Tầm quan trọng của SSL/TLS và cách cài đặt nó cho webiste.

Thanh DươngTác giả: Thanh Dương14/12/2020
2031
tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste
ads đầu bài

Google đã giới thiệu giao thức SSL vào năm 2014 như là một tín hiệu xếp hạng SEO, theo đó nếu một website được cài đặt SSL thường sẽ có được thứ hạng cao hơn các website còn lại.

ads giữa bài

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste

Cho đến tháng 7 năm 2018, bản trình duyệt Chrome 68 được phát hành cũng là lúc Google gắn nhãn “không bảo mật” với lời cảnh báo “kết nối của bạn tới website này không an toàn” trên thanh trình duyệt.

Từ đây, những trang web vẫn sử dụng giao thức cũ là http và chưa được chuyển hướng sang giao thức https bằng việc cài đặt chứng chỉ SSL sẽ bị gắn nhãn cảnh báo tới người truy cập. Vấn đề này ảnh hưởng trực tiếp tới cảm nhận của người dùng vì lời nhắc khiến họ cảm thấy bất an khi truy cập website.

Xêm thêm thông tin này tại Blog Google.

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-1

Vậy, SSL là gì?

Về cơ bản SSL (viết tắt của Secure Sockets Layer – Lớp cổng bảo mật) là một công nghệ tiêu chuẩn để giữ kết nối internet được an toàn. Nó giúp bảo vệ những dữ liệu nhạy cảm của người dùng khi truy vấn tài nguyên mạng, ngăn chặn tội phạm công nghệ có thể sửa đổi, đánh cắp các dữ liệu quan trọng như thông tin thẻ tín dụng, nội dung email, giao dịch ngân hàng…

SSL sẽ nâng cao bảo mật trên trình duyệt, đảm bảo mọi dữ liệu được truyền tải giữa máy chủ và máy khách được an toàn thông qua việc mã hóa dữ liệu bằng các thuật toán phức tạp khiến nó khó có thể đọc hơn.

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-2

Nếu bạn đã quan tâm tới vấn đề bảo mật website thông qua SSL chắc hẳn bạn cũng đã nghe đến một chứng chỉ bảo mật khác là TLS.

TLS – Transport Layer Security.

TLS – Transport Layer Security (Bảo mật lớp truyền tải) là một phiên bản mới của SSL được cập nhật thường xuyên. Cả SSL và TLS đều là giao thức bảo mật thông tin truyền tải trên Internet. Trên thực tế chúng ta vẫn thường sử dụng tên gọi SSL do chúng phổ biến hơn.

Nhưng khi sử dụng SSL có nghĩa là bạn cũng đang sử dụng TLS với tùy chọn mã hóa ECC, RSA hoặc DSA theo một số nhà cung cấp dịch vụ bảo mật SSL cho website.

Khi website được cài đặt SSL, trên thanh địa chỉ trình duyệt trạng thái sẽ được chuyển sang https (Hyper Text Transfer Protocol Secure) thay vì http và được hiển thị hình một chiếc khóa và lời cảnh báo bảo mật sẽ biến mất.

Lịch sử các phiên bản SSL.

Dưới đây là lịch sử phát triển của SSL và TLS với các phiên bản qua các năm.

SSL 1.0 – Phiên bản thử nghiệm không được phát hành công khai do các vấn đề bảo mật.
SSL 2.0 – Phát hành vào năm 1995 bởi Netscape Communications phát triển nhằm thực hiện giao thức HTTPS trong trình duyệt . Cho đến năm 2011 nó bị gạt bỏ do vẫn có các lỗ hổng bảo mật.
SSL 3.0 – Phát hành năm 1996. Bị loại bỏ vào năm 2015 do liên quan tới các vấn đề bảo mật.
TLS 1.0 – Được phát hành vào năm 1999 dưới dạng bản nâng cấp lên SSL 3.0. Dự kiến ​​ngừng sử dụng vào năm 2020.
TLS 1.1 – Được phát hành vào năm 2006. Dự kiến ​​ngừng sử dụng vào năm 2020.
TLS 1.2 – Được phát hát hành năm 2008.
TLS 1.3 – Được phát hát hành năm 2018.

