SSL อยากได้ต้องทำอย่างไร (ตอนที่ 3)

Posted on November 3, 2012 by yuttanah

จากตอนที่แล้ว เราได้ทำการเลือก Product กันไปแล้วว่าจะใช้ SSL Certificate แบบไหน ต่อไปก็ได้เวลา Order แล้วนะครับ สิ่งที่ต้องทำความเข้าใจกันก่อน เพราะ เดี๋ยวอ่าน ๆ แล้วหลายคนก็จะสงสัยว่า ทำไมมันเรื่องเยอะแบบนี้ จะทำไปเพื่ออะไรมากมาย (ซึ่งผมก็ตอบคำถามแบบนี้กับลูกค้าเกือบทุกรายที่อยากได้ SSL Certificate แต่ไม่เข้าใจว่าทำไมต้องมาตอบคำถามมากมายกับทาง CA

ผมได้อธิบายไปแล้วตั้งแต่ตอนที่ 1 ว่า SSL เนี้ย จริง ๆ แล้ว คุณๆ เองสามารถสร้างได้เอง เค้าเรียกว่า Self-Signed SSL Certificate แล้วทำไมคุณต้องมาเสียเงินอีกให้กับใครก็ไม่รู้อีกหล่ะ ซึ่งในตอนที่ 1 ผมพูดแค่การยอมรับของ Client (Browser) ใช้แล้ว Browser ไม่งอแง ถ้ามันแค่นั้น บทความนี่คงไม่เกิดหรอกครับ (ฮา)

จริงๆ แล้ว สิ่งที่เหล่า Certificate Authority ขาย คือ การรับประกันตัวตนของผู้ใช้งาน Certicate ของเค้านั้นเอง ซึ่งถ้า CA รายนั้นมีชื่อเสียงมากเท่าไหร่ ราคาก็ยิ่งแพง ขอเชิญชมราคาของ Verisign (Symantec), Thawte และ Godaddy (ด้วยสินค้าระดับเดียวกันนะครับ)

Brand Product Price / Year
Verisign (Symantec) Secure Site $399.00
Thawte (Symantec) SSL Web Server Certificate $249.00
Godaddy Deluxe SSL $89.99

เชื่อว่าหลายคนดูแล้วต้องงงว่า เฮ้ย ราคาต่างกันเยอะเกิน นี่แหละครับความแตกต่างกันระหว่างชื่อเสียงของ CA ทั้งๆ ที่มันก็เป็น SSL Certificate เหมือนกันแท้ ๆ แต่ทำไม Verisign ถึงแพงจริง แล้วมันจะขายออกเหรอ งั้นมาดู Market Share กัน

image

refer: http://w3techs.com/technologies/overview/ssl_certificate/all

Symantec Group (Verisign/Thawte/Geotrust) กินตลาดไปประมาณ 43.2 % ทั้ง ๆ ที่มันแพงกว่า Godaddy เยอะ แล้วตัว Godaddy Group เองกลับมีส่วนแบ่งแค่ 14 % เท่านั้น นี่แหละครับ การรับประกันด้วย “ชื่อเสียง” ที่ Certificate Authority ขาย

เริ่มจดทะเบียนกับทาง CA

หลังจากส่งข้อมูล (รวมทั้ง CSR) ให้กับทาง CA แล้ว ก่อนที่จะออก Digital Certificate ให้ ทาง CA ก็จะมีตรวจสอบข้อมูลของผู้ที่มาขอจดทะเบียนก่อน ซึ่งทั้งนี้จะมีอยู่หลายระดับ ขึ้นกับตัว Product ของทาง CA เอง ซึ่งปัจจุบันจะมีสินค้าอยู่ 3 ระดับ ซึ่งมีผลต่อความน่าเชื่อถือเช่นกัน

domain-validated certificates (Level 1 Authentication)

Certificate นี่จะออกได้เมื่อทาง CA ได้ตรวจสอบข้อมูล CN ใน CSR กับ Domain ว่าเป็นบริษัทเดียวกันหรือไม่ ทั้งนี้อาจจะจำเป็นที่จะต้องได้รับการ Approve จากทางเจ้าของ Domain ด้วย (ขึ้นอยู่กับ Policy ของ CA รายนั้นๆ)

[ข้อดี]
– สามารถจดได้ง่าย และ เร็ว (ปกติไม่เกิน 1 วัน)
– ราคาถูกกว่า Certificate แบบอื่น

[ข้อเสีย]
– ความน่าเชื่อถือต่ำ (ใน Certificate รับรองเฉพาะ CN เท่านั้น)

[เหมาะกับใคร]
– Intranet Website
– Internal Communication (เช่น Facebook Page)

