IT General
Lets Encrypt Ssl Free Guide
Let's Encrypt SSL Free Guide คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยสงสัยไหมว่าทำไมบางเว็บไซต์ถึงมีรูปแม่กุญแจสีเขียวๆ ตรง address bar? นั่นแหละคือ SSL (Secure Sockets Layer) หรือ TLS (Transport Layer Security) ซึ่ง Let's Encrypt เนี่ย เป็น Certificate Authority (CA) ที่ออกใบรับรอง SSL/TLS ให้เราใช้ฟรีๆ เลย
สมัยผมทำร้านเน็ต SiamCafe ช่วงแรกๆ นี่ SSL เป็นอะไรที่ไกลตัวมาก ต้องซื้อ certificate แพงๆ จาก Verisign หรือ Thawte ถึงจะมีได้ แต่พอ Let's Encrypt เกิดมา โลกก็เปลี่ยนไปเลย เพราะทุกคนสามารถมี SSL ฟรีๆ ได้ง่ายๆ
ทำไมมันถึงสำคัญน่ะเหรอ? อย่างแรกเลยคือเรื่องความปลอดภัย ข้อมูลที่ส่งระหว่าง browser ของผู้ใช้กับ server ของเราจะถูกเข้ารหัส ทำให้แฮกเกอร์ดักจับข้อมูลได้ยากขึ้น (แต่ก็ไม่ได้แปลว่าป้องกันได้ 100% นะ)
อย่างที่สองคือเรื่อง SEO (Search Engine Optimization) Google ชอบเว็บไซต์ที่ใช้ HTTPS (HTTP ที่มีการเข้ารหัสด้วย SSL/TLS) มากกว่า เพราะมันปลอดภัยกว่า ทำให้เว็บไซต์เรามีโอกาสขึ้นอันดับดีกว่า
สุดท้ายคือเรื่องความน่าเชื่อถือ เว็บไซต์ที่มี SSL จะดูน่าเชื่อถือกว่าเว็บไซต์ที่ไม่มี ทำให้ผู้ใช้กล้าที่จะใส่ข้อมูลส่วนตัวหรือข้อมูลบัตรเครดิตมากขึ้น
พื้นฐานที่ต้องรู้
โดเมนเนม (Domain Name)
น้องๆ ต้องมีโดเมนเนมเป็นของตัวเองก่อนนะ Let's Encrypt จะออกใบรับรองให้เฉพาะโดเมนที่เราเป็นเจ้าของเท่านั้น สมัยผมทำร้านเน็ตก็ต้องจดโดเมนเองทั้งหมด เดี๋ยวนี้มีผู้ให้บริการจดโดเมนเยอะแยะ เลือกเอาที่ราคาถูกใจได้เลย
ยกตัวอย่างเช่น `siamcafe.net` นี่แหละ คือโดเมนเนม
เว็บเซิร์ฟเวอร์ (Web Server)
เราต้องมีเว็บเซิร์ฟเวอร์ที่รันอยู่บนเครื่องของเราด้วยนะ Apache หรือ Nginx ก็ได้ สมัยผมชอบใช้ Apache เพราะมันยืดหยุ่นดี แต่ Nginx ก็เริ่มได้รับความนิยมมากขึ้นเรื่อยๆ เพราะมันเร็วกว่า
เว็บเซิร์ฟเวอร์ทำหน้าที่รับคำขอจาก browser ของผู้ใช้ แล้วส่งไฟล์ HTML, CSS, JavaScript กลับไปให้
Certbot
Certbot เป็นเครื่องมือที่เราใช้ในการขอใบรับรองจาก Let's Encrypt และติดตั้งลงบนเว็บเซิร์ฟเวอร์ของเรา มันจะช่วยเราทำทุกอย่างให้ง่ายขึ้นเยอะเลย
วิธีใช้งาน / เริ่มต้นยังไง
เอาล่ะ มาถึงขั้นตอนการใช้งานจริงกันแล้วนะครับ ไม่ยากอย่างที่คิด
ขั้นตอนปฏิบัติจริง
ติดตั้ง Certbot
ก่อนอื่นเราต้องติดตั้ง Certbot ก่อน วิธีการติดตั้งจะแตกต่างกันไปตามระบบปฏิบัติการที่เราใช้
สำหรับ Ubuntu/Debian:
sudo apt update
sudo apt install certbot python3-certbot-apache
สำหรับ CentOS/RHEL:
sudo yum install epel-release
sudo yum install certbot python3-certbot-apache
อย่าลืมเปลี่ยน `apache` เป็น `nginx` ถ้าเราใช้ Nginx นะ
ขอใบรับรอง SSL