Cách SSL và TLS hoạt động để bảo vệ dữ liệu.

Khi website được cài đặt SSL/TLS trên máy chủ sẽ có một khóa công khai và khóa riêng tư được bật. Khóa này sẽ có chức năng xác thực mã hóa trên máy chủ và bắt đầu mã hóa luồng tin với giao thức https.

Khi người dùng truy cập vào website, trình duyệt web trên máy tính của họ sẽ tìm kiếm và kiểm tra chứng chỉ thông tin về SSL/TLS của trang web.

Nếu chứng chỉ SSL không hợp lệ, người dùng của bạn có thể gặp phải lỗi “kết nối của bạn không phải là riêng tư “, điều này có thể khiến họ rời khỏi trang web của bạn. Nhất là đối với các website thương mại điện tử, ngân hàng… (những website có hoạt động mua bán liên quan trực tiếp tới tài giao dịch tiền tệ).

Khi website được xác nhận chứng chỉ SSL hợp lệ nó sẽ tạo ra các liên kết thông tin được mã hóa giữa máy chủ và máy khách, việc này khiến quá trình giao nhận dữ liệu được nâng cao bảo mật, khó đánh cắp hơn, khó đọc dữ liệu hơn.

Quá trình này được mô tả đơn giản qua 5 bước sau đây…

1.Trình duyệt kết nối với máy chủ web được bảo mật bằng SSL (https). Trình duyệt yêu cầu máy chủ tự nhận dạng.

2. Máy chủ gửi một bản sao chứng chỉ SSL của nó, bao gồm cả khóa công khai và riêng tư của máy chủ.

3. Trình duyệt kiểm tra gốc chứng chỉ dựa trên danh sách CA đáng tin cậy. Nếu trình duyệt tin cậy chứng chỉ, nó sẽ tạo, mã hóa và gửi lại khóa phiên đối xứng bằng khóa công khai cho máy chủ.

4. Máy chủ giải mã khóa phiên đối xứng bằng khóa riêng của nó và gửi lại một xác nhận được mã hóa bằng khóa phiên để bắt đầu phiên được mã hóa.

5. Máy chủ và trình duyệt hiện mã hóa tất cả dữ liệu được truyền bằng khóa cho phiên hoạt động.

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-3

Cần biết thêm, giao thức http là giao thức thông thường, đối với giao thức nâng cao https chính cụm từ viết tắt của http và SSl. Thời gian tới việc truyền tải dữ liệu thông qua bản cập nhật http là http/2 cũng sẽ nâng cao thêm các lớp bảo mật, mã hóa dữ liệu.

Liên quan: Google Bot bắt đầu thu thập thông tin giao thức http/2 từ tháng 11/2020

Nên sử dụng SSL hay TLS.

Như đã biết, TLS là một phiên bản nâng cao sửa đổi cho SSL, tuy nhiên qua hơn hai thập kỷ chúng ta đã quá quen với cái tên SSL. Và cho đến tận ngày nay chúng ta vẫn gọi nó với thuật ngữ SSL.

Trên thực tế, các nhà cung cấp chứng chỉ SSL (hoặc các đơn vị cung cấp hosting, máy chủ) vẫn cập nhật các giao thức bảo mật mới với cái tên song song là “Chứng chỉ SSL / TLS” để giúp người dùng không bị nhầm lẫn.

Trong tương lai, khi việc hoàn thiện các giao thức bảo mật được tốt hơn, chúng ta sẽ dễ dàng chuyển đổi giữa SSL và TLS, việc này có thể được cập nhật tự động hoặc qua các công cụ hỗ trợ khác nhau.

SSL/ TLS có ảnh hưởng tới SEO?

