Defaults.Exposed › การแก้ไข › ความสมบูรณ์ของใบรับรอง TLS
วิธีแก้ไข ความสมบูรณ์ของใบรับรอง TLS
ใบรับรอง SSL/TLS ของคุณคือบัตรประจำตัวดิจิทัลที่พิสูจน์ว่าผู้เข้าชมกำลังคุยกับเว็บไซต์ของคุณจริงๆ — ไม่ใช่ผู้แอบอ้าง — และขับเคลื่อนกุญแจในเบราว์เซอร์ การตรวจสอบนี้ดูว่าใบรับรองนั้นถูกต้องและเชื่อถือได้ ใกล้หมดอายุหรือไม่ และสร้างด้วยการเข้ารหัสที่แข็งแกร่งและทันสมัยหรือไม่
สรุปสำหรับธุรกิจของคุณ: ใบรับรองที่เสียหายหรือหมดอายุแทนที่เว็บไซต์ของคุณด้วยคำเตือนสีแดงแบบเต็มหน้าจอ 'การเชื่อมต่อของคุณไม่เป็นส่วนตัว' ในทุกเบราว์เซอร์ ผู้เข้าชมส่วนใหญ่ออกไปทันทีและไม่กลับมา — ยอดขายออนไลน์หยุด การสมัครหยุด และการเชื่อมต่อที่ควรจะเป็นส่วนตัวอาจถูกดักฟังอย่างเงียบๆ
สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย
- ใบรับรองของคุณหมดอายุเงียบๆ ในช่วงสุดสัปดาห์ ภายในวันจันทร์ผู้เข้าชมทุกคนพบคำเตือนความปลอดภัยแบบเต็มหน้า หน้าชำระเงินและแบบฟอร์มติดต่อของคุณตาย และคุณสูญเสียยอดขายในทุกชั่วโมงที่ใช้ในการสังเกตและต่ออายุ
- ลูกค้าที่ชำระเงินผ่าน WiFi ของร้านกาแฟหรือโรงแรมได้รับคำเตือนว่าใบรับรองของคุณไม่ตรงกับโดเมน — พวกเขาคิดว่าเว็บไซต์ของคุณปลอมหรือถูกแฮ็ก ละทิ้งการซื้อ และบอกคนอื่นว่า 'ดูน่าสงสัย'
- ทีม IT ของลูกค้ารายใหญ่รันการสแกนความปลอดภัยก่อนสัญญา เห็นใบรับรองที่เซ็นด้วยตัวเองหรือไม่น่าเชื่อถือ และตั้งค่าสถานะคุณว่าเป็นความเสี่ยง — ดีลหยุดเพราะสิ่งที่แก้ไขได้ฟรี
- ใบรับรองของคุณใช้วิธีการลงนามที่ล้าสมัยหรือคีย์ที่อ่อนแอ เบราว์เซอร์สมัยใหม่เริ่มแสดงคำเตือน และการตรวจสอบความปลอดภัยทำเครื่องหมายคุณลงสำหรับการเข้ารหัสที่อยู่นอกรายการที่แนะนำมาหลายปีแล้ว
- คุณรับการชำระด้วยบัตรและผู้ให้บริการชำระเงินตรวจสอบใหม่ คีย์ที่อ่อนแอหรือใบรับรองที่หมดอายุทำให้กฎความปลอดภัยการชำระเงินเสียหายและหน้าชำระเงินออนไลน์ของคุณถูกระงับจนกว่าจะแก้ไข
เหตุใดจึงสำคัญ ใบรับรองคือส่วนที่มองเห็นได้มากที่สุดของความปลอดภัยเว็บไซต์ของคุณ — เมื่อสมบูรณ์มันมองไม่เห็น และเมื่อเสียหายมันพาเว็บไซต์ทั้งหมดของคุณไปพร้อมกับคำเตือนที่น่ากลัวที่ขับลูกค้าไปยังคู่แข่ง การหมดอายุของใบรับรองคือสาเหตุหลักอันดับหนึ่งของการหยุดให้บริการเว็บไซต์ที่ไม่คาดคิด และป้องกันได้ทั้งหมด การรับใบรับรองที่ถูกต้องฟรี และการรักษาสุขภาพเป็นเรื่องของการปล่อยให้ต่ออายุโดยอัตโนมัติ
