เว็บเซิร์ฟเวอร์ที่อยู่หลัง Load balancer ต้องติดตั้งใบรับรอง SSL หรือไม่?

เมื่อคู่แข่งโรงพยายนต์ไม่ใช่ Netflix แต่เป็นเวลาของ Consumers หรือผู้บริโภค

แล้ว SSL Certificate Providers คู่แข่งคือใคร?
ใครซื้อ SSL จาก Certificate Providers?

เมื่อผู้ให้บริการ Cloud Providers ต่าง ๆ ก็ออกใบรับรอง SSL ให้กับโฮสต์เซิร์ฟเวอร์บนคลาวด์ของตนเองได้…

Fact! ความจริงจาก DoubleClick โดย Google พบว่า…
53% ของการเข้าชมไซต์บนมือถือจะถูกไถปิดหน้าเว็บทันทีหากหน้าเว็บใช้เวลาโหลดนานกว่า 3 วินาที!!

อนาคตการเพิ่มประสิทธิภาพประสบการณ์ของผู้ใช้มือถือในการเยี่ยมชมเว็บจะเป็นโปรโตคอลที่ทันสมัย เช่น HTTP/2 และ QUIC

QUIC + HTTP/3

โพสนี้แอดชวนเล่าเรื่องของ Cloud CDN สมัยใหม่
ที่ใช้เครือข่าย Anycast เพื่อกำหนดเส้นทางคำขอเยี่ยมชมเว็บไปยังศูนย์ข้อมูล Datacenter ที่ใกล้ที่สุด และเครื่องเซิร์ฟเวอร์ที่อยู่ในศูนย์ข้อมูลยังถูกออกแบบเฉพาะ มาเพื่อใช้งานกับคุณสมบัติเฉพาะ เช่น cache CDN, ระบบไฟร์วอลล์การป้องกัน DDoS ตัวอย่างผู้ให้บริการ เช่น Cloudflare และ Google Cloud CDN เป็นต้น

ปัจจุบันการปกป้องรูปแบบการโจมตีเว็บไซต์แบบ DDoS
ซูโลชันแทบไม่ต้องมองหา third-party ที่ไหน (DDoS solutions) เพราะฟีเจอร์ป้องกันนี้ติดมาพร้อมบริการ Load Balancing

เช่น Google Cloud Launcher หรือ Cloudflare
เราเพียงเปิดใช้งาน HTTP (S) Load Balancing หรือ SSL proxy Load Balancing ก็ได้ระบบป้องกัน DDoS ไปในตัวครับ

  • ด้วยโปรโตคอลที่ทันสมัยที่สุดในเวลานี้ HTTP/2 และ QUIC ที่พร้อมใช้บนผู้ให้บริการ CDN
  • ด้วย HTTP (S) Load Balancing เป็นตัวจัดสรรภาระงานกระจายให้กับเซิร์ฟเวอร์ (อินสแตนซ์ หรือ คอนเทนเนอร์) ที่รันกระจายในหลายภูมิภาค
  • แม้จะโดนโจมตีก็ไม่กระทบไปยังอินสแตนซ์ต่าง ๆ ทั่วโลก (โซนอื่น ๆ ยังเข้าเยี่ยมชมเว็บได้)
  • ในกรณีที่มีการโจมตี DDoS เนื่องจากเป็น Frontend infrastructure (HTTP Load Balancing) สามารถสั่งยุติการรับส่งข้อมูลของผู้ใช้ที่ดูแล้วเป็นการโจมตีได้
  • ป้องกันด้วย CDN Offloading ที่เป็น Anycast-based Load Balancing – การเข้าชมเว็บของผู้ใช้จะถูกส่งไปยังแบ็กเอนด์เซิร์ฟเวอร์ในศูนย์ข้อมูลที่ใกล้ที่สุด
  • ตั้งค่าผ่านเว็บแอปพลิเคชันบล็อก IPs/IP network ได้ตามต้องการ
  • ออกใบรับรอง SSL (HTTPS) ต่ออายุให้โฮสต์อัตโนมัติ

จากข้างบนที่เล่ามาเป็นสิ่งที่จะเกิดขึ้นแล้วเมื่อย้ายโฮสต์ไปรันบนแพลตฟอร์มคลาวด์ครับ…

เมื่อผู้ให้บริการ Cloud Providers ต่างก็ออกใบรับรอง SSL ให้กับโฮสต์เซิร์ฟเวอร์บนคลาวด์ของตนเองได้
(หรือที่เรียกว่า managed certificate service)

แล้วใครซื้อ SSL จาก SSL Provider…??

