ขอปิดท้ายปี 2563 ด้วยบล็อกเกี่ยวกับ QNAP NAS ก็แล้วกันนะครับ ถือว่าเป็นภาคต่อของบล็อกสอนติดตั้ง SSL certificate บน QNAP NAS เพื่อให้มือใหม่ทุกท่านได้เข้าใจถึงความสำคัญของ SSL certificate เพราะเท่าที่ได้มีโอกาสคุยกับผู้ใช้งาน QNAP NAS ตามบ้าน ที่มาร่วมอบรมการใช้งานที่ผมเป็นวิทยากร ผมพบว่าร้อยทั้งร้อย อยากสามารถเข้าถึง QNAP NAS จากนอกบ้านหรือนอกออฟฟิศได้ เพื่อที่จะใช้งานมันในฐานะ Private cloud (คลาวด์ส่วนตัว) ครับ
SSL certificate คืออะไร มีไว้ทำไม?
ในยุคแรกของอินเทอร์เน็ต มันถูกออกแบบมาเพื่อใช้เชื่อมต่อคอมพิวเตอร์ไม่กี่เครื่องเอง และใช้เพื่อการทหาร ด้วยเหตุที่จำนวนผู้ใช้มันจำกัด เขาก็เลยไม่ได้คิดมากเรื่องความปลอดภัยเท่าไหร่ เน้นเอาเร็วเข้าว่าด้วย เพราะสมัยนั้นความเร็วอินเทอร์เน็ตก็ต่ำ ประสิทธิภาพของเครื่องคอมพิวเตอร์ก็ต่ำ ข้อมูลที่รับส่งกันอยู่บนโลกอินเทอร์เน็ต เป็นข้อความในรูปแบบที่เรียกว่า Plain text ซึ่งมันก็ถือว่าตอบโจทย์การใช้งานในยุคนั้น ต่อมา อินเทอร์เน็ตแพร่หลายสู่คนทั่วไป ข้อมูลก็ยังถูกส่งในรูปแบบ Plain text อยู่ แต่นั่นก็ไม่ใช่ปัญหาอีกเช่นกัน เพราะวัตถุประสงค์ของอินเทอร์เน็ตยุคนั้นคือการเชื่อมต่อผู้คนให้สามารถแลกเปลี่ยนข้อมูลกันได้แม้จะอยู่ห่างไกลกัน
แต่พออินเทอร์เน็ตขยายตัวมากขึ้น ผู้คนเข้ามาใช้งานมากขึ้นมากๆ คนเราเริ่มเห็นโอกาสในการใช้ประโยชน์จากอินเทอร์เน็ตในด้านอื่นๆ เริ่มมีผู้คนเอาอินเทอร์เน็ตมาใช้เพื่อการค้า เกิดเป็นอีคอมเมิร์ซขึ้นมา มีผู้ให้บริการจำนวนมากเริ่มให้บริการอินเทอร์เน็ตในรูปแบบต่างๆ เช่น อีเมล เว็บโฮสติ้ง ฯลฯ ก็เริ่มมีมิจฉาชีพอาศัยช่องโหว่ของอินเทอร์เน็ตในเชิงชั่วร้ายมากขึ้น การรับส่งข้อมูลแบบ Plain text ก็ไม่ปลอดภัยอีกต่อไป เพราะในแง่ของการทำธุรกรรม เราต้องมั่นใจว่าข้อมูลสำคัญจะไม่ถูกใครดักไปอ่านได้ง่ายๆ เช่น รหัสผ่าน ข้อมูลด้านการเงิน หรือแม้แต่อีเมลของเรา
ด้วยความต้องการความปลอดภัยในการับส่งข้อมูล ประกอบกับเทคโนโลยีก็ก้าวหน้าขึ้นแล้ว ก็เลยมีการคิดโปรโตคอล HTTPS (Hypertext Transfer Protocol Secure) ขึ้นมา ซึ่งการรับส่งข้อมูลภายใต้โปรโตคอลนี้ จะมีความปลอดภัยมากขึ้น เพราะจะมีการเข้ารหัสของข้อมูลด้วย SSL (Secure Sockets Layer) ซึ่งภายหลังมีการอัพเดตมาเป็น SSL 1.0, 2.0 และ 3.0 และเลิกใช้ไปในที่สุด โดยปัจจุบันการเข้ารหัสจะใช้ TLS (Transport Layer Security) แทน ซึ่งปัจจุบันเป็นเวอร์ชัน 1.3
เมื่อข้อมูลถูกเข้ารหัส แม้จะมีใครดักข้อมูลไปได้ ก็จะไม่สามารถล่วงรู้ได้ว่าข้อมูลที่ถูกรับส่งอยู่นั้นเป็นข้อมูลอะไร และนั่นทำให้ข้อมูลของเราปลอดภัย
ในเมื่อเปลี่ยนมาใช้ TLS แล้ว ทำไมยังเรียกว่า SSL certificate ไม่ใช่ TLS certificate?
