หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง
รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ
แต่ก่อนที่เราจะข้ามไปดูผลสำรวจประจำปีนี้ ก็ขอสรุปเหตุการณ์สำคัญๆ ด้านความปลอดภัยบนเว็บ ที่เกิดขึ้นในช่วงปีที่ผ่านมาก่อนครับ
หากพูดเรื่องการออกแบบความปลอดภัย ก็คงจะหลีกเลี่ยงประเด็นที่ต้องเลือกระหว่างความปลอดภัยหรือการใช้งาน (security vs usability) ไปไม่ได้ ดังเช่นมีมต่อไปนี้
รูปที่ 1: สิ่งที่ผู้ใช้รับรู้เมื่อพบเจอหน้าจอเตือนความปลอดภัย -- ภาพจาก reddit
ซึ่งส่วนสำคัญส่วนหนึ่งก็อาจมาจากการออกแบบส่วนติดต่อผู้ใช้ (user interface) ไม่ดีพอ ทำให้เบราเซอร์หลักๆ อย่าง Google Chrome และ Firefox ปรับปรุงส่วนนี้ใหม่โดยแสดงข้อความว่า "ปลอดภัย (secure)" หรือ "ไม่ปลอดภัย (not secure)" ตามท้าย แทนที่จะใช้เพียงรูปกุญแจสีเขียวเพียงอย่างเดียว
รูปที่ 2: ข้อความแสดงว่าเว็บไซต์ปลอดภัยของ Google Chrome และ Firefox
รูปที่ 3: ข้อความแสดงว่าเว็บไซต์ไม่ปลอดภัย เนื่องจากมีแบบฟอร์มที่ไม่ได้วิ่งบน HTTPS
อย่างไรก็ตาม ยังมีเว็บไซต์อีกประเภทหนึ่งที่เบราว์เซอร์เตือนว่าไม่ควรเสี่ยงเปิด ถึงแม้ว่าเว็บนั้นจะรองรับ HTTPS ก็ตาม นั่นก็เพราะว่ามีข้อผิดพลาดบางอย่างเกี่ยวกับใบรับรองของเว็บนั้นๆ
รูปที่ 4: ข้อความแสดงว่าไม่ควรเปิดเว็บไซต์ดังกล่าว เนื่องจากใบรับรองมีข้อผิดพลาด
จุดเปลี่ยนแปลงครั้งใหญ่อีกอย่างหนึ่งในปี 2017 นี้ คือการที่เบราว์เซอร์ต่างๆ เลิกเชื่อถือ ใบรับรองที่แฮชด้วยอัลกอริทึม SHA-1 ทั้งหมด โดย Edge/IE เลิกเชื่อถือช้าที่สุดคือเมื่อเดือนกุมภาพันธ์ที่ผ่านมา ในขณะที่ Chrome และ Firefox เลิกเชื่อถือใบรับรองแบบดังกล่าวมานานแล้ว รายละเอียดเพิ่มเติม
ในขณะที่ทำบทสำรวจนี้ ผมไม่พบว่ามีเว็บไซต์ใดที่แฮชใบรับรองแบบ SHA-1 แล้วครับ
จากกรณีที่ Symantec ออกใบรับรองโดยไม่ได้รับอนุญาตเมื่อต้นปีที่ผ่านมา ทาง Google ได้ออกมาตรการลงโทษโดยการลดอายุใบรับรองลง พร้อมทั้งวางแผนว่าจะเลิกแสดงใบรับรองแบบ EV ที่ออกโดย Symantec ในอนาคต แต่ปรากฏว่าผู้ใช้งาน Google Chrome ที่เพิ่งอัพเดทเบราว์เซอร์จำนวนมากกลับมองไม่เห็นใบรับรองแบบ EV ที่ออกโดย Symantec แล้ว ซึ่งก็เป็นเรื่องน่าประหลาดใจพอสมควรเพราะการเปลี่ยนแปลงครั้งนี้ไม่กระทบกับใบรับรองแบบ EV ที่ออกโดย Symantec ทุกใบ หลังจากการไล่หาสาเหตุดังกล่าว กลับพบว่านี่เป็นเพียงบั๊กของ Google Chrome เท่านั้น และทางต้นน้ำได้รับทราบและแก้ไขข้อผิดพลาดนี้ไปแล้ว สิ่งที่ฝั่งผู้ใช้ต้องทำก็มีเพียงแค่นั่งรอการอัพเดทเบราว์เซอร์ตามรอบเท่านั้นครับ