หลังจากติดตั้ง Certbot เสร็จแล้ว เราก็สามารถขอใบรับรอง SSL ได้เลย
ถ้าเราใช้ Apache:
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com
ถ้าเราใช้ Nginx:
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
เปลี่ยน `yourdomain.com` เป็นโดเมนเนมของเรานะ Certbot จะถามคำถามเรานิดหน่อย เช่น อีเมลของเรา ให้ตอบตามที่มันถามไป
ต่ออายุใบรับรอง SSL
ใบรับรอง SSL ของ Let's Encrypt มีอายุแค่ 90 วันเท่านั้น เพราะฉะนั้นเราต้องต่ออายุใบรับรองก่อนที่มันจะหมดอายุ โชคดีที่ Certbot มีคำสั่งให้เราต่ออายุอัตโนมัติได้
sudo certbot renew --dry-run
คำสั่งนี้จะจำลองการต่ออายุใบรับรอง ถ้าไม่มีปัญหาอะไร เราก็สามารถตั้ง cron job ให้รันคำสั่งนี้ทุกวันได้
ตัวอย่าง cron job:
0 0 * * * /usr/bin/certbot renew --quiet --no-self-upgrade
Cron job นี้จะรันทุกวันตอนเที่ยงคืน ถ้าใบรับรองใกล้หมดอายุ Certbot จะต่ออายุให้เอง
เปรียบเทียบกับทางเลือกอื่น
Let's Encrypt ไม่ใช่ Certificate Authority (CA) เพียงเจ้าเดียวนะ ยังมี CA อื่นๆ อีกมากมายที่ให้บริการ SSL/TLS certificate ทั้งแบบฟรีและแบบเสียเงิน
สมัยก่อนผมเคยใช้ Comodo (ปัจจุบันคือ Sectigo) ก็ดีนะ แต่แพงเอาเรื่องเลย
| คุณสมบัติ | Let's Encrypt | Comodo/Sectigo | Cloudflare SSL |
|---|---|---|---|
| ราคา | ฟรี | เสียเงิน | ฟรี (สำหรับ plan บางประเภท) |
| ความน่าเชื่อถือ | สูง | สูงมาก | สูง |
| ความง่ายในการใช้งาน | ง่าย | ปานกลาง | ง่าย |
| ประเภทของใบรับรอง | Domain Validation (DV) | DV, Organization Validation (OV), Extended Validation (EV) | DV |
| ระยะเวลาของใบรับรอง | 90 วัน | 1-3 ปี | 90 วัน (จัดการโดย Cloudflare) |
Cloudflare ก็มี SSL ฟรีให้ใช้นะ แต่ต้องใช้ Cloudflare เป็น CDN (Content Delivery Network) ด้วย ถ้าใครใช้ Cloudflare อยู่แล้ว ก็เป็นทางเลือกที่ดี
อ่านบทความอื่นๆ เพิ่มเติมได้ที่ SiamCafe Blog นะครับ
สรุปแล้ว Let's Encrypt เป็นทางเลือกที่ดีที่สุดสำหรับคนที่ต้องการ SSL ฟรีๆ และใช้งานง่าย แต่ถ้าต้องการความน่าเชื่อถือสูงๆ หรือต้องการใบรับรองประเภทอื่น (เช่น OV หรือ EV) ก็อาจจะต้องพิจารณา CA อื่นๆ ดู
หวังว่าบทความนี้จะเป็นประโยชน์กับน้องๆ นะครับ ถ้ามีคำถามอะไรเพิ่มเติม ถามมาได้เลย
อย่าลืมแวะไปอ่านบทความอื่นๆ ที่ SiamCafe Blog ด้วยนะครับ มีเรื่อง IT อีกเยอะแยะเลย
Best Practices / เคล็ดลับจากประสบการณ์
เอาล่ะน้องๆ มาถึงส่วนที่สำคัญที่สุดแล้ว เคล็ดลับที่พี่บอมสั่งสมมาจากการทำร้านเน็ตตั้งแต่ยุคบุกเบิก รวมถึงประสบการณ์ดูแล Server มากว่า 20 ปี ขอบอกเลยว่า "ของฟรีและดี" มันมีอยู่จริง แต่ต้องรู้วิธีใช้ให้ถูกต้อง!
Lets Encrypt เนี่ย มันเจ๋งจริง แต่ก็มีข้อควรระวังอยู่บ้าง อย่าคิดว่าติดตั้งเสร็จแล้วจะจบเลยนะ ต้องดูแลรักษาด้วย ไม่งั้นเดี๋ยวงานจะเข้า
