ACME Protocol Site Reliability SRE — จัดการ SSL

ACME Protocol SRE

ACME Protocol SSL TLS Certificate Let's Encrypt Certbot SRE Site Reliability Engineering SLO SLI Error Budget Automation Monitoring Toil Reduction Incident Management

CA	ราคา	Type	อายุ	Automation
Let's Encrypt	ฟรี	DV	90 วัน	ACME Full
ZeroSSL	ฟรี/Paid	DV	90 วัน	ACME
DigiCert	$200+/yr	DV/OV/EV	1 ปี	API
Sectigo	$100+/yr	DV/OV/EV	1 ปี	API
Cloudflare	ฟรี	DV	Auto	Full Auto

ACME Certificate Automation

# === ACME Certificate Setup ===

# Certbot — Let's Encrypt
# sudo apt install certbot python3-certbot-nginx
#
# # Issue Certificate (HTTP-01 Challenge)
# sudo certbot --nginx -d example.com -d www.example.com
#
# # Issue Certificate (DNS-01 Challenge — Wildcard)
# sudo certbot certonly --dns-cloudflare \
#   --dns-cloudflare-credentials /etc/cloudflare.ini \
#   -d '*.example.com' -d example.com
#
# # Auto-renewal (cron)
# # 0 0 1 * * certbot renew --quiet --deploy-hook "systemctl reload nginx"
#
# # Check Certificate
# sudo certbot certificates

# acme.sh Alternative
# curl https://get.acme.sh | sh
# acme.sh --issue -d example.com -d www.example.com --nginx
# acme.sh --install-cert -d example.com \
#   --key-file /etc/ssl/private/key.pem \
#   --fullchain-file /etc/ssl/certs/fullchain.pem \
#   --reloadcmd "systemctl reload nginx"

# Nginx SSL Configuration
# server {
#     listen 443 ssl http2;
#     server_name example.com;
#     ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
#     ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
#     ssl_protocols TLSv1.2 TLSv1.3;
#     ssl_ciphers HIGH:!aNULL:!MD5;
#     ssl_prefer_server_ciphers on;
#     add_header Strict-Transport-Security "max-age=63072000" always;
# }

from dataclasses import dataclass

@dataclass
class CertStatus:
    domain: str
    issuer: str
    expiry_days: int
    auto_renew: bool
    status: str

certs = [
    CertStatus("example.com", "Let's Encrypt", 45, True, "Valid"),
    CertStatus("api.example.com", "Let's Encrypt", 12, True, "Renewing Soon"),
    CertStatus("shop.example.com", "DigiCert", 180, False, "Valid"),
    CertStatus("old.example.com", "Let's Encrypt", -5, False, "EXPIRED"),
    CertStatus("*.example.com", "Let's Encrypt", 60, True, "Valid"),
]

print("=== Certificate Dashboard ===")
for c in certs:
    alert = "ALERT" if c.expiry_days < 14 else "OK"
    print(f"  [{alert}] {c.domain} — {c.issuer}")
    print(f"    Expires: {c.expiry_days}d | Auto-renew: {c.auto_renew} | Status: {c.status}")

SRE Practices

# === SRE: SLO, SLI, Error Budget ===

# SLI (Service Level Indicator)
# - Availability: successful requests / total requests
# - Latency: % requests < 200ms
# - Certificate Expiry: days until expiry > 14

# SLO (Service Level Objective)
# - Availability: 99.95% (21.9 min downtime/month)
# - Latency P99: < 500ms
# - Certificate: Always > 14 days before expiry

# Error Budget
# Monthly budget = 1 - SLO = 0.05% = 21.9 minutes
# Used by incidents, deploys, maintenance

@dataclass
class SLOConfig:
    service: str
    sli: str
    target: str
    current: str
    budget_remaining: str
    status: str

slos = [
    SLOConfig("Web Frontend", "Availability", "99.95%", "99.98%", "85%", "Healthy"),
    SLOConfig("API Server", "Availability", "99.99%", "99.995%", "50%", "OK"),
    SLOConfig("API Server", "Latency P99", "< 500ms", "320ms", "—", "Healthy"),
    SLOConfig("SSL Certs", "Days to Expiry", "> 14 days", "45 days", "—", "Healthy"),
    SLOConfig("Database", "Availability", "99.999%", "99.998%", "20%", "Warning"),
    SLOConfig("CDN", "Cache Hit Rate", "> 95%", "97.2%", "—", "Healthy"),
]

print("\n=== SRE Dashboard ===")
for s in slos:
    print(f"  [{s.status}] {s.service} — {s.sli}")
    print(f"    Target: {s.target} | Current: {s.current} | Budget: {s.budget_remaining}")

Certificate Monitoring

# === Certificate Monitoring & Alerting ===

# Prometheus + Blackbox Exporter
# prometheus.yml
# scrape_configs:
#   - job_name: 'ssl_certs'
#     metrics_path: /probe
#     params:
#       module: [http_2xx]
#     static_configs:
#       - targets:
#         - https://example.com
#         - https://api.example.com
#     relabel_configs:
#       - source_labels: [__address__]
#         target_label: __param_target
#       - target_label: __address__
#         replacement: blackbox-exporter:9115