แต่สำหรับบทความตอนนี้ จะขอยึดถือเบราว์เซอร์ตัวอื่นสำหรับการตรวจสอบการแสดงผลใบรับรองแบบ EV ไปก่อน
เรายังแบ่งรูปแบบการรองรับ HTTPS ออกเป็น 6 กลุ่มด้วยกัน โดยมีรายละเอียดดังนี้
https://
หรือว่าใช้เครื่องมืออย่าง HTTPS Everywhere) เพื่อใช้งานตามจุดประสงค์หลักของเว็บในกลุ่มนั้นได้เช่นเดียวกับปีที่ผ่านมา เราได้แบ่งเว็บไทยออกเป็น 5 หมวด แยกตามประเภทการใช้งาน ซึ่งประกอบไปด้วย
ด้านเกณฑ์การเลือกเว็บมาสำรวจ เราวางแนวทางการเลือกไว้ 3 แนวทางด้วยกัน แล้วเอาผลลัพธ์จากทุกแนวทางมารวมกัน เพื่อรับประกันว่าจะได้เว็บไทยที่เป็นที่นิยมในขณะนี้
ส่วนที่เปลี่ยนไปตามวันเวลา คือ เราอัพเดทเว็บเบราว์เซอร์ที่ใช้สำรวจให้ตรงตามยุคสมัย ซึ่งมีรายละเอียดดังนี้
จากเว็บไทยจำนวน 127 เว็บที่เราทำการสำรวจในระหว่างวันที่ 4-5 เมษายน 2017 ได้ผลออกมาดังนี้ (ไฟล์ข้อมูลตารางโดยละเอียด)
เนื่องจากสื่อยุคเก่าเริ่มไม่ตอบโจทย์ชีวิตออนไลน์ สื่อยุคใหม่จึงเกิดขึ้นเป็นจำนวนมาก ในหมวดนี้เราให้ความสนใจไปที่กลุ่มหนังสือพิมพ์และนิตยสารออนไลน์มากเป็นพิเศษ ซึ่งจะเห็นได้จากจำนวนที่เพิ่มขึ้นอย่างมากนั่นเองครับ
ตารางที่ 1: การรองรับ HTTPS ของเว็บข้อมูลข่าวสาร
นอกจากการเสพสื่อแล้ว การซื้อขายออนไลน์ก็ดูจะเป็นวิถีชีวิตยุคใหม่ที่มาแรงในยุคนี้ เราเพิ่มเว็บอีคอมเมิร์ชเจ้าใหม่ๆ ที่ก้าวเข้ามาแย่งส่วนแบ่งในตลาดจำนวนมาก ไม่ว่าจะเป็นเว็บที่ขายของทั่วไป หรือเว็บขายของเฉพาะทางอย่างอุปกรณ์คอมพิวเตอร์ หนังสือ หรือบริการจัดส่งอาหาร
ย้ำอีกครั้งว่าเกณฑ์การใช้งานได้อย่างสมบูรณ์ของเว็บในหมวดนี้ คือ สามารถค้นหาสินค้า อ่านข้อมูลและภาพประกอบสินค้า และเลือกสินค้าลงตระกร้าได้ ส่วนระบบจ่ายเงินนั้นเราไม่ได้เอามาพิจารณาร่วมด้วยครับ
อนึ่ง เนื่องจาก Ensogo ปิดกิจการในไทยเรียบร้อยแล้ว เราจึงตัดเว็บนี้ออกจากการสำรวจครับ
ตารางที่ 2: การรองรับ HTTPS ของเว็บอีคอมเมิร์ซ
ตารางที่ 3: การรองรับ HTTPS ของเว็บธนาคาร