Organization-Validated Certificate (Level 2 Authentication)

Certificate นี่จะออกได้เมื่อทาง CA ได้ตรวจสอบข้อมูล CN และ องค์กรที่ขอจดทะเบียน แล้ว ซึ่งการจดทะเบียนขั้นที่ 2 จะใช้เวลามากกว่าขั้นที่ 1 โดยจะใช้เวลาประมาณ 1 – 2 สัปดาห์ ทั้งนี้ขึ้นกับตัวองค์กรด้วย โดยการตรวจสอบข้อมูลองค์กรนั้นส่วนใหญ่จะถูกตรวจสอบผ่านทาง 3rd Party ต่าง ๆ แต่จะต้องไม่ใช่ข้อมูลที่สร้างมาจากองค์กร (เช่น Website ของบริษัท เป็นต้น) ซึ่งปกติในระดับสากลจะใช้ Dun & Bradstreet เป็นต้น

สำหรับข้อมูลที่ใช้นั้นส่วนใหญ่จะต้องถูกกรอกเข้าไปในขั้นตอนการลงทะเบียนอยู่แล้ว ซึ่งถ้าข้อมูลที่ลงทะเบียนนั้นถูกต้องขั้นตอนนี้ก็จะเสร็จสิ้นได้ไม่ยาก ซึ่งในสถานการณ์ปกติ การใช้เอกสารการจดทะเบียน บ. ในการยืนยันเป็นวิธีที่ง่ายที่สุด แต่…!!

ปัญหาของ บริษัทไทย คือ การที่ไม่ได้มีงานเอกสารภาษาอังกฤษ ในขณะที่ CA ส่วนมากจะอยูู่ที่ต่างประเทศ และ ไม่เข้าใจภาษาไทย ซึ่งทางออกที่ผมจะแนะนำได้มีอยู่ 2 – 3 แบบครับ

1. แปลเอกสาร แล้วนำไปรับรองที่ กรมการกงศุล อันนี้ถือเป็นวิธีที่ดีที่สุด แต่ก็งานช้างที่สุด เพราะ ไหนจะต้องแปล ไหนจะต้องไปยื่นคำร้องอีก…เยอะครับ !!
2. ใช้พวกเอกสารค่าใช้จ่ายที่ออกจาก 3rd Party ที่น่าเชื่อถือ เช่น ใบแจ้งหนี้ค่าโทรศัพย์ ซึ่งแน่นอน ชื่อของ บ. ก็ต้องเป็นภาษาอังกฤษด้วย…อาจจะลำบากครับ
3. การได้รับการรับรองลายมือชื่อจากสำนักงานกฏหมาย ที่ได้รับอนุญาตในการทำเรื่อง Notarial services Attorney ซึ่งอันนี้ง่ายสุด และ อาจจะแพงสุดด้วย

แต่ปกติผมจะแนะนำให้ลองคุยกับทาง CA ก่อนน่ะ เพราะ เค้าจะสามารถแนะนำ Checkpoint ให้เราได้ เวลาผมเจรจา บางกรณีก็ใช้พวก Directory Website อย่างสมุดหน้าเหลืองก็ใช้ได้เหมือนกัน

หลังจากการตรวจสอบข้อมูลองค์กรเสร็จสิ้นก็จะปิดท้ายด้วยการตรวจสอบตัวตนของผู้จดทะเบียน (Administrative Contact) เอง ซึ่งมีเงื่อนไข คือ จะต้องเป็นพนักงาน Full-Time ที่มีตัวตนอยู่จริงในบริษัท (ไม่ใช่ Part-time และ Contract)

[ข้อดี]
– มีความน่าเชื่อถือระดับกลาง
– ใน Certificate รับรองข้อมูลใน CSR ทั้งหมด
– หลายแห่งรองรับการใช้งานแบบ SAN option (หลายชื่อ)

[ข้อเสีย]
– ไม่สามารถทำเสร็จได้ใน 1 วัน
– ขั้นตอนตรวจสอบเป็นสากล…เกินไป (โดยเฉพาะ บริษัทคนไทย)

[เหมาะกับใคร]
– Internet Website ทั่วไป

Extended-Validated Certificate (Level 3 Authentication)

เป็น Certificate ระดับสูงสุด (และแพงที่สุด) และมีความน่าเชื่อถือที่สุด เป็นมาตรฐานใหม่ของ Certificate ซึ่งจัดตั้งโดยกลุ่ม CA/Browser (CAB) Forum ผู้ที่ใช้ SSL Certificate with Extended Validation (EV) จะได้รับ Greenbar เพื่อรับรองว่า Website นั้นน่าเชื่อถือที่สุด และ ผมรับรองว่ามันหล่อสุดๆ จริง ๆ ครับ

