{ freetool24 }
Network Tools

SSL/TLS Certificates อธิบายแบบเข้าใจง่าย (ไม่มีศัพท์เทคนิคซับซ้อน)

HTTPS certificates ทำงานอย่างไร ทำไมเบราว์เซอร์ถึงแจ้งเตือน และวิธีตรวจสอบวันหมดอายุและปัญหา chain บนโดเมนของคุณเอง

7 นาทีในการอ่าน

Security lock concept

เมื่อคุณเห็นไอคอนกุญแจในเบราว์เซอร์ นั่นหมายความว่า TLS (ที่หลายคนยังคุ้นเคยในชื่อ SSL) กำลังเข้ารหัสการรับส่งข้อมูลระหว่างคุณกับเซิร์ฟเวอร์ Certificate คือสิ่งที่ผูก public key เข้ากับชื่อโดเมน (และบางครั้งรวมถึงตัวตนของบริษัท) เพื่อให้เบราว์เซอร์ยืนยันได้ว่าคุณกำลังคุยกับเว็บไซต์จริง ไม่ใช่ผู้แอบอ้างบน Wi‑Fi เดียวกัน

Certificate พิสูจน์อะไรได้บ้าง

  • Domain Validation (DV) — ยืนยันว่าคุณควบคุมโดเมนนั้น ผู้เข้าชมได้รับการเข้ารหัส แต่การยืนยันตัวตนมีจำกัด
  • Organization Validation (OV) / Extended Validation (EV) — ตรวจสอบนิติบุคคลอย่างเข้มงวดมากขึ้น โดย EV เคยแสดงแถบสีเขียวในเบราว์เซอร์ แต่ปัจจุบันไม่โดดเด่นเหมือนเดิมแล้ว

สำหรับเว็บไซต์ทั่วไป DV certificates ฟรี จาก Let's Encrypt ก็เพียงพอแล้ว ทั้งการเข้ารหัสและการต่ออายุอัตโนมัติ

Certificate chain คืออะไร

เบราว์เซอร์เชื่อถือ root CAs ที่ติดมาพร้อมกับระบบปฏิบัติการ เซิร์ฟเวอร์ของคุณส่ง leaf cert + intermediates และเบราว์เซอร์จะเชื่อมสาย chain ขึ้นไปหา root ที่เชื่อถือได้ หาก intermediate ขาดหายไป บาง client จะแสดงข้อความ "certificate not trusted" แม้ว่า OpenSSL บนเครื่องของคุณจะดูปกติก็ตาม

ตั้งค่าเซิร์ฟเวอร์ให้ส่ง full chain เสมอ ตามที่ CA ของคุณระบุไว้

วันหมดอายุและการต่ออายุ

Certificate มีวันหมดอายุ Let's Encrypt ออก cert อายุสั้น (90 วัน) เพื่อส่งเสริมการทำงานแบบอัตโนมัติ ตั้งค่า ACME renewal (Certbot, Caddy, Traefik หรือแผงควบคุมของโฮสต์คุณ) และตรวจสอบความล้มเหลวอยู่เสมอ

Certificate ที่หมดอายุจะทำให้เกิดปัญหากับ:

  • HTTPS สำหรับผู้ใช้
  • APIs ที่ pin TLS หรือใช้ client ที่เข้มงวด
  • Webhooks หาก receiver ของคุณตรวจสอบ outbound TLS ได้ไม่ดีพอ

hostname ไม่ตรงกัน

Cert สำหรับ www.example.com อาจไม่ครอบคลุม example.com นอกจาก SAN entries จะระบุทั้งคู่ หรือใช้ wildcard *.example.com (ซึ่ง ไม่ครอบคลุม bare apex)

ใช้ SSL Checker ของเราเพื่อดูวันหมดอายุ issuer และความครอบคลุมของ hostname จากมุมมองของอินเทอร์เน็ตสาธารณะ

DNS ก่อน TLS

TLS ขึ้นอยู่กับการที่ client เข้าถึง IP ที่ถูกต้อง หลังจากการย้ายระบบ ให้ยืนยัน A/AAAA/CNAME records ด้วย DNS Lookup ก่อนที่จะเสียเวลา debug cipher suites

หาก HTTP redirects ทำงานผิดปกติ HTTP Status Checker จะช่วยตรวจสอบ chain ของ 301/302 จาก httphttps

Checklist เชิงปฏิบัติ

  • เปิดใช้ HTTPS ทุกที่ และ redirect HTTP ด้วย 301
  • เปิดใช้ HSTS เฉพาะเมื่อมั่นใจแล้วว่าทุก subdomain รองรับ HTTPS
  • ทำให้การต่ออายุเป็นอัตโนมัติ และแจ้งเตือนเมื่อเหลือ น้อยกว่า 14 วัน ก่อนหมดอายุ
  • ทดสอบจาก เครือข่ายมือถือ และ corporate proxies ไม่ใช่แค่จากออฟฟิศของคุณ

HTTPS คือพื้นฐานที่ขาดไม่ได้สำหรับ SEO ความปลอดภัย และความเชื่อมั่นของผู้ใช้ และการแก้ปัญหา chain หรือ hostname มักใช้เวลาน้อยกว่าที่คิด เมื่อคุณรู้แล้วว่าต้องมองหาอะไร

กลับไปบทความทั้งหมดดูเครื่องมือ