTTPS Is Real But Can You Trust That Website

content-image

ในโลกปัจจุบัน คุณสามารถเปิดใช้ HTTPS ได้ฟรี ภายในไม่กี่วินาที ด้วยบริการอย่าง Let's Encrypt

ฟังดูดีใช่ไหม? ใช้งานฟรี แถมเว็บมีไอคอนแม่กุญแจ 🔒 ขึ้นมาทันที
แต่...เราควรตั้งคำถามว่า

  • เว็บนั้น "เป็นของใคร" กันแน่?
  • ใครเป็นคน "ยืนยันตัวตน" ของเจ้าของเว็บนั้น?
  • แล้ว attacker จะสามารถขอใบรับรองแบบเดียวกันได้หรือเปล่า?

คำตอบของคำถามเหล่านี้…
ทั้งหมดเริ่มต้นจากคำว่า "การยืนยันตัวตน" หรือ Verification ของ Certificate Authority


🧾 ใบรับรอง SSL/TLS คืออะไร?

ใบรับรองดิจิทัลที่ใช้งานกับ HTTPS
ช่วยให้เราสามารถ:

  • ✅ เข้ารหัสข้อมูลระหว่างผู้ใช้กับเว็บไซต์
  • ✅ ยืนยันว่าเราเชื่อมต่อกับ "เว็บไซต์ที่ถูกต้อง"

แต่คำว่า "ถูกต้อง" นั้น...ก็มีหลายระดับ
และสิ่งที่แยกแยะความ "น่าเชื่อถือ" เหล่านั้นก็คือ DV / OV / EV


🏷️ ประเภทของใบรับรอง: DV, OV, EV ต่างกันยังไง?

ประเภทวิธีตรวจสอบความน่าเชื่อถือตัวอย่าง
DV (Domain Validation)แค่ยืนยันว่าคุณควบคุมโดเมนได้ขั้นพื้นฐานLet's Encrypt, ZeroSSL
OV (Organization Validation)ยืนยันตัวตนขององค์กรจริงปานกลางDigiCert, Sectigo
EV (Extended Validation)ตรวจเข้มทุกมิติ: เอกสาร, ที่ตั้ง, บุคคลสูงสุดแถบเขียว (ปัจจุบันไม่แสดงในเบราว์เซอร์แล้ว)

ตัวอย่างการเปรียบเทียบจุดที่เห็นได้ชัดของ DV เทียบกับ OV/EV จะเห็นว่าในส่วนของ Subject Name จะไม่มีรายละเอียดของ Organization


🔍 DV: ง่าย เร็ว ฟรี แต่...

DV หรือ Domain Validation เป็นประเภทที่ถูกใช้งานมากที่สุดในโลก
Let's Encrypt เป็นตัวอย่างที่ชัดเจน — ออกใบรับรองได้ในไม่กี่วินาทีโดยใช้วิธีการยืนยันความเป็นเจ้าของ:

  • HTTP-01 challenge: สร้างไฟล์พิเศษบนเว็บไซต์เพื่อพิสูจน์ว่าคุณควบคุมเว็บนั้นจริง
  • DNS-01 challenge: เพิ่ม TXT record บน DNS เพื่อพิสูจน์ว่าคุณมีสิทธิ์เหนือโดเมนนั้น

ง่าย ✅ เร็ว ✅ แต่ไม่ได้ยืนยันว่า "ใคร" เป็นเจ้าของเว็บ
ใครก็ขอได้ แม้แต่ Phishing site


🏢 OV & EV: สำหรับองค์กรที่ต้องการความน่าเชื่อถือ

  • ต้องมีเอกสาร: หนังสือจดทะเบียน, ที่ตั้ง, บุคคลยืนยัน
  • มีขั้นตอนตรวจสอบ เช่น โทรเข้าหมายเลขหลักขององค์กร
  • ได้ชื่อองค์กรแสดงบนใบรับรอง

OV แสดงชื่อองค์กรใน certificate
EV ผ่านขั้นตอนเข้มข้นถึงระดับที่ Certificate Authority (ถ้าแบบลึก ๆ แล้วจะมีหน่วยงานที่เรียกว่า Registration Authority - RA เป็นคนตรวจสอบ) เองต้องทำ KYC อย่างจริงจัง


💡 แล้วเราควรใช้แบบไหนดี?