3-4 เทคนิคที่ใช้ได้จริง
1. Automation is Key: ทำให้มันอัตโนมัติซะ!
สมัยก่อนตอนทำร้านเน็ต พี่บอมต้องวิ่งวุ่นวายกับการต่ออายุ SSL เองทุก 3 เดือน (เพราะ Lets Encrypt มีอายุแค่ 90 วัน) ลองคิดดูว่าถ้ามีหลาย Domain ล่ะ? ปวดหัวแน่นอน! โชคดีที่ปัจจุบันมีเครื่องมือช่วยให้เราต่ออายุ SSL ได้แบบอัตโนมัติแล้ว อย่างเช่น Certbot เนี่ยแหละ
certbot renew --dry-run # ลองรันดูก่อน
certbot renew # รันจริงอย่าลืมตั้ง Cron Job ให้มันรันคำสั่งนี้อัตโนมัติทุกวัน จะได้ไม่ต้องมานั่งกังวลว่า SSL จะหมดอายุ
2. Wildcard Certificate: จัดการหลาย Subdomain ง่ายๆ
ถ้าเว็บไซต์น้องมี Subdomain เยอะๆ (เช่น blog.domain.com, shop.domain.com, api.domain.com) การขอ SSL ให้แต่ละ Subdomain แยกกันมันเสียเวลามาก Wildcard Certificate จะช่วยให้น้องสามารถใช้ SSL เดียวกันกับทุก Subdomain ได้เลย
certbot certonly --manual --preferred-challenges dns -d *.domain.com -d domain.comแต่การขอ Wildcard Certificate จะยุ่งยากกว่านิดหน่อย เพราะต้องแก้ DNS Record แต่รับรองว่าคุ้มค่าแน่นอน
3. Staging Environment: ทดสอบก่อนลงสนามจริง
ก่อนที่จะเอา SSL ไปใช้กับ Production Server จริงๆ พี่แนะนำให้ทดสอบกับ Staging Environment ก่อนเสมอ จะได้มั่นใจว่าทุกอย่างทำงานได้ถูกต้อง จะได้ไม่เกิดปัญหาหน้าเว็บไซต์ล่มตอน SSL หมดอายุ
Staging Environment ก็คือ Server ที่จำลองสภาพแวดล้อมเดียวกับ Production Server ของเรานั่นแหละ
4. Monitor Your Certificates: จับตาดูใบรับรองของคุณ
ถึงแม้จะตั้งค่าทุกอย่างอัตโนมัติแล้ว ก็อย่าลืม Monitor Certificate ของเราเป็นประจำนะ จะได้รู้ว่าใกล้หมดอายุหรือยัง หรือมีปัญหาอะไรเกิดขึ้นไหม มีหลาย Tools ที่ช่วยเรา Monitor SSL Certificate ได้ฟรีๆ ลองหาดูนะ
FAQ: คำถามที่พบบ่อย
ทำไม Lets Encrypt ถึงฟรี?
Lets Encrypt เป็นโครงการที่ไม่แสวงหาผลกำไร มีจุดประสงค์เพื่อให้ทุกคนสามารถเข้าถึง SSL Certificate ได้ฟรีๆ เพื่อความปลอดภัยของโลกอินเทอร์เน็ต
Lets Encrypt ปลอดภัยแค่ไหน?
Lets Encrypt ปลอดภัยแน่นอน เพราะใช้ Algorithm เดียวกับ SSL Certificate ที่เสียเงิน แถมยังได้รับการสนับสนุนจากบริษัทใหญ่ๆ หลายแห่ง
Lets Encrypt เหมาะกับเว็บไซต์แบบไหน?
Lets Encrypt เหมาะกับเว็บไซต์ทุกประเภท ไม่ว่าจะเป็นเว็บไซต์ส่วนตัว, Blog, E-commerce หรือเว็บไซต์องค์กรขนาดใหญ่
ถ้าต่ออายุ SSL ไม่สำเร็จ จะเกิดอะไรขึ้น?
ถ้า SSL หมดอายุ Browser จะแสดง Warning ว่าเว็บไซต์ไม่ปลอดภัย ทำให้ผู้ใช้งานไม่กล้าเข้าเว็บไซต์ของเรา
สามารถใช้ Lets Encrypt กับ Mobile App ได้ไหม?
ได้แน่นอน! เพราะ Mobile App ก็ต้องใช้ HTTPS ในการสื่อสารกับ Server เหมือนกัน
สรุป
Lets Encrypt เป็นเครื่องมือที่ยอดเยี่ยม ช่วยให้เราสามารถติดตั้ง SSL Certificate ได้ฟรีๆ แต่ต้องใช้งานอย่างระมัดระวัง และอย่าลืมตั้งค่าให้มันต่ออายุอัตโนมัติด้วยนะ
หวังว่าบทความนี้จะเป็นประโยชน์กับน้องๆ นะครับ ถ้ามีคำถามอะไรเพิ่มเติม ถามมาได้เลย พี่บอมยินดีตอบเสมอ และอย่าลืมแวะไปดู iCafeForex กันด้วยนะ เผื่อใครสนใจลงทุน!
แล้วเจอกันใหม่ในบทความหน้า อย่าลืมติดตาม SiamCafe Blog ด้วยนะ มีบทความดีๆ อีกเพียบ!
