ถึงเวลาแล้วที่ HTTPS ควรเป็นค่าเริ่มต้น

 (security.googleblog.com)
5 คะแนน โดย GN⁺ 2025-10-31 | ยังไม่มีความคิดเห็น | แชร์ทาง WhatsApp
  • ตั้งแต่ Chrome 154 ที่จะออกในเดือนตุลาคม 2026 ซึ่งอีก 1 ปีข้างหน้า การตั้งค่าเริ่มต้นของเบราว์เซอร์จะเปลี่ยนเป็น “Always Use Secure Connections”
  • การตั้งค่านี้จะแสดง คำเตือนและขออนุญาตจากผู้ใช้เมื่อเข้าถึงเว็บไซต์สาธารณะที่ไม่มี HTTPS
  • อัตราการใช้งาน HTTPS เพิ่มขึ้นจาก 30~45% ในปี 2015 เป็น 95~99% ในปี 2020 แต่หลังจากนั้นก็อยู่ในภาวะทรงตัว
  • Chrome มีแผนจะเปิดใช้ โหมดบังคับ HTTPS เฉพาะกับเว็บไซต์สาธารณะ เป็นค่าเริ่มต้น เพื่อยกระดับความปลอดภัยโดยลดผลกระทบต่อผู้ใช้ให้น้อยที่สุด
  • การเปลี่ยนแปลงครั้งนี้มีเป้าหมายเพื่อ เสริมความปลอดภัยของเว็บโดยรวมและลดความเสี่ยงที่ยังเหลือจาก HTTP ให้เหลือน้อยที่สุด

การเปลี่ยนแปลงค่าเริ่มต้นของ Chrome

  • ตั้งแต่ Chrome 154 ที่จะออกในเดือนตุลาคม 2026 การตั้งค่า “Always Use Secure Connections” จะถูกเปิดใช้เป็นค่าเริ่มต้น
    • เมื่อเข้าถึงเว็บไซต์สาธารณะที่ไม่มี HTTPS เป็นครั้งแรก จะแสดงคำเตือนและขออนุญาตจากผู้ใช้
    • ใน Chrome 147 (เมษายน 2026) มีแผนจะเริ่มใช้ก่อนกับผู้ใช้กว่า 1 พันล้านคนที่ใช้ Enhanced Safe Browsing
  • ผู้ใช้สามารถ ปิดการตั้งค่านี้ได้หากต้องการ

สถานะการใช้งาน HTTPS

  • Google ติดตามอัตราการใช้งาน HTTPS ใน Chrome ผ่าน รายงานความโปร่งใสของ HTTPS มาแล้วนานกว่า 10 ปี
    • เพิ่มขึ้นจาก 30~45% ในปี 2015 เป็น 95~99% ในปี 2020
    • หลังจากนั้นแนวโน้มการเติบโตชะงักลง
  • ด้วยอัตราการนำไปใช้ที่สูง จึงสามารถพิจารณา มาตรการที่เข้มงวดยิ่งขึ้นต่อทราฟฟิก HTTP ที่ยังเหลืออยู่ ได้

สมดุลระหว่างความปลอดภัยของผู้ใช้กับการลดคำเตือนที่ไม่จำเป็น

  • แม้ 95% ของทราฟฟิกทั้งหมดจะเป็น HTTPS แต่การเชื่อมต่อ HTTP ที่เหลืออีก 5% ก็ยังคงเป็นความเสี่ยง
  • Chrome จะ ป้องกันการแสดงคำเตือนซ้ำ ๆ กับเว็บไซต์เดิม เพื่อลดความรำคาญของผู้ใช้
    • จะไม่แสดงคำเตือนซ้ำกับเว็บไซต์ที่ไม่ปลอดภัยซึ่งผู้ใช้เข้าใช้งานบ่อย
  • เว็บไซต์ภายในเครือข่ายส่วนตัว (เช่น 192.168.0.1, intranet เป็นต้น) ยังคงใช้ HTTP อยู่มาก เพราะการออกใบรับรองทำได้ยาก
    • เนื่องจากเว็บไซต์เหล่านี้มีความเสี่ยงต่ำกว่า จึงใช้แนวทางจำกัดคำเตือนเฉพาะเว็บไซต์สาธารณะ
  • จากผลการทดลอง ในโหมดที่ใช้กับเว็บไซต์สาธารณะเท่านั้น อัตราการเกิดคำเตือนกับผู้ใช้น้อยกว่า 3% และผู้ใช้ส่วนใหญ่พบคำเตือนไม่เกินสัปดาห์ละ 1 ครั้ง

สถานะการใช้งาน HTTP และมาตรการปรับปรุง

  • ทราฟฟิก HTTP จำนวนมากเกิดจาก คำขอเริ่มต้นที่ถูกรีไดเร็กต์ไปยัง HTTPS
  • หน้าตั้งค่าอุปกรณ์ในเครือข่ายท้องถิ่น เป็นต้น มักยังใช้ HTTP เนื่องจากปัญหาเรื่องใบรับรอง
  • Chrome ได้เพิ่มฟีเจอร์ Local Network Access Permission
    • แม้อยู่บนหน้า HTTPS ก็ยังสามารถเข้าถึงเครือข่ายท้องถิ่นได้หลังจากผู้ใช้ให้ความยินยอม
    • สิ่งนี้ช่วยเปิดโอกาสให้หน้าคอนฟิกอุปกรณ์ภายในเครือข่ายท้องถิ่นเปลี่ยนไปใช้ HTTPS ได้มากขึ้น

คำแนะนำสำหรับนักพัฒนาและผู้ดูแลระบบ IT

  • แนะนำให้นักพัฒนาเว็บไซต์และผู้ดูแลระบบ IT เปิดใช้การตั้งค่า “Always Use Secure Connections” ตั้งแต่ตอนนี้ เพื่อตรวจสอบเว็บไซต์ที่จะได้รับผลกระทบ
  • ในสภาพแวดล้อมการจัดการ Chrome (เช่น องค์กรและสถาบันการศึกษา) สามารถดูได้จากเอกสารคำแนะนำอย่างเป็นทางการ เพื่อทราบ
    • เงื่อนไขการแสดงคำเตือน
    • วิธีบรรเทาผลกระทบ
    • วิธีตั้งค่านโยบายสำหรับแต่ละองค์กร

แผนในอนาคต

  • Google ยังตั้งเป้าหมายเพิ่มเติมในการ ลดอุปสรรคต่อการนำ HTTPS มาใช้กับเว็บไซต์บนเครือข่ายท้องถิ่น

บทความที่เกี่ยวข้อง

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น