มันคืออะไรในคำพูดธรรมดา
เมื่อมีคนเข้าเว็บไซต์ของคุณ สองสิ่งต้องเกิดขึ้นเพื่อให้พวกเขารู้สึกปลอดภัยพิมพ์รหัสผ่านหรือหมายเลขบัตร อย่างแรก การเชื่อมต่อต้องถูกเข้ารหัสเพื่อให้คนแปลกหน้าไม่สามารถอ่านได้ อย่างที่สอง — และนี่คือส่วนที่คนลืม — เบราว์เซอร์ของผู้เข้าชมต้องแน่ใจว่ามันเป็นเว็บไซต์ของคุณจริงๆ ที่อีกด้าน ไม่ใช่ผู้แอบอ้างที่ตั้งค่าปลอมที่น่าเชื่อถือ สิ่งที่ทำทั้งสองงานคือใบรับรอง TLS (มักเรียกว่า “ใบรับรอง SSL”)
ลองคิดว่ามันเป็นบัตรประจำตัวที่กันการดัดแปลงสำหรับโดเมนของคุณ หน่วยงานที่ได้รับการยอมรับออกให้ มีตราประทับชื่อโดเมนและวันหมดอายุของคุณ และมีคีย์เข้ารหัสที่เข้ารหัสการเชื่อมต่อ เมื่อทุกอย่างตรวจสอบผ่าน เบราว์เซอร์แสดงกุญแจและเว็บไซต์ของคุณโหลดปกติ เมื่อมีบางอย่างผิดพลาดกับบัตรประจำตัว เบราว์เซอร์ทำตรงกันข้ามกับการให้ความมั่นใจผู้เข้าชมของคุณ — มันแสดงคำเตือนแบบเต็มหน้าที่พูดว่า “เว็บไซต์นี้อาจไม่ปลอดภัย”
การตรวจสอบนี้ดูสุขภาพของบัตรประจำตัวนั้นในสี่สิ่งที่แต่ละอย่างทำให้เสียหายโดยอิสระ:
- ถูกต้องและเชื่อถือได้? — ออกโดยหน่วยงานที่ได้รับการยอมรับ ตรงกับโดเมนของคุณ ไม่เซ็นด้วยตัวเอง และไม่หมดอายุ
- กำลังจะหมดอายุไหม? — เพราะใบรับรองที่หมดอายุปิดเว็บไซต์ทั้งหมดของคุณ
- ลงนามด้วยวิธีที่แข็งแกร่งไหม? — อัลกอริทึมการลงนามเก่าอาจถูกปลอมแปลงได้
- คีย์ของมันแข็งแกร่งพอไหม? — คีย์ที่อ่อนแออาจถูกทำลายในหลักการ
ข่าวดีในตอนแรก: การรับใบรับรองที่สมบูรณ์ฟรี และการรักษามันให้สมบูรณ์เป็นเรื่องของการปล่อยให้มันต่ออายุตัวเองโดยอัตโนมัติเพื่อไม่มีมนุษย์ต้องจำ
สิ่งนี้อาจทำให้คุณสูญเสียอะไร
-
การหยุดให้บริการในสุดสัปดาห์ ใบรับรองถึงวันหมดอายุเงียบๆ ช่วงปลายวันศุกร์ การต่ออายุที่ควรจะรันไม่ทำงาน (เซิร์ฟเวอร์ย้าย สคริปต์เสีย ไม่มีใครสังเกต) ภายในเช้าวันเสาร์ผู้เข้าชมทุกคน — และ Google crawler ทุกตัว — เห็นคำเตือนสีแดงแบบเต็มหน้าแทนหน้าแรก ร้านค้าของคุณปิดและคุณไม่รู้เลย การแก้ไขทางเทคนิคใช้เวลาไม่กี่นาที ยอดขายที่สูญเสียทั้งสุดสัปดาห์และลูกค้าที่ตัดสินใจว่าคุณ “ออกจากธุรกิจ” ไม่กลับมา