กรณีแนะนำใบรับรอง
เว็บไซต์ส่วนตัว / Portfolio / BlogDV ก็เพียงพอ
SME / เว็บขายของ / e-CommerceOV (หรือ EV ถ้าต้องการสร้าง trust)
ธนาคาร / ราชการ / องค์กรใหญ่EV หรือใบรับรองจาก CA ชั้นนำ

⚠️ ความเชื่อผิด ๆ: "ใบรับรองฟรี = ไม่ปลอดภัย?"

หลายคนยังเข้าใจว่า Let's Encrypt ไม่ปลอดภัย เพราะใช้ฟรี
แต่ในความเป็นจริง:

ระบบเข้ารหัส ของ Let's Encrypt เทียบเท่าหรือดีกว่า CA เชิงพาณิชย์
❌ ที่ต่างคือ "ระดับการยืนยันตัวตน" ไม่ใช่ "ความปลอดภัยของการเข้ารหัส"

พูดง่าย ๆ คือ:
การใช้ HTTPS ด้วย Let's Encrypt = ปลอดภัยในการส่งข้อมูล
แต่ ไม่สามารถยืนยันได้ว่าเว็บนั้นเป็นของใคร
ซึ่ง phishing site ก็สามารถใช้ได้เช่นกัน


🧭 สรุปส่งท้าย

Digital Certificate ไม่ใช่แค่ไอคอนรูปแม่กุญแจ
แต่มันคือ "บัตรประชาชนดิจิทัล" ของเว็บไซต์

ก่อนจะกรอกข้อมูลบัตรเครดิต
อัปโหลดข้อมูลสุขภาพ
หรือสแกนหน้ายืนยันตัวตนบนเว็บใด ๆ

คุณควรรู้ว่า HTTPS ที่ใช้นั้น "เชื่อถือได้จริง" หรือแค่ "เข้ารหัสเฉย ๆ"

ในบทความนี้เราเข้าใจประเภทของ Digital Certificate แล้ว บทความถัดไปจะอธิบายถึง Protocol ที่ใช้ในการทำ Auto-renew digital certificate

📌 อ่านบทความเสริมเรื่อง PKI และความเข้าใจ HTTPS เพิ่มเติมได้ที่

Blog preview image

📥 หากองค์กรของคุณต้องการคำแนะนำเรื่องใบรับรองดิจิทัลที่เหมาะสม
ติดต่อทีม Incognito Lab ได้เลย!

#HTTPSไม่เท่ากันทุกเว็บ #DigitalCertificate #CybersecurityThailand #SSL #TLS #IncognitoLab #OV #EV

OUR SERVICES

Get the help you need

Interested in our services or want to know more? Book a call through the website anytime — our team is happy to advise and answer all your questions.

More to read

Up Next

Blog preview image

ARTICLES

Feb

05

2026

เคยเจอไหม? หน้าเว็บ Cloudflare ปลอมที่หลอกให้คุณคัดลอกคำสั่งแปลก ๆ

พาไปรู้จักเทคนิคยอดฮิตที่ชื่อว่า ClickFix และ FileFix ที่เน้นหลอก "พฤติกรรม" ของท่านให้ “เผลอทำตาม” บทความนี้จะพาไปดูว่าเทคนิคดังกล่าวคืออะไร มีที่มาอย่างไร พร้อมวิธีรับมือ ใครใช้คอมพิวเตอร์ ใช้งานอินเทอร์เน็ตเป็นประจำ หรือทำงานเอกสารทุกวัน ขอแนะนำให้อ่านเลยครับผม

READ MORE

Blog preview image

ARTICLES

May

19

2025

ลดความเสี่ยง เพิ่มความปลอดภัย ไม่ต้องต่ออายุ SSL เองอีกต่อไป

SSL Certificate ที่หมดอายุโดยไม่รู้ตัว อาจทำให้ผู้ใช้เข้าถึงเว็บไม่ได้ สูญเสียความน่าเชื่อถือ หรือโดน Google เตือนว่า "Not Secure"

READ MORE

Blog preview image

ARTICLES

Mar

02

2021

Extra: HTTPS Insecurity with SSLstrip

SSLstrip เป็น 1 ในเทคนิคที่นิยมใช้กันในการทำ Man-in-the-middle เพื่อดักข้อมูล ซึ่งถูกคิดค้นโดย Moxie Marlinspike (คุณพี่ Deadlock นั่นเอง) และได้ถูกนำมา present ในงาน Black Hat DC 2009

READ MORE

logologo

INCOGNITO LAB CO., LTD.

38 Soi Petchakasem 30, Pak Khlong Phasi Charoen, Phasi Charoen, Bangkok 10160

©2026 Incognito Lab Co., Ltd. All rights reserved

Terms & ConditionsPrivacy Policy