จุดที่น่าสังเกต คือ ธนาคาร TISCO ไม่ได้แยกโดเมนของหน้าเว็บข้อมูลกับหน้าเว็บธุรกรรมออกจากกันดั่งเช่นธนาคารอื่นๆ ซึ่งในแง่หนึ่งก็ถือว่าเป็นเรื่องน่าชื่นชมเพราะทำให้ลูกค้าธนาคารไม่สับสนกับโดเมนอันมากมายหลากหลายที่มี อย่างไรก็ตามธนาคารดังกล่าวไม่ได้ใช้ใบรับรองแบบ EV เหมือนเจ้าอื่นครับ
น่าเสียดายว่าเว็บเครือข่ายสังคมของไทยดูเหมือนผ่านยุครุ่งโรจน์ไปแล้ว อาจเป็นเพราะการเข้ามาของเว็บอย่าง Facebook และ Instagram ที่ตอบโจทย์เกือบทั้งหมดของผู้ใช้ไปเรียบร้อยแล้ว ทำให้เราไม่สามารถเสาะหาเว็บที่เข้าข่ายมาเพิ่มในหมวดนี้ได้เยอะเท่าไรครับ
ตารางที่ 4: การรองรับ HTTPS ของเว็บเครือข่ายสังคม
ตารางที่ 5: การรองรับ HTTPS ของเว็บหน่วยงานรัฐ
รูปที่ 9: เปอร์เซ็นต์การรองรับ HTTPS แยกตามประเภทเว็บ
จากรูปที่ 9 ซึ่งแสดงถึงข้อมูลการรองรับ HTTPS ของเว็บทั้งหมดที่สำรวจในปี 2017 นี้ เราจะเห็นได้ชัดว่าเว็บกลุ่มที่ยังไม่รองรับ HTTPS เป็นปริมาณมาก ได้แก่กลุ่มหน่วยงานรัฐ เว็บข่าว และเว็บข้อมูลธนาคาร
สำหรับเว็บกลุ่มหน่วยงานรัฐ แม้จะน่าเป็นห่วงเพราะว่าเป็นเว็บที่ควรต้องสร้างความน่าเชื่อถือให้แก่ผู้ใช้งานมากที่สุด แต่ก็เข้าใจได้ว่าการปรับตัวของหน่วยงานรัฐนั้นมีความหนืดสูงกว่าหน่วยงานเอกชนหรือหน่วยงานอิสระ อนึ่ง หากดูไล่เป็นรายเว็บไปโดยนำข้อมูลเปรียบเทียบกับปีก่อน ก็อาจนับว่าเว็บกลุ่มนี้มีพัฒนาการที่น่าสนใจเลยทีเดียว
ด้านข้อมูลข่าวสารนั้น ก็มีพัฒนาการรายเว็บเทียบกับปีก่อนเป็นอย่างดีเช่นกัน และด้วยธรรมชาติของเว็บเหล่านี้ที่เน้นการเผยแพร่ข้อมูลเป็นหลัก ไม่ได้มุ่งสร้างเครือข่ายสังคมที่ให้สมาชิกมาโต้ตอบกัน การใช้ HTTP เพื่อเผยแพร่ข้อมูลอาจนับว่าเป็นเรื่องที่ยอมรับได้
ส่วนที่น่าเสียดายมากที่สุดคงหนีไม่พ้นกลุ่มเว็บข้อมูลธนาคาร ทั้งที่ภายในหน่วยงานสามารถสร้างเว็บที่มีความปลอดภัยสูงให้ผู้ใช้เชื่อใจและทำธุรกรรมทางการเงินได้ แต่กลับปล่อยให้หน้าเว็บข้อมูลให้ขึ้นเตือนว่าไม่ปลอดภัย ทิ้งใบรับรองแบบ EV ให้อยู่เพียงแค่หน้าธุรกรรมเท่านั้น
อย่างไรก็ตาม เมื่อเปรียบเทียบกับการสำรวจในปี 2016 ที่ผ่านมา จะพบว่าเว็บส่วนมากมีระดับการจัดกลุ่มที่ดีขึ้น จะมีเพียงบางเว็บที่ลืมต่ออายุใบรับรอง หรือย้ายโดเมนแล้วไม่ได้ขอใบรับรองใหม่เท่านั้นที่มีคะแนนต่ำลง หวังว่าการสำรวจครั้งนี้จะกระตุ้นให้คนทำเว็บหลายๆ คนหันมาสนใจเรื่องความปลอดภัยกันมากขึ้นครับ