-
การชำระเงินที่ถูกละทิ้ง ลูกค้ากำลังซื้อจากโทรศัพท์บน WiFi ของโรงแรม ใบรับรองของคุณไม่ตรงกับโดเมนที่พวกเขาพิมพ์ เบราว์เซอร์เตือนพวกเขาว่าเว็บไซต์ “อาจเลียนแบบ” ของคุณ สำหรับผู้ซื้อที่ไม่ใช่ช่างเทคนิคนั้นอ่านว่าเป็นการหลอกลวง — พวกเขาปิดแท็บ และคุณไม่รู้เลยว่ามีการขายอยู่
-
สัญญาที่หยุด ผู้มีโอกาสเป็นลูกค้ารายใหญ่ทีมความปลอดภัยรันการสแกนตามปกติก่อนลงนาม มันกลับมาแสดงใบรับรองเซ็นด้วยตัวเองหรือไม่น่าเชื่อถือบนซับโดเมนหนึ่งของคุณ แม้แต่ทุกอย่างอื่นปกติดี ธงแดงเดียวนั้นเปลี่ยนการอนุมัติอย่างรวดเร็วเป็นการเจรจาที่ล่าช้าดีล — เกี่ยวกับปัญหาที่แก้ไขได้ฟรี
-
คำเตือนแบบค่อยๆ ลดลง ใบรับรองของคุณถูกต้องในทางเทคนิคแต่ลงนามด้วยSHA-1 วิธีเก่าที่เบราว์เซอร์ค่อยๆ เลิกใช้ การอัพเดตเบราว์เซอร์ต่อมา ผู้เข้าชมบางส่วนเริ่มเห็นคำเตือนที่คุณไม่สามารถทำซ้ำบนเครื่องของคุณเองที่อัพเดต
-
ความล้มเหลวในการปฏิบัติตาม คุณรับการชำระด้วยบัตร ระหว่างการตรวจสอบใหม่ การตรวจสอบของผู้ให้บริการของคุณตั้งค่าสถานะคีย์ที่อ่อนแอหรือใบรับรองที่หมดอายุ กฎความปลอดภัยบัตรต้องการการเข้ารหัสที่แข็งแกร่งและปัจจุบัน — ดังนั้นการชำระเงินออนไลน์ของคุณถูกระงับจนกว่าจะออกใบรับรองใหม่
มันคืออะไรจริงๆ (สี่ส่วน)
ใบรับรองอาจไม่สมบูรณ์ในสี่วิธีที่แตกต่างกัน และหน้านี้ครอบคลุมทั้งหมด แต่ละอย่างเป็นการตรวจสอบแยกต่างหาก แต่สำหรับคุณทั้งหมดคือ “ใบรับรองของฉันโอเคไหม?“
1. ถูกต้องและเชื่อถือได้
นี่คือสิ่งใหญ่ — และส่วนเดียวของสุขภาพใบรับรองที่เป็นการตรวจสอบที่สำคัญที่มีน้ำหนักสูงสุด ใบรับรองเป็น “ถูกต้องและเชื่อถือได้” เฉพาะเมื่อทั้งหมดนี้เป็นจริง:
- ออกโดยหน่วยงานออกใบรับรองที่ได้รับการยอมรับที่เบราว์เซอร์ไว้วางใจอยู่แล้ว (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon ฯลฯ)
- ตรงกับโดเมนที่แน่ชัดที่ผู้เข้าชมใช้ — รวมถึงซับโดเมน
- ไม่เซ็นด้วยตัวเอง
- อยู่ในช่วงวันที่ปัจจุบัน
- ห่วงโซ่ความไว้วางใจสมบูรณ์
หากสิ่งใดสิ่งหนึ่งเหล่านี้ล้มเหลว เบราว์เซอร์แสดงหน้า “การเชื่อมต่อของคุณไม่เป็นส่วนตัว” ที่น่ากลัว
