Free HTTPS Is Real But Can You Trust That Website


ฟังดูดีใช่ไหม? ใช้งานฟรี แถมเว็บมีไอคอนแม่กุญแจ 🔒 ขึ้นมาทันที
แต่...เราควรตั้งคำถามว่า
- เว็บนั้น "เป็นของใคร" กันแน่?
- ใครเป็นคน "ยืนยันตัวตน" ของเจ้าของเว็บนั้น?
- แล้ว attacker จะสามารถขอใบรับรองแบบเดียวกันได้หรือเปล่า?
คำตอบของคำถามเหล่านี้…
ทั้งหมดเริ่มต้นจากคำว่า "การยืนยันตัวตน" หรือ Verification ของ Certificate Authority
🧾 ใบรับรอง SSL/TLS คืออะไร?
ใบรับรองดิจิทัลที่ใช้งานกับ HTTPS
ช่วยให้เราสามารถ:
- ✅ เข้ารหัสข้อมูลระหว่างผู้ใช้กับเว็บไซต์
- ✅ ยืนยันว่าเราเชื่อมต่อกับ "เว็บไซต์ที่ถูกต้อง"
แต่คำว่า "ถูกต้อง" นั้น...ก็มีหลายระดับ
และสิ่งที่แยกแยะความ "น่าเชื่อถือ" เหล่านั้นก็คือ DV / OV / EV
🏷️ ประเภทของใบรับรอง: DV, OV, EV ต่างกันยังไง?
| ประเภท | วิธีตรวจสอบ | ความน่าเชื่อถือ | ตัวอย่าง |
|---|---|---|---|
| DV (Domain Validation) | แค่ยืนยันว่าคุณควบคุมโดเมนได้ | ขั้นพื้นฐาน | Let's Encrypt, ZeroSSL |
| OV (Organization Validation) | ยืนยันตัวตนขององค์กรจริง | ปานกลาง | DigiCert, Sectigo |
| EV (Extended Validation) | ตรวจเข้มทุกมิติ: เอกสาร, ที่ตั้ง, บุคคล | สูงสุด | แถบเขียว (ปัจจุบันไม่แสดงในเบราว์เซอร์แล้ว) |
ตัวอย่างการเปรียบเทียบจุดที่เห็นได้ชัดของ DV เทียบกับ OV/EV จะเห็นว่าในส่วนของ Subject Name จะไม่มีรายละเอียดของ Organization