เอาตรงๆ นะ ผมก็ไม่รู้ (555) แต่เดาว่าเพราะ SSL มันอยู่กับเรามาเป็นสิบปีจนคนชินกับชื่อ SSL certificate กันแล้ว การจะเปลี่ยนให้ไปเรียกอย่างอื่นมันก็ยากไง (ลองนึกถึง แฟ้บ = ผงซักฟอก, มาม่า = บะหมี่กึ่งสำเร็จรูป ดู)
ฉะนั้น เราก็จะยังเห็นผู้ให้บริการต่างๆ เขายังเรียกมันว่า SSL certificate อยู่นะฮะ
SSL certificate มีกี่ประเภท? แตกต่างกันยังไง?
SSL certificate ไม่ใช่มีแค่เพื่อเข้ารหัสข้อมูลเพื่อให้ข้อมูลปลอดภัยเฉยๆ นะ เพราะถ้าเป็นแบบนั้น คุณก็สามารถเปิดใช้งาน SSL บน QNAP NAS ก็พอ แบบที่เขาเรียกว่า Self-issued certificate เพราะข้อมูลก็จะถูกเข้ารหัส แต่ความน่าเชื่อถือมันจะไม่มีไง เพราะเบราวเซอร์ทั้งหลายก็จะแสดงข้อความเตือนว่าการเชื่อมต่อไม่มีความเป็นส่วนตัวแบบในรูปด้านล่าง ถามว่าทำไมถึงเป็นแบบนั้น นั่นก็เพราะไม่มีใครยืนยันให้เราได้ว่า Certificate ที่ออกมานั้น มันเป็นของเว็บไซต์นั้นจริงๆ ถึงแม้ข้อมูลจะถูกเข้ารหัส แต่อาจจะมีคนที่มีกุญแจถอดรหัสมาแอบดูข้อมูลของคุณได้
แต่ถามว่าถ้าเรามั่นใจว่าเว็บไซต์นี้ปลอดภัยจริงๆ (เพราะเราเปิดใช้งานเองนิ) ไม่มีใครมาแฮกแน่ๆ ก็ทู่ซี้ใช้ไปทั้งๆ แบบนี้ก็ได้ครับ แต่หากต้องการกำจัดหน้าจอแจ้งเตือนนี้ ก็ต้องทำการติดตั้ง Certificate ลงบนเบราวเซอร์ เพื่อให้เบราวเซอร์รู้จักว่า อ๋อ เว็บนี้มันน่าเชื่อถือนะ … แต่หากเราอยากให้ใครก็เข้ามาใช้งาน QNAP NAS ก็ได้ การจะไปไล่ติดตั้ง Certificate ทีละเครื่องก็คงไม่สะดวกไหมอะ (แต่ในบางองค์กร แผนกไอทีเขาจะเขียนสคริปต์เพื่อติดตั้ง Certificate ให้กับเครื่องคอมพิวเตอร์ที่องค์กรเป็นผู้มอบให้พนักงาน ก็จะโอเค)
ดังนั้นก็เลยมีผู้ให้บริการ SSL certificate ที่จะเป็นพวกบริษัทที่มีความน่าเชื่อถือ ที่จะทำหน้าที่ยืนยันตัวตนของเว็บไซต์ หรือเจ้าของเว็บไซต์ เพื่อให้ผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ มั่นใจได้ว่าเว็บไซต์ที่ตนใช้บริการอยู่นั้นน่าเชื่อถือ ซึ่งปัจจุบันการให้บริการ SSL certificate มี 3 ประเภทหลักๆ ครับ คือ
➊ Domain Validated (DV SSL) Certificate ถ้าเว็บไซต์ไหนใช้ระดับนี้ นั่นหมายความว่าผู้ให้บริการที่ออก Certificate ให้เนี่ย เขาได้ตรวจสอบแล้วว่าบุคคล หรือ นิติบุคคลนั้นๆ มีสิทธิเป็นเจ้าของโดเมนเนมจริงๆ แต่ก็แค่นั้น จะไม่มีการยืนยันตัวตนว่าเจ้าของเป็นใคร บริษัทอะไร เราจะรู้แค่ว่า ข้อมูลที่รับส่งในเว็บไซต์นั้นจะมีความปลอดภัยเป็นส่วนตัว เพราะจะมีการเข้ารหัสแน่นอน ข้อดีของการใช้ SSL certificate นี้คือ แทบจะใช้งานได้ทันที ไม่มีขั้นตอนเอกสารยุ่งยาก ค่าใช้จ่ายไม่แพง