2. ไม่ใกล้หมดอายุ
ใบรับรองทุกใบมีวันสิ้นสุดที่แน่นอน ใบรับรองฟรีมักอยู่ได้90 วัน หลังวันนั้นความน่าเชื่อถือหายไปทันที — ไม่มีช่วงผ่อนผัน การตรวจสอบนี้วัดว่าเหลือกี่วันและผู้ออกใบรับรองคือใคร:
- หมดอายุแล้ว หรือหมดอายุใน7 วัน — วิกฤต
- หมดอายุใน30 วันและไม่ได้จัดการอัตโนมัติ — คำเตือน
- จากผู้ให้บริการต่ออายุอัตโนมัติ (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL) ที่มีเหลืออย่างน้อยหนึ่งสัปดาห์ — ผ่าน
3. อัลกอริทึมการลงนามที่แข็งแกร่ง
ใบรับรองทุกใบถูก “ลงนาม” โดยใช้อัลกอริทึมการเข้ารหัสที่ช่วยให้เบราว์เซอร์ตรวจจับการดัดแปลง อัลกอริทึมเก่า — MD5 และ SHA-1 — แสดงให้เห็นว่าสามารถปลอมแปลงได้ การตรวจสอบนี้ผ่านเมื่อใบรับรองใช้การลงนามที่แข็งแกร่งและทันสมัย: SHA-256 หรือแข็งแกร่งกว่า (SHA-384, SHA-512), ECDSA สมัยใหม่ หรือ Ed25519/Ed448
4. คีย์ที่แข็งแกร่ง
ใบรับรองมีคีย์เข้ารหัสที่ทำการเข้ารหัสจริง หากคีย์นั้นสั้นเกินไป พลังการคำนวณสมัยใหม่อาจทำลายมันได้ ขั้นต่ำที่ยอมรับคือRSA 2048 บิตหรือelliptic-curve (EC) 256 บิต
หมายเหตุเกี่ยวกับสามอันสุดท้าย: ถูกต้องและเชื่อถือได้เป็นอันที่สำคัญที่ขับเคลื่อนหน้าคำเตือน ความแข็งแกร่งของการลงนามและคีย์เกี่ยวกับการพิสูจน์ความทนทานในอนาคตและการตรวจสอบ — ใบรับรองฟรีล่าสุดเกือบจะผ่านพวกมันโดยอัตโนมัติ แต่เป็นสิ่งที่การตรวจสอบความปลอดภัยจะตรวจสอบ
วิธีแก้ไข (ฟรี ประมาณ 15 นาที)
ส่งส่วนนี้ให้ใครก็ตามที่รันเว็บไซต์หรือโฮสติ้งของคุณ — การแก้ไขฟรี เราเรียกเก็บเงินสำหรับการตรวจสอบว่ามันยังคงสมบูรณ์ตามเวลาเท่านั้น ไม่ใช่เพื่อแก้ไข
ขั้นตอนที่ 1 — รับ (หรือแทนที่) ใบรับรองด้วยใบรับรองฟรีที่เชื่อถือได้ ขั้นตอนเดียวนี้แก้ไขความถูกต้อง การลงนาม และความแข็งแกร่งของคีย์ทั้งหมดในครั้งเดียว เพราะใบรับรองฟรีสมัยใหม่ใช้ SHA-256 และคีย์ที่แข็งแกร่งโดยค่าเริ่มต้น
- Cloudflare: ใน SSL/TLS → Overview ตั้งโหมดเป็น Full (Strict) Cloudflare ออกและต่ออายุใบรับรองขอบโดยอัตโนมัติ
- cPanel: ค้นหา SSL/TLS Status และรัน AutoSSL
- Site builders (Squarespace, Wix, Shopify): SSL มักเปิดโดยค่าเริ่มต้น