🔍 DV: ง่าย เร็ว ฟรี แต่...
DV หรือ Domain Validation เป็นประเภทที่ถูกใช้งานมากที่สุดในโลก
Let's Encrypt เป็นตัวอย่างที่ชัดเจน — ออกใบรับรองได้ในไม่กี่วินาทีโดยใช้วิธีการยืนยันความเป็นเจ้าของ:
- HTTP-01 challenge: สร้างไฟล์พิเศษบนเว็บไซต์เพื่อพิสูจน์ว่าคุณควบคุมเว็บนั้นจริง
- DNS-01 challenge: เพิ่ม TXT record บน DNS เพื่อพิสูจน์ว่าคุณมีสิทธิ์เหนือโดเมนนั้น
ง่าย ✅ เร็ว ✅ แต่ไม่ได้ยืนยันว่า "ใคร" เป็นเจ้าของเว็บ ❌
ใครก็ขอได้ แม้แต่ Phishing site
🏢 OV & EV: สำหรับองค์กรที่ต้องการความน่าเชื่อถือ
- ต้องมีเอกสาร: หนังสือจดทะเบียน, ที่ตั้ง, บุคคลยืนยัน
- มีขั้นตอนตรวจสอบ เช่น โทรเข้าหมายเลขหลักขององค์กร
- ได้ชื่อองค์กรแสดงบนใบรับรอง
OV แสดงชื่อองค์กรใน certificate
EV ผ่านขั้นตอนเข้มข้นถึงระดับที่ Certificate Authority (ถ้าแบบลึก ๆ แล้วจะมีหน่วยงานที่เรียกว่า Registration Authority - RA เป็นคนตรวจสอบ) เองต้องทำ KYC อย่างจริงจัง
💡 แล้วเราควรใช้แบบไหนดี?
| กรณี | แนะนำใบรับรอง |
|---|---|
| เว็บไซต์ส่วนตัว / Portfolio / Blog | DV ก็เพียงพอ |
| SME / เว็บขายของ / e-Commerce | OV (หรือ EV ถ้าต้องการสร้าง trust) |
| ธนาคาร / ราชการ / องค์กรใหญ่ | EV หรือใบรับรองจาก CA ชั้นนำ |
⚠️ ความเชื่อผิด ๆ: "ใบรับรองฟรี = ไม่ปลอดภัย?"
หลายคนยังเข้าใจว่า Let's Encrypt ไม่ปลอดภัย เพราะใช้ฟรี
แต่ในความเป็นจริง:
✅ ระบบเข้ารหัส ของ Let's Encrypt เทียบเท่าหรือดีกว่า CA เชิงพาณิชย์
❌ ที่ต่างคือ "ระดับการยืนยันตัวตน" ไม่ใช่ "ความปลอดภัยของการเข้ารหัส"
พูดง่าย ๆ คือ:
การใช้ HTTPS ด้วย Let's Encrypt = ปลอดภัยในการส่งข้อมูล
แต่ ไม่สามารถยืนยันได้ว่าเว็บนั้นเป็นของใคร
ซึ่ง phishing site ก็สามารถใช้ได้เช่นกัน
🧭 สรุปส่งท้าย
Digital Certificate ไม่ใช่แค่ไอคอนรูปแม่กุญแจ
แต่มันคือ "บัตรประชาชนดิจิทัล" ของเว็บไซต์
ก่อนจะกรอกข้อมูลบัตรเครดิต
อัปโหลดข้อมูลสุขภาพ
หรือสแกนหน้ายืนยันตัวตนบนเว็บใด ๆ
❗คุณควรรู้ว่า HTTPS ที่ใช้นั้น "เชื่อถือได้จริง" หรือแค่ "เข้ารหัสเฉย ๆ"
ในบทความนี้เราเข้าใจประเภทของ Digital Certificate แล้ว บทความถัดไปจะอธิบายถึง Protocol ที่ใช้ในการทำ Auto-renew digital certificate
📌 อ่านบทความเสริมเรื่อง PKI และความเข้าใจ HTTPS เพิ่มเติมได้ที่
📥 หากองค์กรของคุณต้องการคำแนะนำเรื่องใบรับรองดิจิทัลที่เหมาะสม
ติดต่อทีม Incognito Lab ได้เลย!
#HTTPSไม่เท่ากันทุกเว็บ #DigitalCertificate #CybersecurityThailand #SSL #TLS #IncognitoLab #OV #EV
บริการของเรา
ให้เราช่วยดูแลความปลอดภัยให้คุณ
หากท่านสนใจและต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับบริการของเรา สามารถนัดหมายเพื่อพูดคุยผ่านเว็บไซต์ได้ทันที ทีมงานยินดีให้คำปรึกษาและตอบทุกข้อสงสัยอย่างเต็มที่
Up Next

ARTICLES
Feb
05
2026
เคยเจอไหม? หน้าเว็บ Cloudflare ปลอมที่หลอกให้คุณคัดลอกคำสั่งแปลก ๆ
พาไปรู้จักเทคนิคยอดฮิตที่ชื่อว่า ClickFix และ FileFix ที่เน้นหลอก "พฤติกรรม" ของท่านให้ “เผลอทำตาม” บทความนี้จะพาไปดูว่าเทคนิคดังกล่าวคืออะไร มีที่มาอย่างไร พร้อมวิธีรับมือ ใครใช้คอมพิวเตอร์ ใช้งานอินเทอร์เน็ตเป็นประจำ หรือทำงานเอกสารทุกวัน ขอแนะนำให้อ่านเลยครับผม
READ MORE

ARTICLES
May
19
2025
ลดความเสี่ยง เพิ่มความปลอดภัย ไม่ต้องต่ออายุ SSL เองอีกต่อไป
SSL Certificate ที่หมดอายุโดยไม่รู้ตัว อาจทำให้ผู้ใช้เข้าถึงเว็บไม่ได้ สูญเสียความน่าเชื่อถือ หรือโดน Google เตือนว่า "Not Secure"
READ MORE

ARTICLES
Mar
02
2021
Extra: HTTPS Insecurity with SSLstrip
SSLstrip เป็น 1 ในเทคนิคที่นิยมใช้กันในการทำ Man-in-the-middle เพื่อดักข้อมูล ซึ่งถูกคิดค้นโดย Moxie Marlinspike (คุณพี่ Deadlock นั่นเอง) และได้ถูกนำมา present ในงาน Black Hat DC 2009
READ MORE