อันนี้เป็นของลูกค้าของผมรายนึงที่เค้าผ่าน EV มาได้ สุดยอดครับ

image_thumb17_thumb

แน่นอนว่า การทำ EV ก็ต้องผ่าน 2 Step เช่นกัน แต่ถ้าเป็นเกมก็จะเรียกว่า Hard Mode คือ หินโคตร ๆ เพราะ มันจะเพิ่มขั้นตอนการทำ Validation ขึ้นไปอีก (ตอนนี้ผมก็กำลังช่วยมีลูกค้าอยู่รายนึงอยู่ แต่กำลังใจเค้าเริ่มจะหมดแล้ว เพราะ มันเหนือยจริง ๆ ครับ)

สิ่งที่เพิ่มเติมมานั้น คือ ขั้นตอนทางด้านเอกสาร และ กฏหมาย ผู้จดทะเบียนจะต้องได้รับการรับรองจากตัวองค์กรว่าเป็นผู้ที่ได้รับการมอบหมายให้ดูแลการจดทะเบียน EV อย่างถูกต้อง โดยการเช็นชื่อรับรองใน Acknowledgemant of Agreement ซึ่งจะต้องมีการวางคู่กับการรับรองทางกฏหมายของทีมกฏหมายของบริษัท (หรือ บริษัททนายความที่ดูแลผลประโยชน์ของบริษัท) เรียกว่า Legal Option Letter (หรือ Professional Opinion Letter) ซึ่งทั้ง 2 ส่วนจะต้องได้รับการตรวจสอบเช่นกันว่ามีตัวตนอย่างถูกต้อง

ผู้ที่เป็น Organization Contact จะถูกตรวจสอบไปที่ HR ของบริษัท

ส่วนผู้รับรอง Legal Opinion Letter จะถูกตรวจสอบไปที่ LAWYERS COUNCIL (สภาทนายความ)

ถ้ารอดตรงนี้มาได้การจะได้ Green Bar มาครอบครองก็ไม่ยากแล้วครับ

[ข้อดี]
– มีความน่าเชื่อถือระดับสูงสุด
– ใน Certificate รับรองข้อมูลใน CSR ทั้งหมด
– ได้รับ Greenbar ซึ่งแสดงชื่อของบริษัทออกมาบน Address Bar ซึ่งเพิ่มความน่าเชื่อถืออย่างมาก

[ข้อเสีย]
– ไม่สามารถทำเสร็จได้ใน 1 สัปดาห์
– ขั้นตอนตรวจสอบเป็นสากล…เกินไป (โดยเฉพาะ บริษัทคนไทย)
– ค่อนข้างจะตรวจสอบลึกถึงเรื่องราวภายในบริษัท ซึ่งส่วนใหญ่จะเสียเวลาตรงนี้
– มีอายุการใช้งานค่อนข้างต่ำกว่า Certificate มาตรฐาน (ไม่เกิน 2 ปี)

[เหมาะกับใคร]
– Internet Website ที่มีการทำการเกี่ยวข้องกับข้อมูลที่เป็นความลับ
– Internet Website ที่มีการทำการเกี่ยวข้องกับการเงิน
– Internet Website ที่เกี่ยวข้องกับบัตรเครดิส

ซึ่งในความเป็นจริง ไม่ใช่ทุก Product ที่จะรองรับ Authentication Level ทุกระดับ เมื่อเอามาจับคู่กับ Product แล้วจะมีลักษณะดังนี้ครับ

Level 1 Level 2 Level 3
SSL Certificate Available Available Available
SSL SAN Certificate * Available Available Available
SSL Wildcard Certificate Available Available None

* SAN Certificate จะขึ้นกับ Certificate แต่ละราย อาจจะแตกต่างกันครับ

ซึ่งมาถึงตรงนี้ ขอสรุปนิดนึงว่าก่อนจะซื้อ SSL Certificate อาจจะดูที่วัตถุประสงค์การใช้งานก่อน ว่าคุณจะเอาไปใช้กับงานอะไร, ใครเป็นผู้ได้รับประโยชน์กับ SSL Certificate ตัวนี้ เพราะ จริง ๆ มันเป็นแค่การขายการรับประกันความปลอดภัยให้กับลูกค้า ดังนั้นไม่ใช่ว่า “ถูกก็พอ” หรือ “แพงไว้ก่อน” แน่นอนครับ

บทความแรก – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 1)
บทความสอง – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 2)

About yuttanah

Just the Line who Live in Live way
This entry was posted in SSL Certificate and tagged , , . Bookmark the permalink.

Leave a comment