- เซิร์ฟเวอร์ Linux ของคุณ (Nginx/Apache): ติดตั้ง Let’s Encrypt ด้วย Certbot —
sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com
ขั้นตอนที่ 2 — ทำให้การต่ออายุเป็นอัตโนมัติเพื่อไม่ให้หมดอายุอีก
- บน Let’s Encrypt ยืนยันตัวจับเวลาการต่ออายุใช้งานได้:
sudo certbot renew --dry-run - บน Cloudflare, cPanel AutoSSL และโฮสต์ที่จัดการ การต่ออายุจัดการให้คุณ
ขั้นตอนที่ 3 — ตรวจสอบว่าครอบคลุมชื่อที่ถูกต้อง ใบรับรองต้องครอบคลุมทุกชื่อโฮสต์ที่ลูกค้าใช้จริงๆ — โดเมนเปล่า www และซับโดเมนใดๆ
ขั้นตอนที่ 4 — หากมีเพียงความแข็งแกร่งของการลงนามหรือคีย์ถูกตั้งค่าสถานะ ให้ออกใหม่ สร้างใบรับรองใหม่ (ขั้นตอนที่ 1) และใบรับรองใหม่จะใช้ SHA-256 และคีย์ที่แข็งแกร่งโดยอัตโนมัติ
ขั้นตอนที่ 5 — ยืนยัน จากนั้นตรวจสอบใหม่ที่นี่
ข้อผิดพลาดทั่วไป
- ถือว่า “เราติดตั้ง SSL ครั้งหนึ่ง” เสร็จแล้ว ใบรับรองหมดอายุตามนาฬิกา โดยไม่มีการต่ออายุอัตโนมัติ คำถามไม่ใช่ถ้ามันหมดอายุแต่เมื่อ
- ครอบคลุม
wwwแต่ไม่ใช่โดเมนเปล่า (หรือกลับกัน) ทั้งสองต้องอยู่บนใบรับรอง - ปล่อยใบรับรองเซ็นด้วยตัวเองบนซับโดเมน “ทดสอบ” ที่เป็นสาธารณะจริงๆ มันเข้ารหัส ดังนั้นรู้สึกปลอดภัย — แต่เบราว์เซอร์ (และสแกนเนอร์ความปลอดภัย) ปฏิบัติต่อมันว่าไม่น่าเชื่อถือ
- ถือว่าแบบเสียเงินปลอดภัยกว่า ใบรับรอง Let’s Encrypt ฟรีได้รับความเชื่อถือและเข้ารหัสเท่ากับใบรับรองราคาแพง
- ต่ออายุใบรับรองแต่ลืมโหลดเซิร์ฟเวอร์ใหม่ ใบรับรองใหม่บนดิสก์ไม่ทำอะไรจนกว่าเว็บเซิร์ฟเวอร์จะโหลดใหม่
- การต่ออายุอัตโนมัติที่ล้มเหลวเงียบๆ งานต่ออายุอาจเสียหายและยังคง “สำเร็จ” เงียบๆ การตรวจสอบวันหมดอายุ — ไม่ใช่แค่งานต่ออายุ — คือสิ่งที่จับสิ่งนี้จริงๆ ก่อนที่มันจะกัด
คำถามที่พบบ่อย
ฉันไม่ใช่ช่างเทคนิค — นี่คือสิ่งที่ฉันจัดการเองได้ไหม?
คุณไม่จำเป็นต้องเข้าใจการเข้ารหัส ใบรับรองที่ถูกต้องฟรี (ผ่าน Let's Encrypt และโฮสต์สมัยใหม่ส่วนใหญ่) และบนโฮสติ้งที่จัดการมักเป็นอัตโนมัติ ส่งส่วน 'วิธีแก้ไข' ด้านล่างให้ใครก็ตามที่รันเว็บไซต์หรือโฮสติ้งของคุณ สำหรับธุรกิจส่วนใหญ่มันเป็นงานเร็วและฟรี ไม่ใช่การซื้อ
เว็บไซต์ของฉันแสดงกุญแจ — นั่นหมายความว่าใบรับรองของฉันปกติไหม?