ตัวอย่างเช่น
หากเราใช้บริการ Google Cloud ทางกูเกิลก็สามารถออกใบรับรอง (SSL และรองรับ TLS) สำหรับโฮสต์เว็บเซิร์ฟเวอร์เพื่อให้บริการคอนเท็นต์เว็บของเราอย่างปลอดภัยและปกป้องข้อมูลผู้ใช้ได้

certificate service นี้จัดการออกโดย Google ที่ทั้งฟรี (ไม่มีค่าใช้จ่ายใด) อีกทั้งยังต่ออายุอัตโนมัติ

แล้วใครจะซื้อ SSL จากจาก Certificate Providers…???

โดยทั่วไปแล้วโฮสต์เว็บไซต์หรือเว็บแอปพลิเคชั่น, API Gateway ที่ต้องการใช้งาน SSL (https) นั้นจะต้องเสียค่าใช้จ่ายในการขอใบรับรองจาก CA (Certificate Authority) ซึ่งเป็นผู้ที่ออกใบรับรองให้ และในปัจจุบันมีผู้ให้บริการออกใบรับรอง SSL อยู่หลากหลายค่ายที่มีชื่อเสียงในอันดับต้น ๆ เช่น

1. Comodo SSL
2. DigiCert
3. Entrust Datacard
4. GeoTrust
5. GlobalSign
6. GoDaddy
7. Network Solutions
8. RapidSSL
9. SSL com
10. Thawte

ทิ้งท้าย ตลาด SSL จะเป็นยังไงถัดจากนี้…

เว็บเซิร์ฟเวอร์ที่อยู่หลัง Load balancer ต้องติดตั้งใบรับรอง SSL หรือไม่

ยกตัวอย่าง หากคุณมี 3 Node เป็นเว็บเซิร์ฟเวอร์โดเมนเดียวกันที่รันอยู่หลัง Load balancer (LiteSpeed ADC, NGINX, Apache Balancer และ HAProxy) จำเป็นต้องติดตั้ง SSL สำหรับเซิร์ฟเวอร์ทั้งหมดไหม?

คำตอบ ขึ้นอยู่กับว่า…
ถ้าทำโหลดบาลานซ์บน TCP (Layer 4) แล้วเว็บเซิร์ฟเวอร์ทั้ง 3 โหนดรัน HTTP เซิร์ฟเวอร์ทั้งหมด ลักษณะนี้คุณต้องติดตั้งใบรับรอง SSL (HTTPS) ทั้งหมด และต้องให้แน่ใจว่าแต่ละโฮสต์เซิร์ฟเวอร์ได้รับใบรับรองอย่างถูกต้องสำหรับโดเมน เช่น api.domain.com, shop.domain.com เป็นต้น

(ผู้ใช้)อินเทอร์เน็ต -> Frontend (โหลดบาลานซ์ L3/4) -> Backend (เลเยอร์ L7 SSL) -> โหลดบาลานซ์โหนด (เลเยอร์แอปพลิเคชันเซิร์ฟเวอร์ L7 HTTP)

แต่หากคุณทำโลลดบาลานซ์บน Layer 7 จำเป็นต้องติดตั้งใบรับรอง SSL (HTTPS) บนเซิร์ฟเวอร์โหนดนี้เพียงอย่างเดียวได้ ซึ่งจะช่วยเพิ่มประสิทธิภาพที่ดีที่สุดให้กับเว็บเซิร์ฟเวอร์และลดปริมาณการรับส่งข้อมูล SSL ทั้งหมด โดยที่เครื่องเว็บเซิร์ฟเวอร์ไม่จำเป็นต้องติดตั้งใบรับรอง SSL.

Scroll to top