# Alert Rule
# groups:
#   - name: ssl_alerts
#     rules:
#       - alert: SSLCertExpiringSoon
#         expr: probe_ssl_earliest_cert_expiry - time() < 86400 * 14
#         for: 1h
#         labels: { severity: warning }
#         annotations:
#           summary: "SSL cert expires in < 14 days"
#       - alert: SSLCertExpired
#         expr: probe_ssl_earliest_cert_expiry - time() < 0
#         labels: { severity: critical }

# Python Monitor Script
# import ssl
# import socket
# from datetime import datetime
#
# def check_cert_expiry(hostname, port=443):
#     ctx = ssl.create_default_context()
#     with ctx.wrap_socket(socket.socket(), server_hostname=hostname) as s:
#         s.connect((hostname, port))
#         cert = s.getpeercert()
#         expiry = datetime.strptime(cert['notAfter'], '%b %d %H:%M:%S %Y %Z')
#         days_left = (expiry - datetime.utcnow()).days
#         return days_left

toil_reduction = {
    "Manual Cert Renewal": {"before": "2 hrs/month", "after": "0 (automated)", "saved": "24 hrs/year"},
    "Manual Cert Check": {"before": "1 hr/week", "after": "0 (monitoring)", "saved": "52 hrs/year"},
    "Incident Response": {"before": "4 hrs/incident", "after": "0 (prevented)", "saved": "~20 hrs/year"},
    "Total Toil Saved": {"before": "—", "after": "—", "saved": "~96 hrs/year"},
}

print("Toil Reduction:")
for task, info in toil_reduction.items():
    print(f"  [{task}]")
    print(f"    Before: {info['before']} | After: {info['after']} | Saved: {info['saved']}")

เคล็ดลับ

• Auto-renew: ตั้ง Auto-renewal ทุก Certificate ไม่พึ่ง Manual
• Monitor: Alert ก่อนหมดอายุ 30 วัน ไม่ใช่ 7 วัน
• DNS-01: ใช้ DNS-01 Challenge สำหรับ Wildcard Certificate
• SLO: กำหนด SLO สำหรับ Certificate Expiry เป็น SLI
• TLS 1.3: ใช้ TLS 1.3 เป็นหลัก ปิด TLS 1.0/1.1

แนวทางป้องกันภัยไซเบอร์สำหรับองค์กรไทย

ภัยคุกคามทางไซเบอร์ในปี 2026 มีความซับซ้อนมากขึ้น Ransomware ยังคงเป็นภัยอันดับหนึ่ง โดยผู้โจมตีใช้ AI ช่วยสร้าง Phishing Email ที่แนบเนียนขึ้น องค์กรควรมี Multi-Layered Security ตั้งแต่ Perimeter Defense ด้วย Next-Gen Firewall Endpoint Protection ด้วย EDR Solution และ Network Detection and Response

การฝึกอบรมพนักงานเป็นสิ่งสำคัญที่สุด เพราะ Human Error เป็นสาเหตุหลักของการรั่วไหลข้อมูล ควรจัด Security Awareness Training อย่างน้อยไตรมาสละครั้ง ทำ Phishing Simulation ทดสอบพนักงาน และมี Incident Response Plan ที่ชัดเจน ฝึกซ้อมเป็นประจำ

สำหรับกฎหมาย PDPA ของไทย องค์กรต้องมี Data Protection Officer แจ้งวัตถุประสงค์การเก็บข้อมูลอย่างชัดเจน ขอ Consent ก่อนใช้ข้อมูลส่วนบุคคล มีมาตรการรักษาความปลอดภัยที่เหมาะสม และแจ้งเหตุ Data Breach ภายใน 72 ชั่วโมง

เปรียบเทียบข้อดีและข้อเสีย

ข้อดี	ข้อเสีย
ประสิทธิภาพสูง ทำงานได้เร็วและแม่นยำ ลดเวลาทำงานซ้ำซ้อน	ต้องใช้เวลาเรียนรู้เบื้องต้นพอสมควร มี Learning Curve สูง
มี Community ขนาดใหญ่ มีคนช่วยเหลือและแหล่งเรียนรู้มากมาย	บางฟีเจอร์อาจยังไม่เสถียร หรือมีการเปลี่ยนแปลงบ่อยในเวอร์ชันใหม่
รองรับ Integration กับเครื่องมือและบริการอื่นได้หลากหลาย	ต้นทุนอาจสูงสำหรับ Enterprise License หรือ Cloud Service
เป็น Open Source หรือมีเวอร์ชันฟรีให้เริ่มต้นใช้งาน	ต้องการ Hardware หรือ Infrastructure ที่เพียงพอ

จากตารางเปรียบเทียบจะเห็นว่าข้อดีมีมากกว่าข้อเสียอย่างชัดเจน โดยเฉพาะในแง่ของประสิทธิภาพและความสามารถในการ Scale สำหรับข้อเสียส่วนใหญ่สามารถแก้ไขได้ด้วยการเรียนรู้อย่างเป็นระบบและวางแผนทรัพยากรให้เหมาะสม

สรุป

ACME Protocol SSL Certificate Let's Encrypt Certbot SRE SLO SLI Error Budget Toil Reduction Automation Monitoring Prometheus Nginx TLS Auto-renewal DNS-01 HTTP-01