กุญแจหมายความว่าการเชื่อมต่อที่ปลอดภัยมีอยู่ตอนนี้ มันไม่ได้บอกว่าใบรับรองกำลังจะหมดอายุ สร้างบนคีย์ที่แข็งแกร่ง หรือจะยังได้รับความเชื่อถือจากเบราว์เซอร์ของพรุ่งนี้ การตรวจสอบนี้มองผ่านกุญแจไปที่สี่สิ่งที่รักษามันไว้จริงๆ: ใบรับรองถูกต้องและเชื่อถือได้ไหม มันจะหมดอายุเร็วๆ นี้ไหม มันถูกลงนามด้วยอัลกอริทึมที่แข็งแกร่งไหม และคีย์ของมันแข็งแกร่งพอไหม
ฉันต้องจ่ายสำหรับใบรับรอง SSL ไหม?
ไม่ ใบรับรองฟรีจาก Let's Encrypt (และสร้างอยู่ใน Cloudflare, cPanel AutoSSL และโฮสติ้งสมัยใหม่ส่วนใหญ่) ได้รับความเชื่อถือจากทุกเบราว์เซอร์และปลอดภัยเท่ากับที่จ่ายเงิน ใบรับรองแบบเสียเงินส่วนใหญ่ซื้อสัญญาสนับสนุน การรับประกัน หรือป้ายการตรวจสอบแบบขยาย — ซึ่งไม่มีอะไรที่ส่งผลต่อว่าเว็บไซต์ของคุณถูกเข้ารหัสหรือเชื่อถือได้
ใบรับรองจะ 'หมดอายุ' ได้อย่างไร — และทำไมมันถึงปิดเว็บไซต์ของฉัน?
ใบรับรองทุกใบมีวันสิ้นสุดที่แน่นอน (มักเป็น 90 วันสำหรับแบบฟรี) หลังจากวันนั้นเบราว์เซอร์ปฏิเสธที่จะเชื่อถือและแสดงคำเตือนแบบเต็มหน้าแทนเว็บไซต์ของคุณ มันไม่ใช่การลดลงอย่างค่อยเป็นค่อยไป — ทำงานได้อย่างสมบูรณ์จนถึงเส้นตาย จากนั้นเสียหายอย่างสมบูรณ์ นั่นคือเหตุที่การต่ออายุอัตโนมัติสำคัญมาก
ใบรับรอง 'เซ็นด้วยตัวเอง' คืออะไร และทำไมถึงล้มเหลว?
ใบรับรองเซ็นด้วยตัวเองคือใบที่คุณออกให้ตัวเองแทนที่จะได้จากหน่วยงานที่ได้รับการยอมรับ มันเข้ารหัสการเชื่อมต่อ แต่ไม่มีอะไรรับรองว่าเป็นคุณจริงๆ — ดังนั้นเบราว์เซอร์ปฏิบัติต่อมันว่าไม่น่าเชื่อถือและเตือนผู้เข้าชม เหมือนกับที่จะทำสำหรับใบรับรองปลอมของผู้โจมตี สำหรับเว็บไซต์สาธารณะคุณต้องการจากหน่วยงานที่เชื่อถือได้เสมอ ซึ่งฟรี
'คีย์อ่อนแอ' และ 'อัลกอริทึมการลงนามอ่อนแอ' หมายความว่าอะไรสำหรับธุรกิจของฉัน?
ทั้งสองคือวิธีที่ใบรับรองอาจถูกต้องในทางเทคนิควันนี้แต่เปราะบางในทางเข้ารหัส คีย์ที่อ่อนแอ (RSA น้อยกว่า 2048 บิตหรือ EC 256 บิต) อาจถูกทำลายในหลักการ ทำให้ผู้โจมตีสามารถแอบอ้างเว็บไซต์ของคุณ การลงนามที่อ่อนแอ (SHA-1 หรือ MD5) อาจถูกปลอมแปลงเพื่อสร้างใบรับรองปลอมที่น่าเชื่อถือ ใบรับรองฟรีสมัยใหม่ใช้คีย์และการลงนามที่แข็งแกร่งโดยค่าเริ่มต้น ดังนั้นการแก้ไขมักเป็นการออกใบรับรองใหม่เท่านั้น — โดยไม่มีค่าใช้จ่าย