Google đã chính thức cảnh báo rằng “Https là một yếu tố xếp hạng“, tất nhiên nó là một trong cả trăm các yếu tố ảnh hưởng tới thứ hạng của bạn trên Google Search, nhưng nếu bạn muốn có được thứ hạng cao hơn đối thủ thì việc cập nhật giao thức bảo mật https là việc nên thực hiện ngay.

Ngoài ra, hiện nay giao thức http/2 đã ra mắt, với http/2 nó yêu cầu chứng chỉ bảo mật tối thiểu đó là https. Ngoài việc mã hóa dữ liệu ở các tầng sâu hơn, nó còn hỗ trợ việc truyền tải dữ liệu giúp website tải trang được nhanh hơn.

Nên đọc: Tăng tốc website WordPress với Plugin Cloudflare APO.

Sự cải thiện về hiệu suất website là do nhiều lý do như http/2 có thể hỗ trợ ghép kênh tốt hơn, nén HPACK với mã hóa Huffman, phần mở rộng ALPN và đẩy dữ liệu máy chủ.

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-4
SSL sẽ mã hóa các thông tin qua lại giữa máy chủ và máy trạm, ngăn chặn các cuộc tấn công Man in the middle – Tấn công xen giữa.

Một điểm quan trọng hơn nữa, nếu website chưa được chuyển sang giao thức https nó sẽ bị gắn nhãn cảnh báo không an toàn, bạn sẽ mất khách hàng ngay từ những giây truy cập đầu tiên. Việc này dẫn tới tỷ lệ thoát trang cao hơn, không tạo ra giá trị chuyển đổi trong nội dung của bạn.

Liên quan: Tỷ lệ thoát trang là gì? Nó có ảnh hưởng tới thứ hạng SEO?

Cài đặt SSL (https) cho website WordPress.

Google khuyên nên sử dụng các loại chứng chỉ hợp lệ với các khóa từ 2084 bit trở lên. Nếu website đã cài đặt SSL chắc hẳn bạn sẽ thắc mắc rằng chứng chỉ bạn sẽ ra sao, được cung cấp bởi nhà cung cấp nào, phiên bản nào…

Việc này khá đơn giản, bạn có thể kiểm tra nó bởi ssllabs.com như tôi đã kiểm tra.

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-7

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-8

Đối với các website được thiết kế trên nền tảng WordPress thông thường sẽ có hai cách để bạn có thể cài đặt chứng chỉ bảo mật SSL.

Cách 1. Mua SSL thông qua nhà cung cấp.

Có một vài các nhà cung cấp khác nhau cung cấp chứng chỉ bảo mật SSL, bạn cũng có thể liên hệ trực tiếp với các nhà cung cấp dịch vụ Hosting, tên miền như Nhân Hòa, Mắt Bão…để mua và được cài đặt https trên website của mình.

Cách 2. Sử dụng SSL miễn phí.

Có nhiều Plugin miễn phí có sẵn trong kho Plugin của WordPress sẵn sàng cung cấp cho bạn một chứng chỉ SSL. Tất nhiên, với “của chùa” sẽ không thể tốt bằng những thứ bạn bỏ tiền mua.

Với các website thông thường như giới thiệu doanh nghiệp, tin tức, Blog… thì có lẽ đó là quá đủ để “tận dụng”.

Nhưng có một điều bạn cần hết sức lưu ý và cẩn trọng trước khi chuyển hướng website sang giao thức https.

Cẩn trọng khi chuyển hướng từ http sang https.

Lời khuyên tôi dành cho bạn, ngay sau khi xây dựng xong website và update nó trên Google, hãy thiết lập ngay SSL cho website WordPress của bạn.

Đối với website trước đó vẫn sử dụng giao thức http, khi bạn cài đặt SSL và chuyển hướng về https rất có thể website sẽ bị đánh giá trùng lặp nội dung do các miền chứa giao thức http đã được index mọi dữ liệu trước đó – Google đã lập chỉ mục các url trước đó của miền cũ.