➋ Organization Validated (OV SSL) Certificate ที่จะมีขั้นตอนด้านเอกสารเพิ่ม เพราะผู้ให้บริการ SSL certificate จะไม่ทำแค่การยืนยันว่าคนคนนี้ หรือ นิติบุคคลนี้ มีสิทธิเป็นเจ้าของโดเมนเท่านั้น แต่จะมีการหาข้อมูลเกี่ยวกับองค์กร หรือ บริษัท ที่ขอให้ออก SSL certificate ด้วย มันก็จะดูน่าเชื่อถือเพิ่มขึ้น เวลาที่เราคลิกดู Certificate แล้วไปตรง Details > Subject เราจะเห็นว่าตัวแปร O จะบอกชื่อขององค์กรหรือบริษัทที่เป็นเจ้าของโดเมนเนมนั้นๆ ไว้ด้วย ค่าใช้จ่ายก็จะแพงขึ้น ขั้นตอนก็จะวุ่นขึ้นอีกหน่อย
➌ Extended Validated (EV SSL) Certificate คือขั้นสุดครับ เว็บไซต์ไหนที่ใช้ SSL ระดับนี้คือโคตรน่าเชื่อถือ เพราะผู้ให้บริการ SSL certificate และผู้ที่จะใช้บริการ ต้องใช้ความพยายามในการยืนยันตัวตนเอาเรื่อง เอกสารต้องใช้มีเยอะเลยครับ ตั้งแต่เอกสารข้อตกลงการใช้บริการ เอกสารมอบอำนาจ ข้อมูลเกี่ยวกับองค์กรเพื่อใช้ยืนยันตัวตนขององค์กร แน่นอนว่า SSL certificate แบบนี้ออกยากสุด วุ่นวายสุด แพงสุดๆ
ก็ร่ายมาซะยาว สุดท้ายผู้ใช้ QNAP NAS ก็ต้องการแค่ DV SSL นะ และที่สำคัญคือ ฟรี เพราะ myQNAPcloud มีให้ใช้
และจากทั้งหมดที่ผมอธิบายร่ายยาวซะขนาดนี้ ผมเชื่อว่าทุกท่านก็ต้องเข้าใจแล้วว่าสำหรับผู้ใช้งานตามบ้านทั่วไป ใช้ QNAP NAS ผ่าน myQNAPcloud ก็ใช้แค่ DV SSL ก็พอแล้วละครับ และที่สำคัญคือ ถ้าไม่อยากเสียเงิน (เพราะใช้เป็นการส่วนตัว) ก็สมัครใช้ฟรีๆ ได้ เขามีบริการฟรีของ Let’s Encrypt มาให้ใช้ ซึ่งปกติจะติดตั้งเองยุ่งยากพอสมควร และใช้งานฟรีแค่ 90 วัน แต่กับ QNAP NAS แล้ว แค่คลิกๆ สมัครก็จบ ที่เหลือมันจะ Renew แบบออโต้ให้ มันก็จะต่ออายุให้ทีละ 90 วันไปเรื่อยๆ เองเลยครับ
ผมแนะนำให้ใครก็ตามที่อยากจะเข้าถึง QNAP NAS ผ่าน myQNAPcloud ไปเปิดใช้งาน SSL certificate ด้วยนะครับ มันไม่ได้เกี่ยวกับแค่เรื่องของการถูกแฮกหรอกนะ แต่ถ้าเราไม่เปิดใช้ นั่นหมายความว่า ข้อมูลใดๆ ที่เรารับส่งกับ NAS อยู่นั้น สามารถมีมือดีแอบดักข้อมูลไปอ่านได้หมดเลยนะครับ เขามีให้ใช้ฟรีๆ แล้ว เปิดใช้เหอะ
