0216 | ความเข้าใจผิดเกี่ยวกับ SSL

Friday, August 7th, 2015 Posted in IP Network, Security | No Comments »

บางครั้งการเห็นอะไรจากประโยคโฆษณาก็ทำให้เราเข้าใจผิดกันได้ครับ ที่สำคัญคือประโยคโฆษณาส่วนมากจะสั้นๆ อ่านแล้วชวนให้เคลิ้ม แต่เบื้องหลังมันมีอะไรมากกว่านั้นอีกเยอะ

SSL ช่วยให้เว็บไม่โดน hack

  • ไม่จริง !
  • SSL มีประโยชน์แค่ “การป้องกันการดักข้อมูล” เท่านั้นครับ เนื่องจากโดยปกติการรับส่งข้อมูลบนอินเทอร์เน็ตจะไม่ได้เข้ารหัสไว้ ทำให้ใครที่อยู่ระหว่างทางก็สามารถอ่านข้อมูลข้างในได้ว่าเรารับ/ส่งอะไรกัน
  • การดักข้อมูล ในแง่นึงถ้าดักได้รหัสผ่าน admin ก็ทำให้บุกรุกเข้าระบบได้ก็จริง แต่ส่วนใหญ่ hacker ไม่ได้มานั่งดักข้อมูลหรอกครับ มันยากมากเพราะต้องไปอยู่ในเครือข่ายเดียวกับผู้ใช้งาน ซึ่งถ้าอยู่ในเครือข่ายเดียวกันแล้ว ต่อให้ติด SSL ไปก็ช่วยอะไรได้ไม่มากครับ
  • 90% ของการโดนเจาะเกิดจากเว็บไซต์มีช่องโหว่เอง ซึ่ง SSL ไม่ได้ช่วยอะไร เพราะ hacker ก็ยังสามารถเข้าเว็บผ่าน SSL ได้ตามปกติ และ SSL ไม่ได้มีประโยชน์ในการช่วยป้องกันช่องโหว่พวกนั้นครับ

SSL ยิ่งแพงยิ่งปลอดภัย

  • ไม่จริง !
  • ราคาถูกแพงมีผลแค่เรื่องความน่าเชื่อถือ เนื่องจากใบ certificate ที่แพงกว่ามักจะใช้วิธีการตรวจสอบยืนยันตัวตนที่เข้มงวดกว่า แง่นี้รวมถึง EV SSL green bar แบบที่เว็บธนาคารใช้ด้วย
  • วิธีการเข้ารหัส (ซึ่งก็คือความปลอดภัยของข้อมูล) ขึ้นอยู่กับการคุยกันระหว่าง client กับ server ตอนเชื่อมต่อเข้าหากัน ซึ่งสามารถตั้งค่าได้ทุกแบบ ไม่ได้ถูกจำกัดด้วยใบ certificate แต่อย่างใด

SSL ให้เป็น https แบบไหนก็ปลอดภัยต่อการถูกดักฟัง

  • ไม่จริง ! (อ้าว)
  • วิธีการเข้ารหัสหลายตัวได้ถูกพิสูจน์แล้วว่าปลอดภัยต่ำ ง่ายต่อการโจมตีและการถอดรหัส
  • SSLv3 ก็เพิ่งโดนเจาะไปไม่นาน
  • การเข้ารหัสแบบ RC4 ก็มีรายงานจุดอ่อนออกมาเรื่อยๆ จนตอนนี้มีประกาศไม่แนะนำให้ใช้งานขึ้นมาแล้ว
  • การตั้งค่าการเข้ารหัสบน server จึงต้องระบุด้วยว่า ยอมให้ใช้วิธีการเข้ารหัสแบบที่ (ยังคง)ปลอดภัย และติดตามข่าวสารช่องโหว่และความปลอดภัยเกี่ยวกับ SSL เสมอ

Tags: ,