สร้างด่านตรวจความปลอดภัย บังคับใช้ HTTPS

Updated: 15 August 2020

เนื่องจากช่วงนี้กระแส SSL มาแรงมาก ๆ เว็บหน่วยงานราชการก็ทยอยใส่ SSL กันแล้ว แต่เนื่องจากเดิมนั้น เราจะใช้งาน protocal http กันซะส่วนใหญ่ เว็บที่ถูก index แล้วโดย search engine มันก็จะไม่มาเข้า https ที่เราได้ตั้งไว้ ดังนั้นเราจึงต้องมาสร้างด่านตรวจ เพื่อบังคับให้คนที่เข้าเว็บผ่าน protocal https เท่านั้น!!

SSL (Secure Socket Layer) Certificates หรือ ใบรับรองความปลอดภัยทางอิเล็กทรอนิกส์ เป็นการเพิ่มการรักษาความปลอดภัยข้อมูลระหว่างการรับ-ส่งจากผู้ใช้งานผ่านหน้าเว็บไซต์ไปยังเครื่อง Server เช่น Username, Password ข้อมูลบัตรเครดิต จะถูกเข้ารหัสข้อมูล (Encryption) เพื่อช่วยป้องกันการอ่านหรือเปลี่ยนแปลงข้อมูลระหว่างทาง ซึ่งการติดตั้ง SSL จะทำให้เว็บไซต์เปลี่ยนจาก http เป็น https และมีสัญลักษณ์รูปกุญแจสีเขียวปรากฏ จะช่วยเพิ่มความน่าเชื่อถือและความมั่นใจให้แก่ผู้รับบริการเว็บไซต์มากขึ้น

เดี๋ยวจะรวบรวมวิธีการทำให้เว็บไซต์เป็น https โดยสมบูรณ์ไว้ในนี้ ซึ่งมีเทคนิคและขั้นตอนเยอะมาก เช่น

FORCE https WITH .htaccess

อันนี้ง่ายสุด สะดวกสุด และตรงไปตรงมา สำหรับ server ที่เป็น Linux ไม่ว่าจะ run บน Apache หรือ Nginx ก็ใช้ได้

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Config nginx #

|*if SSL_TEMPLATE="0"|
       return 301 https://$host$request_uri;
|*endif|

force HTTPS in JavaScript #

if (location.protocol != 'https:')
{
 location.href = 'https:' + window.location.href.substring(window.location.protocol.length);
}

WordPress Force SSL Logins #

สำหรับ wordpress มีการตั้งค่าให้ หน้า login เป็น https ซึ่งในปัจจุบันเว็บที่เป็น wordpress ส่วนใหญ่จะใช้ SSL กันหมดแล้ว

define('FORCE_SSL_ADMIN', true);

Windows IIS web.config #

<configuration>
<system.webServer>
<rewrite>
    <rules>
	<rule name="HTTP to HTTPS redirect" stopProcessing="true"> 
	<match url="(.*)" /> 
	<conditions> 
		<add input="{HTTPS}" pattern="off" ignoreCase="true" />
	</conditions> 
	<action type="Redirect" redirectType="Permanent" url="https://{HTTP_HOST}/{R:1}" />
</rule>   
    </rules>
</rewrite>
</system.webServer>
</configuration>

HTTPS Everywhere Force Google chrome https

Chrome Web Store :
https://chrome.google.com/webstore/detail/https-everywhere/gcbommkclmclpchllfjekcdonpmejbdp?hl=en

หรือตัวช่วยที่ถือว่าดีไม่น้อย

Cloudflare พร้อมวิธีติดตั้ง HTTPS ให้กับเว็บแบบฟรี ๆ

อ่านต่อที่ https://nuuneoi.com/blog/blog.php?read_id=892

• Facebook
• Twitter
• Line

security ssl

Thanikul Sriuthis

Full-Stack Developer, Health Informatician