Tuy nhiên, để hỗ trợ các nhà quản trị web có thể tránh được các lỗi cơ bản như này, Google cũng không quá khắt khe, với công cụ thay đổi địa chỉ bạn hoàn toàn có thể điều hướng, hợp nhất các url trùng lặp về nội dung nhưng có cấu trúc địa chỉ web khác nhau, ví dụ như có www hoặc không có www, http chuyển hướng sang https.

Đọc thêm hướng dẫn của Google: Di chuyển một trang web với các thay đổi URL.

Chuyển hướng http sang https trong quản trị wordpress.

Mẹo: Nếu trước đó bạn đã khai báo website với miền http trong Google Search Console (trước đó gọi là Google Webmaster Tools) và nay bạn thay đổi nó thành https. Tôi đã thực hiện một lệnh chuyển hướng trong trang chủ giao diện đơn giản bởi SEO Rank Math.

Tại Menu trang quản trị, chọn Trang => Trang chủ.

Trong trang chủ tìm đến phần cấu hình Rank Math SEO, trong Tab Advanced bạn sẽ thấy một nút chuyển hướng (Redirection). Chọn chuyển hướng vĩnh viễn (Redirection 301). Sau đó điền url mới của bạn vào đó (miền đã có giao thức https). Xem hình dưới.

tam-quan-trong-cua-ssl-va-cach-cai-dat-no-cho-webiste-5

Sau đó trong Google Search Console tôi thêm một miền mới đã có chứa giao thức https, tuy nhiên tôi vẫn giữ nguyên miền đã khai báo trước đó (không chứa http). Đồng thời cập nhật lại Sitemap cho cả hai miền.

Để làm được việc này, trước tiên bạn cần chuyển đổi Plugin SEO sang Rank Math (nếu trước đó bạn đang sử dụng SEO Yoast).

Xem thêm: 6 lý do khiến tôi chuyển Plugin SEO từ Yoast sang Rank Math.

Plugin SSL miễn phí cho WordPress.

Xin giới thiệu tới các bạn những Plugin SSL miễn phí bạn có thể cài đặt cho website WordPress của mình.

Như đã nói phần trước, nếu website chỉ là các trang Blog, tin tức nhỏ, giới thiệu doanh nghiệp bạn hoàn toàn có thể sử dụng các Plugin SSL miễn phí.

Nhưng nếu là một website về lĩnh vực tài chính, ngân hàng (liên quan tới các giao dịch tiền tệ của khách hàng) hãy sử dụng một chứng chỉ SSL cao cấp bởi cac nhà cung cấp uy tín, nó sẽ ngăn chặn các mối hiểm họa từ các cuộc tấn công xen giữa bởi hacker.

Hiện nay, tôi thường sử dụng Plugin SSL miễn phí có tên: Really Simple SSL. Tuy nhiên bạn hoàn toàn có thể thử nghiệm với các Plugin miễn phí tương tự khác như:

  • WP Force SSL
  • WP Encryption
  • SSL Zen
  • SSL Insecure Content Fixer
  • Auto-Install Free SSL
  • Easy HTTPS Redirection (SSL)
  • JSM’s Force HTTP to HTTPS (SSL)
  • One Click SSL

Vậy đấy, giao thức https giờ đây nó đã thành một chuẩn mực đánh giá sự an toàn dữ liệu cho người dùng, và để chuyển đổi từ http sang https bạn cần phải cài đặt chứng chỉ bảo mật SSL/TLS cho website của mình, và nên nhớ nó là một trong những tín hiệu xếp hạng nội dung của bạn trên Google.

Nguồn tham khảo:

  • kinsta.com/blog/http-to-https/
  • neilpatel.com/blog/does-a-ssl-certificate-affect-your-seo-a-data-driven-answer
  • sangfroidwebdesign.com

Nhật Minh

ads cuối bài

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *