SSl là gì? Cách sử dụng Sử dụng SSL / HTTPS để xếp hạng cao hơn trên google

Quyết định có di chuyển sang giao thức HTTPS hay không đã trở thành điều không cần phải bàn cãi. Trở lại năm 2017, với sự thúc đẩy của Google cho một trang web an toàn và hiệu quả hơn, bao gồm một số tính năng như tăng xếp hạng tìm kiếm cho các trang an toàn; chúng tôi đã xuất bản một hướng dẫn chi tiết, được nhiều người đón nhận về cách triển khai HTTPS trên trang web của bạn và lý do bạn muốn làm điều đó.

Vì chủ đề này cũng có tầm quan trọng cao vào năm 2020, chúng tôi quyết định cải tiến bài đăng này, cập nhật nó với các xu hướng gần đây, các phương pháp hay nhất trong ngành và các giải thích thuật ngữ rất cần thiết, để cung cấp cho bạn một hướng dẫn toàn diện, đầy đủ để thiết lập HTTPS để có kết quả SEO tốt nhất. 

Chúc bạn đọc vui vẻ!

Giới thiệu

Ngay bây giờ, có một thuật ngữ salad được những người ít hiểu biết về công nghệ xoay quanh chủ đề này, gây ra một số nhầm lẫn và không chắc chắn với việc sử dụng thuật ngữ có vấn đề và các khuyến nghị mơ hồ. Đó là lý do tại sao trước tiên chúng ta phải phác thảo một cái nhìn tổng quan rõ ràng và đơn giản về các định nghĩa quan trọng nhất. Bằng cách này, mọi người đều biết những gì là gì, tại sao họ cần nó, làm thế nào để có được nó và cách triển khai nó trong sản xuất.

Đến cuối bài viết này, bạn không chỉ thông thạo ý nghĩa đằng sau các thuật ngữ SSL và HTTPS, tại sao chúng lại quan trọng, chúng hoạt động như thế nào và cách triển khai chúng trên trang web của bạn; nhưng chúng tôi cũng sẽ xem xét tầm quan trọng của chúng trong thiết lập Digital marketing tổng thể của bạn. 

Không cần thêm lời khuyên, hãy mã hóa… Ý tôi là, hãy bắt đầu ( bạn sẽ hiểu được cách chơi chữ sau này ).

SSL và TLS là gì? | Four Dots

SSL là gì?

SSL là viết tắt của Secure Sockets Layer và là một giao thức mật mã để thiết lập kết nối được mã hóa giữa máy khách và máy chủ ( tức là khách truy cập và trang web của bạn ).

Một điều quan trọng cần hiểu là “SSL” thuật ngữ kế thừa từ thời nó là giao thức duy nhất thuộc loại đó trên web.

Ngày nay, SSL như một giao thức không còn được sử dụng nhiều nữa ( hoặc ít nhất là không nên như vậy ) do tuổi tác / điểm yếu của nó, đó là lý do tại sao TLS ( Bảo mật lớp truyền tải ) kế nhiệm của nó đã tiếp quản. Hầu hết thời gian, khi ai đó nói “SSL”, họ thực sự có nghĩa là “TLS” mà không biết.

TLS là gì?

Chính xác như SSL, TLS là một giao thức mật mã. Tuy nhiên, đó là một giao thức mới hơn và được cải tiến sử dụng các thuật toán mã hóa mạnh hơn và so với SSL, mang lại hiệu suất và quyền riêng tư vô song. Phiên bản gần đây của nó ( TLS 1.3 ) đang nhanh chóng được nhiều công ty lưu trữ web và CDN quan tâm đến bảo mật áp dụng. Mặt khác, giống như tất cả những thay đổi lớn về cơ sở hạ tầng ( ví dụ như áp dụng không gian địa chỉ IPv6 ), việc triển khai diễn ra rất chậm và sẽ mất thời gian để phổ biến trên toàn thế giới.

Thay đổi quan trọng nhất mà TLS 1.3 mang lại là việc thiết lập một kết nối an toàn sẽ nhanh hơn và an toàn hơn so với các giao thức 1.1 và 1.2 hiện đang được sử dụng.

SSL / TLS được sử dụng để làm gì?

Giao thức TLS được sử dụng phổ biến nhất để mã hóa kết nối đến máy chủ web và thư, nhưng cũng để mã hóa kết nối giữa điện thoại thông minh của bạn và máy chủ nhà sản xuất khi họ đang tìm kiếm bản cập nhật hoặc đồng bộ hóa danh sách liên hệ, cũng như khi bạn đang sử dụng ứng dụng ngân hàng điện tử hoặc liên tục vuốt qua Tinder và Instagram.

Ví dụ: nếu bạn đã từng định cấu hình ứng dụng email để nhận email Gmail hoặc Outlook, bạn có thể nhận thấy một số cổng để chọn: cổng TLS ( cho phần mềm hiện đại ) và cổng SSL ( cho phần mềm cũ ) nếu công ty phải hỗ trợ chúng. Rất có thể bạn đang sử dụng TLS mà không biết. Nó cũng đang được sử dụng bởi toàn bộ các thiết bị IoT như camera IP, tủ lạnh, bộ điều nhiệt, ô tô thông minh và về cơ bản là mọi thứ yêu cầu kết nối an toàn, được mã hóa với HQ của nó.

Trong ngữ cảnh của các trang web, TLS được sử dụng để cung cấp giao thức HTTP an toàn ( do đó là “S” trong HTTPS ), về cơ bản là một đường hầm dữ liệu hai chiều giữa hai điểm cuối ( trang web bạn đang truy cập và máy tính bạn đang truy cập. duyệt từ ).

Giao thức SSL / TLS an toàn như thế nào?

SSL / TLS ngày nay an toàn như bất kỳ thứ gì có thể xảy ra. Thực tế là tính bảo mật của trang web của bạn phụ thuộc vào một số yếu tố không nhất thiết liên quan đến chính giao thức.

Khi ai đó muốn lấy cắp thông tin cá nhân của bạn trong khi giao dịch hoặc liên lạc trực tuyến, sẽ có những thách thức kỹ thuật liên quan. Điều này thường được thực hiện bởi các cá nhân hoặc nhóm có tay nghề cao, thường được nhà nước tài trợ và với ngân sách và nguồn lực lớn đến mức cuối cùng tất cả được đúc kết thành câu châm ngôn thường nghe: “ Nếu ai đó muốn có được bạn, họ sẽ làm ”. Những cuộc tấn công kiểu này đã xảy ra nhiều lần trong quá khứ, ngay cả đối với một số công ty mạnh nhất trên thế giới.

Các thuật ngữ như “BEAST” , “BREACH” , “CRIME” , “FREAK” , “Heartbleed” , “DROWN” đều có điểm chung trong ngữ cảnh liên quan đến web. Chúng là các lỗ hổng giao thức đã bị khai thác và dẫn đến thiệt hại lớn cho các công ty này và người dùng / khách hàng của họ. Thông tin chi tiết hơn về các lỗ hổng SSL / TLS có sẵn tại đây .

Trong trường hợp tốt nhất, quyền riêng tư bị đe dọa và kẻ tấn công sẽ thu thập thông tin cá nhân như tên và địa chỉ. Một số tình huống xấu nhất bao gồm rò rỉ mật khẩu, chi tiết thẻ tín dụng, bí mật kinh doanh và rất nhiều dữ liệu tác động trong thế giới thực khác.

Điểm mấu chốt là, các chứng chỉ phải được lấy từ các cơ quan đáng tin cậy nhất và được giữ bí mật, với quyền đối với hệ thống tệp chỉ đọc để chỉ những ứng dụng và nhân viên được ủy quyền và đáng tin cậy mới có quyền truy cập vào chúng.

Thời điểm bên thứ ba trái phép có quyền truy cập không hạn chế vào máy chủ web của bạn và các tệp cấu hình của nó là lúc bạn có thể phải bắt đầu lo lắng về các vấn đề nghiêm trọng hơn nhiều so với chỉ bảo mật của lưu lượng truy cập web.

Bộ mật mã

Độ mạnh mã hóa được quyết định bởi bộ mật mã , một tập hợp các thuật toán được sử dụng bởi máy chủ web / ghép nối trình duyệt, nói một cách hình tượng, là thỏa thuận chung của chúng về cách giao tiếp với nhau.

Có một số nhóm bộ mật mã:

  • Tương thích hiện đại
  • Khả năng tương thích trung gian
  • Khả năng tương thích ngược cũ

Các nhóm này được quản trị viên hệ thống và kỹ sư DevOps sử dụng để chỉ định khả năng tương thích người dùng cuối của ứng dụng tối thiểu. Điều này cho phép họ quyết định, chẳng hạn như có hỗ trợ các thiết bị di động cũ không cung cấp các tính năng bảo mật hiện đại cho chủ nhân của chúng hay không.

Bằng cách chọn bộ mật mã hiện đại, chỉ những máy khách mới nhất và tốt nhất mới có thể giao tiếp với máy chủ. Mozilla duy trì một nguồn tài nguyên tuyệt vời cho các nhà phát triển về chủ đề này.

Thông số kỹ thuật của chúng cho ba nhóm tương thích là ( các phiên bản ứng dụng khách web sau trở lên ):

  • Hiện đại: Firefox 27, Chrome 30, IE 11 trên Windows 7, Edge, Opera 17, Safari 9, Android 5.0, Java 8
  • Trung cấp: Firefox 1, Chrome 1, IE 7, Opera 5, Safari 1, Windows XP IE8, Android 2.3, Java 7
  • Cũ: Windows XP IE6, Java 6

Một tài nguyên tuyệt vời khác dành cho các nhà phát triển / quản trị viên hệ thống là trình tạo cấu hình SSL của Mozilla cho phép tạo cấu hình HTTPS của máy chủ web cho các phiên bản và nhóm tương thích cụ thể.

Triển khai Thư viện SSL / TLS chính

Hiện tại, có một số cách triển khai khác nhau của thư viện SSL ( tập hợp các chức năng mật mã có thể tái sử dụng ), ở một mức độ nào đó, tương thích và có thể được sử dụng như là sự thay thế thả vào cho nhau. Tất cả các cách triển khai khác nhau này đều được tạo ra với nỗ lực làm sạch mã, thắt chặt bảo mật và / hoặc cung cấp các tính năng bổ sung, tùy thuộc vào dự án hoặc mục tiêu của công ty mẹ của họ.

  • OpenSSL ( trang web dự án ) – Thư viện mã nguồn mở ban đầu do cộng đồng quản lý, được sử dụng trong phần lớn các triển khai phần mềm và phần cứng. Tuy nhiên, phần lớn các lỗ hổng nói trên được áp dụng cụ thể cho phiên bản này. Phần mềm như OpenSSH và OpenVPN phụ thuộc vào nó.
  • LibreSSL ( trang web của dự án ) – Một thư viện thay thế được dự án OpenBSD tách từ bản gốc với mục đích hiện đại hóa cơ sở mã, cải thiện bảo mật và áp dụng các quy trình phát triển thực tiễn tốt nhất. So với OpenSSL, nó có ít lỗ hổng hơn đáng kể và đang được cộng đồng công nghệ và bảo mật, cũng như với một số công ty lớn như Apple, những người sử dụng nó làm thư viện SSL / TLS mặc định trong MacOS, hệ điều hành của họ.
  • BoringSSL ( trang web dự án ) – Một thư viện thay thế khác, được Google tách ra từ thư viện gốc để sử dụng trong các dự án của họ. Theo trang web của dự án, không giống như các thư viện được liệt kê ở trên, nó không dành cho mục đích sử dụng chung. Có nhiều cách để sử dụng nó thông qua các gói cài sẵn của hệ điều hành. BoringSSL là thư viện SSL / TLS mặc định trong Chrome / Chromium, Android và các ứng dụng khác của Google, trong khi nó cũng được sử dụng bởi một số nhà cung cấp CDN tập trung vào bảo mật như Cloudflare.
  • GnuTLS ( trang web dự án ) – Thư viện thay thế được xây dựng để tuân thủ giấy phép GPL. Được sử dụng trong một loạt các dự án mã nguồn mở như GNOME , Exim , Wireshark , Emacs , CUPS, và nhiều hơn nữa.

Làm thế nào để nhận được chứng chỉ?

Để có thể sử dụng giao thức HTTPS, người ta cần có chứng chỉ X.509 và các tệp khóa từ tổ chức Cơ quan cấp chứng chỉ ( CA ) đáng tin cậy bằng cách điền vào Yêu cầu ký chứng chỉ ( CSR ), đây là biểu mẫu mà người đăng ký cung cấp cho công ty / miền thông tin làm bằng chứng nhận dạng.

Sau khi tổ chức CA xác thực danh tính của bạn, bạn thường sẽ được cung cấp một kho lưu trữ ZIP thông qua tải xuống hoặc email, chứa các tệp cần thiết để định cấu hình máy chủ web của bạn.

Có rất nhiều CA ngoài kia ( Symantec, GoDaddy, GlobalSign, GeoTrust, DigiCert, Comodo ) nhưng tùy thuộc vào nhu cầu của bạn, một chứng chỉ có thể mất tiền hoặc hoàn toàn miễn phí.

Hãy mã hóa logo

Chúng tôi ưu tiên và đề xuất Let’s Encrypt vì nó cung cấp mã hóa hiện đại miễn phí và có thể dễ dàng được tự động hóa và sử dụng trong các môi trường động, trong quá trình chứa ứng dụng và di chuyển sang đám mây.

Lưu ý rằng các chứng chỉ được cung cấp bởi Let’s Encrypt tồn tại trong 90 ngày, trong khi các chứng chỉ do các nhà cung cấp thương mại cung cấp có thời hạn một năm hoặc hơn. Mặc dù điều này trông có vẻ hơi phức tạp, nhưng thực tế thực hành phục vụ một số mục đích quan trọng:

  1. Các chứng chỉ có thời lượng ngắn hơn giúp giảm vectơ tấn công từ các khóa bị xâm nhập và cấp sai. Vì thời gian của chúng ngắn hơn, nên kẻ tấn công có ít thời gian hơn để sử dụng combo chứng chỉ / khóa và gây sát thương.
  2. Nó khuyến khích tự động hóa việc gia hạn chứng chỉ vì trong môi trường năng động và bận rộn, quản trị viên hệ thống không thể thực hiện thủ tục này theo cách thủ công nữa vì nó trở thành một quy trình làm việc kế thừa. Khi việc gia hạn chứng chỉ được tự động hóa, thời gian tồn tại ngắn của chúng sẽ không còn khiến chúng kém thuận tiện hơn so với những chứng chỉ dài hạn vì không cần sự tham gia của con người vào quá trình ngoài việc kiểm tra bảo mật cơ sở hạ tầng không thường xuyên.

Khi được ra mắt vào năm 2016 bởi Nhóm nghiên cứu bảo mật Internet ( ISRG ), Let’s Encrypt là một bước đột phá vì nó là sự khởi đầu của một trang web cởi mở hơn ( và rẻ hơn ), nơi mà các chứng chỉ chất lượng và mật mã không cần phải mua nữa. , nhưng chỉ đơn giản là yêu cầu và bất cứ ai cũng có thể làm điều đó. Không cần phải nói, đây là một cú đánh lớn đối với ngành CA nhưng tuyệt vời đối với các quản trị viên web cá nhân và SMB, những người không phải trả tiền cho bảo mật web nữa.

Phần tốt nhất là sáng kiến ​​được hỗ trợ và tài trợ bởi các công ty nổi tiếng nhất trên thế giới bao gồm Mozilla, Akamai, Cisco, EFF, Google, Facebook và hơn thế nữa .

Ngoài ra, ngày càng có nhiều công ty lưu trữ web gói miễn phí các chứng chỉ do Let’s Encrypt tạo với các ưu đãi riêng của họ, vì vậy nếu bạn mới bắt đầu kinh doanh hoặc chuyển sang máy chủ lưu trữ khác, có khả năng bạn sẽ không cần làm bất cứ điều gì khác ngoài việc nhấp vào một nút để có được chứng chỉ được gia hạn tự động – về cơ bản chỉ cần đặt nó và quên nó đi.

Đối với những người không may mắn như vậy, có thêm một chút đọc và nhấp để làm, nhưng không có gì nghiêm trọng.

Lưu ý về chứng chỉ tự ký:

Trước đây, khi nhà phát triển cần kiểm tra một ứng dụng thông qua giao thức HTTPS, họ sẽ tự tạo chứng chỉ với sự trợ giúp của một vài lệnh CLI của tiện ích OpenSSL . Chúng được gọi là chứng chỉ tự ký .

Chứng chỉ tự ký có thể cung cấp cho bạn cùng một mức độ mã hóa, bảo mật và quyền riêng tư ( hầu như biến bạn thành CA của riêng bạn ). Tuy nhiên, không giống như các chứng chỉ nhận được từ các dịch vụ như Let’s Encrypt, các chứng chỉ tự ký không được trình duyệt tin cậy và khi bạn truy cập một trang sử dụng một chứng chỉ đó, trình duyệt sẽ đưa ra cảnh báo như sau:

Cảnh báo trình duyệt web chứng chỉ SSL tự ký

Mặc dù vẫn có ý nghĩa khi sử dụng chứng chỉ tự ký trong quá trình phát triển và cho những nội dung không quan trọng, nhưng thực tế nói chung đã bị loại bỏ vì các chứng chỉ miễn phí và đáng tin cậy tồn tại nhờ các tổ chức như Let’s Encrypt.

Các chứng chỉ được tạo dễ dàng với một chút thao tác trên dòng lệnh hoặc thông qua các dịch vụ web như SSL miễn phí , về cơ bản chỉ là giao diện người dùng của dịch vụ Let’s Encrypt.

Giới thiệu về Tổ chức phát hành chứng chỉ

Toàn bộ câu chuyện về chứng chỉ tự ký ở trên có nghĩa là các công ty CA đang được kiểm tra bởi các nhà cung cấp trình duyệt web ( Google, Mozilla, Microsoft, v.v. ) và họ có thể được các nhà cung cấp này và trình duyệt của họ tin cậy hoặc không tin cậy, một số yếu tố: ( uy tín, chất lượng và thậm chí cả tiền ).

Gần đây, đã có trường hợp Google xóa các CA của Trung Quốc StartCom và WoSign khỏi Chrome do một số sự cố trong đó chúng không đáp ứng được các tiêu chuẩn cao như mong đợi của Cơ quan cấp chứng chỉ. Kết quả là các miền sử dụng chứng chỉ do các nhà cung cấp Trung Quốc này cấp bắt đầu hiển thị cảnh báo an toàn cho khách truy cập vì CA của họ không được trình duyệt nhận dạng nữa.

Các trình duyệt phổ biến khác cũng nhanh chóng làm theo và kết quả là hoạt động kinh doanh của StartCom đã sụp đổ chỉ sau một đêm.

Chấm dứt StartCom

Xét theo tất cả những điều trên, kết luận hợp lý là CA ( phần nào ) được quy định bởi các nhà cung cấp trình duyệt và do đó, phải giữ mức độ cao của các tiêu chuẩn hoạt động để duy trì hiện diện trong các trình duyệt, đây là yêu cầu cơ bản để duy trì hoạt động kinh doanh của họ. Yêu cầu tối thiểu để Tổ chức phát hành chứng chỉ duy trì các tiêu chuẩn cấp cao này là không cấp cùng một chứng chỉ cho nhiều miền hoặc cung cấp chứng chỉ cho các miền và / hoặc tổ chức giả mạo.

Điều này có nghĩa là, nếu bạn sở hữu trang web shop.com và chứng chỉ cho miền đó và tôi có thể nhận được chứng chỉ tương tự cho myshop.com , tôi có thể mạo danh doanh nghiệp của bạn và có khả năng thực hiện các hành động xấu người dùng nhầm cửa hàng của tôi với cửa hàng của bạn, dẫn đến thiệt hại cho thương hiệu và doanh nghiệp của bạn.

Đây là lý do tại sao điều quan trọng đối với các CA là xác thực danh tính doanh nghiệp một cách đúng đắn và kỹ lưỡng, vì đây là công việc chính và khó khăn nhất của họ, cũng như là công việc đòi hỏi nhiều thời gian và nguồn lực. Bản thân chứng chỉ được tạo trong một giây chỉ với một nút bấm.

Nhận chứng chỉ SSL nào?  |  Bốn chấm

Lấy chứng chỉ nào?

Khi cần một công ty truyền đạt mức độ tin cậy cao cho người dùng / khách truy cập của mình, họ sẽ mua chứng chỉ Xác thực mở rộng ( EV ), chứng chỉ này hiển thị thanh địa chỉ trình duyệt màu xanh lục hoặc văn bản bên trong nó để chỉ ra rằng công ty đã trải qua danh tính nghiêm ngặt xác minh và tuyên bố về việc họ là ai có thể đáng tin cậy.

Phân đoạn thương hiệu của chứng chỉ EV được sử dụng để hiển thị vị trí địa lý của trang web cùng với tên thương hiệu trong thanh địa chỉ của trình duyệt như trong ví dụ này:

Chứng chỉ EV của Booking.com

Điều này đã thay đổi kể từ khi các trình duyệt ngừng hiển thị trực tiếp chứng chỉ EV trên thanh địa chỉ . Xu hướng giảm nhu cầu của chủ sở hữu trang web về việc có chứng chỉ EV ngay từ đầu (điều này khiến giá EV giảm) vì sự hiện diện của chứng chỉ EV không còn dễ thấy nữa. Tuy nhiên, thông tin liên quan đến EV và vị trí địa lý vẫn có thể truy cập được bằng cách nhấp vào biểu tượng ổ khóa trong URL, như được hiển thị ở đây:

Thông tin EV có thể nhấp |  Bốn chấm

Giá chứng chỉ EV có thể từ $ 50 đến thậm chí $ 300 +, tùy thuộc vào nhà cung cấp, nhưng lưu ý rằng ngày nay tất cả các chứng chỉ EV , OV ( Tổ chức xác thực ) và DV ( Xác thực miền ) trong đa số trường hợp đều hoạt động theo cách giống nhau và cung cấp giống nhau số lượng bảo mật về độ mạnh mã hóa. Ví dụ: Let’s Encrypt phát hành chứng chỉ DV. 

Sự khác biệt giữa các loại chứng chỉ SSL là gì?

DV – Chứng chỉ SSL xác thực tên miền

Đây là giải pháp nhanh nhất và ít tốn kém nhất để có được vì nó yêu cầu khối lượng công việc xác thực danh tính tối thiểu do CA thực hiện, nhằm xác minh rằng miền thuộc sở hữu của cá nhân hoặc tổ chức có tên trong mục nhập WHOIS của miền. Theo các nhà cung cấp, nó dành cho các doanh nghiệp nhỏ, cửa hàng thương mại điện tử quy mô nhỏ, các trang web và blog nói chung.

OV – Chứng chỉ SSL được Tổ chức xác thực

Việc cấp loại chứng chỉ SSL này đắt hơn một chút và liên quan đến việc kiểm tra cơ sở dữ liệu trực tuyến của chính phủ hoặc các tài nguyên của cơ quan có thẩm quyền có thể truy cập công khai khác để xác thực dữ liệu do một cá nhân hoặc tổ chức cung cấp trong quá trình gửi CSR.

EV – Chứng chỉ SSL xác thực mở rộng

Đây là cách đắt thứ hai và chậm nhất để có được giải pháp. Nó liên quan đến việc xác thực danh tính kỹ lưỡng, ngoài các bước trên, yêu cầu tải lên các tài liệu pháp lý hiện có của công ty, bảng sao kê ngân hàng và các chi tiết khác để có thể chứng minh rằng một công ty thực sự đứng sau yêu cầu chứng nhận. Do giá cả và yêu cầu, loại chứng chỉ này nhắm đến các tập đoàn, doanh nghiệp và tổ chức chính phủ lớn nên những cá nhân không phải là chủ doanh nghiệp không thể nhận được.

Theo các CA thương mại, lý do để mua chứng chỉ EV là:

  • Tăng tỷ lệ chuyển đổi giao dịch
  • Giảm tình trạng bỏ qua giỏ hàng
  • Làm cho bạn khác biệt với các đối thủ cạnh tranh
  • Cho khách hàng thấy bạn quan tâm đến bảo mật của họ
  • Bảo vệ thương hiệu của bạn khỏi các âm mưu lừa đảo

Cũng cần biết rằng các CA thương mại thường đưa ra cái mà họ gọi là “ bảo hành đảm bảo ” cho chứng chỉ của họ, đó là lời hứa rằng họ sẽ bồi thường cho người dùng cuối lên đến 2 triệu trong trường hợp họ bị chủ sở hữu thẻ tín dụng tính phí gian lận chứng chỉ.

Về cơ bản đây là một khoản bồi hoàn và bằng chứng rằng họ thực hiện công việc xác thực danh tính của mình một cách đúng đắn. Nhiều CA tuyên bố rằng họ chưa bao giờ có bất kỳ yêu cầu bảo hành nào như vậy sẽ cho thấy mức độ nghiêm túc của họ khi thực hiện xác thực.

Chứng chỉ SSL ký tự đại diện

Đây là loại chứng chỉ đắt nhất và ngoài tất cả các yêu cầu được liệt kê ở trên và công việc đã thực hiện, nó còn liên quan đến việc xác thực danh tính và quyền sở hữu của tất cả các miền phụ mà người ta muốn bảo mật bằng chứng chỉ duy nhất. Loại chứng chỉ này thường được sử dụng bởi các công ty lớn có 1 hoặc nhiều tên miền phụ tham gia vào hoạt động của họ và họ muốn bao gồm www , webmail và các tên miền phụ nhắm mục tiêu theo ngôn ngữ khác nhau như fr.domain.com , de.domain.com, v.v.

sự giới thiệu

Tóm lại, nếu bạn đang điều hành một công ty quốc tế lớn, được giám sát chặt chẽ hơn và bạn hiểu được những lý do để mua chứng chỉ EV ở trên, hãy làm điều đó. Nhưng nếu bạn là một SMB hoặc bạn đang điều hành một cửa hàng trực tuyến quy mô nhỏ đến trung bình hoặc một trang web sản phẩm dựa trên SaaS, bạn sẽ có chứng chỉ DV do Let’s Encrypt cấp.

Cập nhật mới nhất: Bản cập nhật gần đây nhất đến từ Apple tuyên bố rằng kể từ tháng 9 năm 2020, tất cả các chứng chỉ TLS được tin cậy công khai cần phải kéo dài 398 ngày hoặc ít hơn. Thay đổi này chỉ ảnh hưởng đến các chứng chỉ được cấp từ Root CA được cài đặt sẵn với iOS, iPadOS, macOS, watchOS và tvOS. 

HTTPS hoạt động như thế nào?

Cách diễn giải đơn giản hóa rất nhiều về giao tiếp máy khách / máy chủ qua HTTPS sẽ trông giống như sau:

  1. Máy khách cố gắng kết nối với máy chủ.
  2. Máy chủ gửi chứng chỉ cho máy khách.
  3. Máy khách thừa nhận rằng chứng chỉ đã được ký bởi một tổ chức mà nó tin cậy và tổ chức này xác nhận rằng chứng chỉ thuộc về máy chủ mà máy khách muốn giao tiếp một cách an toàn.
  4. Sau đó, máy khách tạo một khóa ngẫu nhiên, mã hóa nó bằng khóa công khai trong chứng chỉ và gửi lại cho máy chủ.
  5. Máy chủ giải mã khóa và sử dụng bí mật được chia sẻ mà máy chủ và máy khách bây giờ phải bảo mật các liên lạc tiếp theo.

Làm thế nào để Nhận và Triển khai Giao thức HTTPS?

Có rất nhiều máy chủ web và CMS đang tồn tại và mỗi máy chủ trong số chúng được cấu hình theo một cách khác nhau, nhưng khái niệm cốt lõi là khá giống nhau đối với tất cả chúng:

  1. Lấy chứng chỉ và các tệp khóa và đặt chúng vào đường dẫn hạn chế quyền trên máy chủ.
  2. Chỉnh sửa máy chủ web chính hoặc cấu hình vhost riêng lẻ để kích hoạt công cụ SSL và chỉ định đường dẫn đến cả chứng chỉ và tệp khóa.
  3. Khởi động lại phần mềm máy chủ web để kích hoạt các thay đổi.
  4. Định cấu hình CMS của bạn, nếu cần, để sử dụng lược đồ HTTPS và thực hiện thao tác tìm / thay thế trên cơ sở dữ liệu của bạn để thay đổi tất cả URL lược đồ HTTP thành HTTPS. Vô số lần trước đây, chúng tôi đã sử dụng plugin WP Migrate DB WordPress để đạt được điều này thành công cho khách hàng của mình, vì vậy chúng tôi khuyên bạn nên sử dụng plugin này.
  5. Thực hiện (các) quy tắc chuyển hướng 301 toàn cầu để các yêu cầu đến một trang HTTP chuyển đến cùng một trang có lược đồ HTTPS trong URL của nó.
  6. Tạo thuộc tính Google Search Console mới cho trang web bằng giản đồ HTTPS và điều chỉnh cấu hình Google Analytics để chứa cả URL trang web mới.
  7. Kiểm tra các trang của bạn bằng công cụ Qualys SSL Labs .
  8. Lợi nhuận!

Không cần phải nói, hãy thực hiện sao lưu toàn bộ trang web trước toàn bộ quy trình này, đề phòng trường hợp.

Kiểm tra cấu hình và thiết lập lý tưởng sẽ trông giống như thế này ( khi IP máy chủ được nhấp vào, nhiều thông tin kết nối hơn được tiết lộ ):

Kiểm tra phòng thí nghiệm SSL của Qualys

Vì liệt kê nhiều gói phần mềm máy chủ web và cấu hình của chúng ở đây sẽ tạo nên một món ăn chủ đề ngoài bài viết này, chúng tôi sẽ hạn chế điều này và cung cấp một liên kết đến một trong các CA đã làm tất cả điều này cho bạn. Vui lòng tham khảo bài viết Cài đặt chứng chỉ SSL của DigiCert chứa danh sách hơn 96 máy chủ web ( tại thời điểm viết bài này ) và hướng dẫn cấu hình SSL của chúng nếu bạn đang sử dụng một số phần mềm máy chủ web độc quyền, ít người biết đến.

Nếu bạn đang sử dụng các giải pháp hiện đại, được chấp nhận rộng rãi như Nginx hoặc Apache, chúng tôi khuyên bạn nên kiểm tra kho lưu trữ Github của dự án H5BP nói trên vì những cấu hình đó được cung cấp bởi cộng đồng và được kiểm tra về hiệu suất / tính tương thích / bảo mật.

Lợi ích của việc sử dụng HTTPS?  |  Bốn chấm

Lợi ích của việc sử dụng HTTPS là gì?

Đây rất có thể là phần bài viết mà bạn đang ở đây. Nếu bạn là chủ doanh nghiệp trực tuyến, có nhiều lợi ích khi sử dụng giao thức an toàn ( HTTPS ) thay vì HTTP đơn giản, cũ:

1. Nhận thức về thương hiệu được cải thiện

Cách đây vài năm, như một phần của sáng kiến ​​nhằm làm cho web trở thành một nơi an toàn hơn, các trình duyệt web phổ biến nhất như Google Chrome và Firefox bắt đầu đánh dấu các trang web chỉ sử dụng HTTP là không an toàn nếu chúng chứa bất kỳ đầu vào văn bản nào như biểu mẫu đăng nhập hoặc trường dữ liệu thẻ tín dụng.

Kể từ tháng 10 năm 2017, khi bạn truy cập một trang chỉ có HTTP, nó sẽ hiển thị một biểu tượng trên thanh địa chỉ, biểu tượng này sẽ khiến bạn chú ý rằng có điều gì đó không ổn với trang / trang web. Sau khi bạn bắt đầu nhập văn bản vào bất kỳ trường nhập văn bản nào trên trang, thanh địa chỉ sẽ thay đổi và hiển thị nhãn ” Không an toàn ” sẽ ngăn bạn tiếp tục hoặc ít nhất là khiến bạn chú ý rằng một thao tác không an toàn đang diễn ra.

Google Chrome chỉ HTTP không an toàn

Về mặt lý thuyết, điều này có tác dụng tuyệt vời, nhưng hãy hỏi dì của bạn xem cô ấy có hiểu UX này không hay cô ấy muốn mua cuốn sách điện tử giảm cân thần kỳ mới đến mức không quan tâm đến trục trặc của thanh địa chỉ nhỏ đó. Điều tồi tệ nhất có thể xảy ra là gì, phải không?

Khi sử dụng giao thức HTTPS, khách truy cập sẽ có một mức độ tin cậy nhất định; tin tưởng rằng bạn biết mình đang làm gì và bạn tôn trọng bảo mật và quyền riêng tư của họ. Vì sự tin tưởng và uy tín là những khía cạnh quan trọng của mua sắm trực tuyến và nhận thức chung về thương hiệu, nên việc tránh gắn nhãn ” Không an toàn ” và thay vào đó hiển thị các chữ cái màu xanh lục trong thanh địa chỉ của trình duyệt có thể mang lại những điều tuyệt vời cho tỷ lệ chuyển đổi và doanh số bán hàng của bạn.

Khi nói đến nhận thức thực tế của người dùng về HTTPS như một giao thức bảo mật, các báo cáo khác nhau cho thấy rằng người dùng internet thường không quan tâm đầy đủ đến bảo mật trực tuyến mặc dù thực tế họ bày tỏ lo ngại về vấn đề này.

Tuy nhiên, khi nói đến SSL / TLS, có thể cho rằng người dùng bình thường không quen thuộc với các thuật ngữ kỹ thuật liên quan đến nó, như đã chỉ ra trong một nghiên cứu của các nhà nghiên cứu từ cả Đại học CarletonHội đồng Nghiên cứu Quốc gia ở Canada.

Nghiên cứu chỉ ra rằng mọi người có rất ít sự khác biệt về mặt quyết định giữa các trang web sử dụng SSL và những trang web không sử dụng SSL. Theo họ, điều này đặc biệt quan trọng đối với trình duyệt Chrome, nơi có rất ít không gian để hiển thị các dấu hiệu bảo mật.

Con dấu tin cậy SSL

Mặt khác, khi một huy hiệu tin cậy phù hợp được đặt ở bất kỳ đâu trên một trang web, người dùng sẽ cảm thấy yên tâm hơn khi sử dụng thông tin cá nhân của họ trên đó. Một số trang web quyết định đặt huy hiệu này trong phần chân trang và đặc biệt là trên các trang sản phẩm, nơi người dùng được yêu cầu để lại dữ liệu của họ và thực hiện giao dịch. Ngoài ra, đã có một nghiên cứu của Viện ConversionXL đã kiểm tra mức độ đáng tin cậy của những huy hiệu này và hiệu quả của chúng.

Do đó, mặc dù thực tế là người dùng Internet trung bình không tạo ra sự khác biệt nhỏ giữa giao thức http: // https: // , các công ty nên cân nhắc sử dụng giao thức sau để tránh mất dữ liệu và lấy được lòng tin của người dùng.

Với việc mọi người dần nhận thức được các vấn đề về quyền riêng tư và bảo mật dữ liệu trực tuyến, các trang web kinh doanh cần phải nâng cao các tiêu chuẩn về mặt này. Cùng với thứ hạng tìm kiếm tốt hơn, việc triển khai SSL rõ ràng mang lại nhiều lợi ích và ít nhất nên được hầu hết các công ty hiện đại xem xét.

2. Cải thiện hiệu suất qua HTTP / 2

Giao thức HTTP là cốt lõi của web và là cách để trình duyệt web giao tiếp với máy chủ web và hiển thị các trang web. Nếu bạn đã sống dưới nền tảng trong 5 năm qua, có thể bạn đã không nghe nói về giao thức HTTP / 2, đây là một bản nâng cấp lớn của HTTP / 1.1 hiện tại về tính năng và hiệu suất. Chúng tôi đã viết về HTTP / 2 khoảng hai năm trước khi nó bắt đầu trở thành công nghệ chính thống.

Một số lợi ích qua HTTP / 1.x:

  • Nén dữ liệu của tiêu đề HTTP
  • Đẩy máy chủ HTTP / 2
  • Pipelining yêu cầu
  • Khắc phục sự cố chặn đầu dòng trong HTTP 1.x
  • Ghép nhiều yêu cầu qua một kết nối TCP duy nhất

Tất cả các tính năng này giúp làm cho HTTP / 2 trở thành nền tảng tốt nhất cho tương lai của web-question bằng cách làm cho các yêu cầu nhỏ hơn, song song và được ưu tiên tốt hơn.

Bạn có thể hỏi HTTP / 2 có liên quan gì với HTTPS và xếp hạng trong Google?

Như bạn có thể biết, hiệu suất web và trải nghiệm người dùng tuyệt vời là ưu tiên hàng đầu của Google, đó là lý do tại sao họ tăng xếp hạng cho các trang web nhanh bằng cách biến tốc độ trở thành tín hiệu xếp hạng .

Kết nối giữa HTTP / 2 và HTTPS nằm ở chỗ không thể sử dụng HTTP / 2 mà không có HTTPS ( nó yêu cầu rõ ràng ) và việc truy cập trang web trên cổng 443 ( cổng HTTPS mặc định ) sẽ kích hoạt kết nối HTTP / 2 khi máy chủ web được cấu hình để hỗ trợ nó. Hai điều này là một sự phù hợp được thực hiện trên trời vì bạn đang có được một trang web an toàn hơn và nhanh hơn mà khách truy cập của bạn cũng như Google sẽ yêu thích.

Để tận dụng tối đa HTTP / 2 và HTTPS, chúng tôi khuyên bạn nên kiểm tra dự án H5BP cung cấp các cấu hình chứa các phương pháp hiệu suất và bảo mật tốt nhất trong ngành cho phần mềm máy chủ web phổ biến nhất như Nginx, Apache, Lighttpd, IIS và Node.

Đối với lầm tưởng cũ rằng giao thức HTTPS chậm hơn nhiều so với HTTP thông thường, may mắn thay, nó không còn đúng nữa ( kiểm tra điều nàyđiều này ) vì ngày nay các công ty lưu trữ web có máy chủ trẻ hơn năm 2009 được trang bị bộ hướng dẫn mã hóa CPU hiện đại ( AES- NI ) và các chip phần cứng chuyên dụng chỉ thực hiện một nhiệm vụ này.

Ngoài ra, phần mềm máy chủ web hiện đại như Nginx hỗ trợ một số tối ưu hóa mã hóa như bộ nhớ đệm phiên thời gian chờ liên tục giúp tăng tốc các hoạt động tốn kém hiệu suất mã hóa kết nối này và làm cho khả năng tải trang HTTPS phụ thứ hai, vì vậy tuyên bố rằng HTTPS là chậm là không hợp lệ nữa.

HTTP / 3

HTTP / 3 được xây dựng dựa trên các khái niệm được thiết lập bởi HTTP / 2 và mặc dù nó vẫn chưa được sử dụng rộng rãi trên toàn thế giới, hỗ trợ HTTP / 3 gần đây đã được thêm vào Chrome và một số nền tảng nhất định đã bắt đầu sử dụng nó (như YouTube trong trình duyệt Chrome) . HTTP thế hệ thứ ba vẫn chưa trở thành giao thức chuẩn mặc định, nó có hỗ trợ không mặc định và có thể được bật trong các phiên bản ổn định của Chrome và Firefox. 

3. Cải thiện bảo mật

Vì HTTP đơn giản, cũ là một giao thức dựa trên văn bản, nên rất dễ chặn lưu lượng và đọc bất cứ thứ gì được truyền qua nó theo nghĩa đen. Bằng cách sử dụng HTTPS, là một giao thức nhị phân, những kẻ tấn công tiềm năng chỉ có thể nhìn thấy các tạo tác chứ không phải bản thân nội dung của yêu cầu, điều đó có nghĩa là dữ liệu được chuyển sẽ an toàn khỏi những con mắt tò mò, trừ khi chúng có thể nắm giữ khóa và giải mã lưu lượng truy cập để rình mò.

4. Xếp hạng của Google được cải thiện

Riêng sáng kiến HTTPS Everywhere của Google đảm bảo xếp hạng tăng nhẹ cho các trang web cung cấp HTTPS theo mặc định. Hãy biết trước rằng chỉ riêng sự gia tăng này không có gì đáng kinh ngạc hoặc, chứ đừng nói là một viên đạn bạc như mọi người thường cố gắng thể hiện nó.

Sự gia tăng xếp hạng này được Google gọi là ” tín hiệu rất nhẹ ” nghĩa là bạn sẽ có một lợi thế rất nhỏ so với các đối thủ cạnh tranh của mình, những người chưa sử dụng HTTPS và việc triển khai HTTPS một mình rất có thể sẽ không đẩy bạn đến đầu kết quả tìm kiếm vì có nhiều tín hiệu quan trọng hơn, chẳng hạn như nội dung chất lượng cao và backlink có thẩm quyền cao.

Điều quan trọng nhất cần hiểu về giá trị của HTTPS đối với thứ hạng của Google là việc kết hợp bản thân việc di chuyển với các lợi ích đã đề cập trước đó cũng đảm bảo thứ hạng được cải thiện ( tốc độ trang web từ HTTP / 2 – đặc biệt là trên thiết bị di động , CTR tăng từ việc sử dụng lược đồ HTTPS trong URL – vâng, CTR là một tín hiệu xếp hạng ) tạo ra một sự kết hợp có thể dẫn đến cải thiện thứ hạng có ý nghĩa.

Đây được gọi là phương pháp tiếp cận toàn diện , sự tổng hợp của các thành phần riêng lẻ cung cấp nhiều giá trị hơn so với từng thành phần riêng lẻ.

HTTPS Mọi nơi trò chuyện của Ilya Grigorik và Pierre Far from Google I / O 2014 dành cho những người đang tìm cách chuyển sang HTTPS. Họ đang thảo luận về một số khía cạnh thú vị của toàn bộ quy trình cũng như xóa bỏ những huyền thoại hàng thập kỷ ( vui lòng bỏ qua bất kỳ đề cập nào về giao thức SPDY vì nó đã không được chấp nhận vào năm 2016 để thay thế cho HTTP / 2 ).

Google có một bài viết chuyên dụng về ‘ Bảo mật trang web của bạn bằng HTTPS ‘ trong phần Trợ giúp của Search Console, trong đó cung cấp một số phương pháp hay nhất và chỉ ra một số cạm bẫy phổ biến trong quá trình này. Ngoài ra, bài viết trợ giúp Di chuyển trang web của họ có Câu hỏi thường gặp bao gồm một số câu hỏi nóng bỏng liên quan đến việc di chuyển trang web sang HTTPS và các lợi ích của nó.

Hạn chế của việc sử dụng HTTPS là gì?

Hạn chế không liên quan đến bản thân giao thức, mà là do sự phức tạp của việc thực hiện và các kết quả có thể xảy ra. Ví dụ: trường hợp mà chúng tôi thường thấy nhất là khách hàng triển khai giao thức HTTPS nhưng hoàn toàn bỏ qua phần còn lại của các thủ tục cần thiết sẽ giúp Google hiểu được việc chuyển đổi.

Việc triển khai HTTPS mà không định cấu hình chuyển hướng 301 chính xác và thay đổi đường dẫn để chỉ tồn tại các URL HTTPS có thể dẫn đến vô số vấn đề, trong đó ảnh hưởng nhất bao gồm:

Nội dung trùng lặp

Mặc dù tác động của việc trùng lặp nội dung được phóng đại rất nhiều trong cộng đồng SEO trong nỗ lực bán dịch vụ cho khách hàng, nhưng tuyên bố này có một số điểm đáng giá. Google tuyên bố rằng sao chép nội dung có thể vừa không độc hại vừa độc hại, tùy thuộc vào phạm vi và ý định đằng sau việc sao chép.

Bằng nội dung trùng lặp không độc hại mà họ coi là:

  • Các trang diễn đàn thông thường có phiên bản rút gọn dành cho thiết bị di động.
  • URL trang sản phẩm thương mại điện tử với nhiều thông số sắp xếp / lọc khác nhau
  • Phiên bản trang chỉ in

Bằng nội dung trùng lặp độc hại, họ coi các trang được sao chép một cách có chủ ý trên các tên miền và tên miền phụ khác nhau với nỗ lực thao túng thứ hạng của công cụ tìm kiếm và nhận được nhiều lưu lượng truy cập hơn. Điều này dẫn đến UX kém vì người dùng cuối cùng nhận được nội dung giống nhau hoặc tương tự trong các trang kết quả tìm kiếm và điều này gây ra sự thất vọng.

Mặc dù Google tuyên bố rằng họ làm rất tốt việc hợp nhất nội dung trùng lặp để việc hiển thị nội dung đó được giảm thiểu đến mức tối thiểu, tôi xin phép khác và tin rằng công việc có thể được thực hiện tốt hơn.

Đối với tất cả chủ sở hữu trang web có cả trang HTTP và HTTPS được lập chỉ mục, đừng lo lắng, bạn sẽ không bị phạt vì điều này vì không tồn tại hình phạt nội dung trùng lặp, nhưng nếu bạn muốn cung cấp trải nghiệm tốt nhất có thể cho khách truy cập tiềm năng của bạn, hãy hợp nhất các phiên bản trang web HTTP và HTTPS bằng cách thực hiện chuyển hướng 301 toàn cầu để chỉ các URL có giản đồ mong muốn xuất hiện trong kết quả tìm kiếm.

Như một phần thưởng, giá trị từ các liên kết đến sẽ tiếp tục đổ vào một trang duy nhất thay vì được phân phối cho nhiều trang. Một số người sẽ nói rằng chuyển hướng là không tốt vì giá trị liên kết đến bị mất trong quá trình chuyển hướng. Đây là một huyền thoại lâu đời và Google đã xác nhận rằng chuyển hướng 301 đang chuyển 100% giá trị đến đích, vì vậy đừng lo lắng về điều này.

Nội dung hỗn hợp

Đây là một vấn đề chính hãng. Nhiều trang web di chuyển quên thay đổi URL tài nguyên tĩnh của chúng (tệp Javascript, trang tính CSS, phông chữ web, hình ảnh, v.v.) để tất cả URL http: // được thay đổi thành https: // giản đồ. Đây là một vấn đề do cơ chế bảo mật của trình duyệt web được thiết kế để chặn các tài nguyên có URL “không an toàn” ( http: // ) trên các trang HTTPS.

Hành vi này có thể ảnh hưởng đến UX vì trang web có thể không được hiển thị như dự kiến, hoặc thiếu các tính năng hoặc hoàn toàn không sử dụng được.

Vấn đề nội dung hỗn hợp có thể dễ dàng xác định bằng trình duyệt web trên một trang nhưng để tìm ra vấn đề này trên toàn trang web, cần phải có phần mềm thu thập thông tin như Screaming Frog .

Để hiểu vấn đề về nội dung hỗn hợp trông như thế nào, hãy xem ảnh chụp màn hình này:

Chỉ báo Nội dung Hỗn hợp HTTPS

Lưu ý biểu tượng chiếc khiên nhỏ, chéo ở bên phải. Khi được nhấp vào, nó sẽ hiển thị hộp thoại này:

Nội dung hỗn hợp của Chrome - Đang tải hộp thoại Tập lệnh không an toàn

Ngoài ra, danh sách chi tiết của tất cả các tài nguyên bị chặn trên trang có thể được xem trong Bảng điều khiển Javascript của Công cụ dành cho nhà phát triển của trình duyệt ( nhấn F12 ):

Công cụ dành cho nhà phát triển Chrome Nội dung hỗn hợp

Điều này có nghĩa là trang web không tải đầy đủ và thiếu một số tài nguyên nhất định. Thông thường, đây là một tệp CSS hoặc phông chữ web bị thiếu lành tính không ảnh hưởng đến chức năng, nhưng nó có thể là một vấn đề nghiêm trọng hơn nhiều. Ví dụ: khi lịch sự kiện tạo khách hàng tiềm năng, trang đích kiếm doanh thu hoặc các tính năng để thêm sản phẩm vào giỏ hàng của bạn không hoạt động vì Javascript quan trọng bị chặn tải.

Điều cần thiết là bạn phải cố gắng phát hiện và nếu cần, hãy khắc phục sự cố này sau khi quá trình di chuyển được thực hiện.

Cấu hình nâng cao & Cơ chế bảo mật bổ sung

Ngoài việc triển khai SSL / TLS, có một số tiêu đề HTTP tùy chọn có thể được thêm vào cấu hình máy chủ web để tạo kết nối và triển khai SSL / TLS thậm chí còn chặt chẽ hơn.

Cơ chế bảo mật web bổ sung |  Bốn chấm

HSTS – Bảo mật truyền tải nghiêm ngặt HTTP

Tiêu đề này yêu cầu trình duyệt lưu chứng chỉ vào bộ nhớ cache trong một khoảng thời gian được chỉ định và kết nối độc quyền qua HTTPS trong tương lai. Sử dụng nó nếu và chỉ khi, bạn hoàn toàn khẳng định rằng bạn sẽ không chuyển trở lại chỉ HTTP; như đã từng được hướng dẫn bởi nó, trình duyệt web sẽ không thể tải phiên bản chỉ HTTP của trang web cho đến khi hết giá trị thời gian được nhập trong cấu hình tiêu đề HTTP ( thường là 6-12 tháng ).

Ngoài miền gốc, tiêu đề này cũng có thể được định cấu hình để bao gồm các miền phụ. Lưu ý rằng cấu hình cụ thể này có thể không phải là những gì bạn muốn nếu bạn đang sử dụng tên miền phụ chỉ HTTP cho bất kỳ mục đích nào ( khu vực tổ chức, phân tích, email trên web, v.v. ).

Ngoài ra, các miền sử dụng HSTS có thể được đưa vào danh sách tải trước , đây là một dịch vụ để đưa trang web vào danh sách mã hóa cứng của Google Chrome ( và một số trình duyệt chính khác ) gồm các trang web chỉ sử dụng HTTPS, mà trình duyệt web thậm chí không cố gắng kết nối với qua HTTP đơn giản.

Để biết chi tiết triển khai, hãy tham khảo các hướng dẫn này cho NginxApache .

HPKP – Ghim khóa công khai HTTP

Lưu ý rằng đây là tiêu đề kế thừa và chúng tôi đang đề cập đến nó hoàn toàn vì giá trị ngữ cảnh của tiêu đề tiếp theo trong danh sách này. 

Hỗ trợ cho HPKP đã không còn được cung cấp trong Google Chrome vào tháng 5 năm 2018 do các vấn đề về khả năng sử dụng khiến hầu hết mọi người đều khó áp dụng và sử dụng cơ chế bảo mật này.

Đơn giản hóa, tiêu đề HPKP được giới thiệu để phát hiện thay đổi khóa công khai của chứng chỉ cho một máy chủ / miền cụ thể. Điều này có thể xảy ra trong trường hợp CA bị xâm nhập ( hoặc bị lừa, hãy nhớ câu chuyện StartCom và WoSign trước đó chứ? ) Để kẻ tấn công có thể cấp hoặc lấy chứng chỉ hợp lệ cho bất kỳ miền nào theo đúng nghĩa đen.

Bằng cách thêm tiêu đề HTTP chứa một hoặc nhiều giá trị SHA-256 ( thuật toán băm mật mã ) của khóa công khai chứng chỉ, quản trị viên web có thể giới hạn số lượng CA có thể cấp chứng chỉ cho miền của họ.

Expect-CT – Tính minh bạch của chứng chỉ

Tiêu đề HTTP này được Google giới thiệu và ủng hộ như một sự thay thế an toàn hơn cho HPKP do tính linh hoạt mà nó mang lại cho quản trị viên web để khôi phục các lỗi cấu hình có thể khiến trang web không sử dụng được trong một số trường hợp nhất định. Ngoài ra, điều này được cho là để sửa một số lỗi cấu trúc trong hệ thống cấp chứng chỉ SSL. Thông tin thêm về Expect-CT có thể được tìm thấy trên trang web chính thức của dự án .

Cơ chế này cho phép chúng tôi giám sát và kiểm tra các chứng chỉ SSL gần như trong thời gian thực và giúp chúng tôi có thể phát hiện các chứng chỉ được cấp nhầm / độc hại và các CA giả mạo.

Tiêu đề HTTP Expect-CT có nghĩa là được sử dụng cùng với các dịch vụ giám sát bên ngoài như ReportURI , nơi các vi phạm chính sách bảo mật có thể được báo cáo, quan sát và hành động. Để có tài liệu chuyên sâu về Expect-CT và triển khai, vui lòng tham khảo các bài đăng trên blog của Scott Helme ( nhà nghiên cứu bảo mật và diễn giả quốc tế ) về chủ đề này:

Để hiểu được mức độ nghiêm trọng của sáng kiến ​​này, tại cuộc họp lần thứ 39 của Diễn đàn CA / Trình duyệt (một nhóm CA và các nhà cung cấp trình duyệt web, những người đặt ra các nguyên tắc ngành và định hình ngành ), Google đã đặt tháng 10 năm 2017 là thời hạn để tất cả CA ghi việc cấp chứng chỉ của họ nếu họ muốn tiếp tục được Chrome tin cậy. Điều này đủ nói lên mức độ cam kết của Google đối với bảo mật web.

OCSP Stapling – Gia hạn Yêu cầu Trạng thái Chứng chỉ

OCSP là một cách để khách hàng kiểm tra trạng thái thu hồi chứng chỉ. Trong trường hợp máy chủ lưu trữ web bị xâm nhập, kẻ tấn công có thể đánh cắp chứng chỉ và mạo danh trang web / công ty bằng cách sử dụng cùng một chứng chỉ trên trang web của chính họ với tên miền và thương hiệu tương tự, để lừa khách truy cập nghĩ rằng họ đang giao dịch với một công ty hợp pháp và có khả năng gây thiệt hại tài chính cho họ.

Công ty lưu trữ web có thể thay thế chứng chỉ bị xâm phạm nhưng điều này sẽ không ngăn kẻ tấn công mạo danh bạn miễn là chứng chỉ vẫn còn hiệu lực. Tình huống này yêu cầu thu hồi chứng chỉ do đó kiểm tra việc thu hồi chứng chỉ hoặc OCSP được giới thiệu.

Việc thực hiện ghim OCSP rất dễ dàng và chỉ cần thêm một số dòng vào tệp cấu hình chính của máy chủ web ( Nginx , Apache ).

Bằng cách này, một trong những nhiệm vụ chung của việc sử dụng SSL / TLS – nhiệm vụ kiểm tra trạng thái thu hồi – được giao cho máy chủ web thay vì cho máy khách. Điều này đã cải thiện hiệu suất kết nối vì khách hàng không cần phải kiểm tra nhanh Danh sách thu hồi chứng chỉ ( CRL ) nữa.

CRL là danh sách các chứng chỉ kỹ thuật số bị thu hồi bởi một CA nhất định và là một phương pháp không được dùng nữa để thực hiện việc kiểm tra này vì nó có trách nhiệm thêm chi phí lên đến 1 giây ( hoặc thậm chí nhiều hơn tùy theo tình huống ) vào việc thiết lập kết nối. hiệu suất cảm nhận của trang web trong mắt khách truy cập của bạn. OCSP được coi là một cải tiến hiệu suất kết nối SSL / TLS tuyệt vời.

Mã hóa là tương lai của web

Google với sáng kiến ​​HTTPS Everywhere của họ đã nói to và rõ ràng rằng mã hóa và HTTPS là tương lai của web, do đó họ đã hướng dẫn trình thu thập thông tin của mình kiểm tra các trang HTTPS theo mặc định . Điều này có nghĩa là nếu bạn có cả hai trang HTTP và HTTPS nhưng không có chuyển hướng 301 – chúng sẽ cố gắng thu thập thông tin cả hai và cung cấp một trang HTTPS trong kết quả tìm kiếm trong các điều kiện nhất định:

  • Trang không chứa phần phụ thuộc không an toàn.
  • Trang không bị robots.txt chặn thu thập thông tin.
  • Trang không chuyển hướng người dùng đến hoặc qua một trang HTTP không an toàn.
  • Trang không có liên kết rel = ”canonical” đến trang HTTP.
  • Trang không chứa thẻ meta rô bốt ngăn lập chỉ mục.
  • Trang không có liên kết nội bộ đến URL HTTP.
  • Sơ đồ trang web liệt kê URL HTTPS hoặc không liệt kê phiên bản HTTP của URL
  • Máy chủ có chứng chỉ TLS hợp lệ.

Một số người có thể nói “Chà, tại sao không để Google quản lý việc thu thập thông tin, lập chỉ mục và xếp hạng các trang họ muốn?”

Google tự động hóa rất nhiều thứ và hành vi này thường dẫn đến các kết quả tồi tệ như tự động viết lại tiêu đề của trang và các đoạn mô tả meta, thường trông khó hiểu và hoàn toàn không phải những gì chủ sở hữu trang web muốn, vì vậy tốt hơn hãy làm bất cứ điều gì bạn có thể tự và để lại càng ít có thể để Google tự làm. Điều đó sẽ đảm bảo kết quả tốt nhất cho Google, khách truy cập và cuối cùng cho bạn với tư cách là chủ doanh nghiệp.

Sự quan tâm của cộng đồng, phản đối và phản hồi

Bây giờ, để thực sự chuyển sang HTTPS, bạn có thể cần phải làm việc với một đối tác đáng tin cậy và thường trả thêm một chút để có được sự bảo mật cần thiết. Đối với các công ty nhận thức được tầm quan trọng của việc bảo vệ dữ liệu của khách hàng, đây không phải là một vấn đề đáng lo ngại và chỉ là một bước hợp lý trong quá trình cải thiện trải nghiệm người dùng. Tuy nhiên, trong khi hầu hết các công ty không sẵn sàng thỏa hiệp về bảo mật, vấn đề chi phí bổ sung dường như là mối quan tâm chính đáng đối với một số công ty nhỏ hơn.

Đối với những người đưa ra vấn đề này trên Twitter, John Mueller ( Nhà phân tích xu hướng quản trị trang web tại Google ) đã trả lời bằng nhận xét này:

“Mặc dù có lẽ không phải là lời khuyên hữu ích nhất cho một chủ sở hữu công ty khởi nghiệp lo lắng về chi phí chuyển sang HTTPS, nhưng câu trả lời của Mueller ngụ ý giá trị của việc thực hiện bước này. 

Cụ thể, bảo mật đang trở thành mối quan tâm ngày càng tăng và tất cả mọi người – từ người dùng cuối đến chủ sở hữu trang web – cần phải làm việc này để tạo ra một trang web an toàn hơn. Xét cho cùng, việc đền bù bảo mật có thể tốn kém hơn so với việc nhận chứng chỉ SSL nếu xảy ra vi phạm dữ liệu lớn.

Do đó, SSL đại diện cho một chiến lược bảo vệ dữ liệu lâu dài và như vậy sẽ là trọng tâm cho các quản trị viên web trong những năm tiếp theo ”.

Trong khi sử dụng rộng rãi HTTPS có một số lợi ích rõ ràng cho tương lai của web, nhiều chủ sở hữu trang web thấy áp đặt chuyển tiếp như một gánh nặng không cần thiết và thêm chi phí.

Đúng là một số lượng lớn các trang web không có trang thanh toán hoặc bất kỳ hình thức thu thập dữ liệu nào khác, vì vậy họ có thể không thực sự cần phải chi thêm tiền để đảm bảo lưu lượng truy cập web. Đối với họ, nhận được chứng chỉ SSL là một chi phí bổ sung và có thể là một trở ngại kỹ thuật.

Liên quan đến vấn đề này, Luanna Spinetti đã thu thập suy nghĩ của những người có ảnh hưởng để khám phá xem liệu chuyển sang HTTPS có giá trị đáng kể hay không. Khá mong đợi, các ý kiến ​​khác nhau với hầu hết những người được hỏi chỉ ra sự cần thiết chung để cải thiện bảo mật web, đồng thời nhấn mạnh thực tế là tùy từng cá nhân để xác định xem bước này có đáng giá cho trang web của họ hay không.

Lukasz Zelezny của zelezny.uk ghi chú:

“Tôi có nghĩ rằng HTTPS là cần thiết? Không thực sự trừ khi bạn yêu cầu khách truy cập trang web của bạn cung cấp thông tin bí mật hoặc thực hiện thanh toán qua trang web của bạn. Tuy nhiên, trong tương lai, nó có thể có nghĩa là sự khác biệt giữa xếp hạng trang ở vị trí số 1 hoặc số 2 trong tìm kiếm – điều này khiến nó trở nên cần thiết ”.

Từ góc độ này, rõ ràng là không phải tất cả các trang web đều cần SSL tại thời điểm này. Tuy nhiên, đây là một hướng chung mà thế giới SEO đang vận động và chắc chắn là một điều quan trọng cần xem xét vì nó đã là một tín hiệu xếp hạng quan trọng trong một thời gian khá dài.

Điều này được minh họa trong trường hợp của The Washington Post , đã mất nhiều tháng để chuyển hướng tất cả các trang của họ sang phiên bản an toàn của họ. Trong một câu chuyện về quá trình chuyển đổi sang HTTPS kéo dài mười tháng của tạp chí , Will Van Vazer đã chỉ ra tất cả những thách thức của quá trình này, nhấn mạnh rằng thực tế là nó đáng giá .

Đối với một ấn phẩm lớn như The Washington Post, nó sẽ phải đối mặt với một số thách thức mà một số trang web nhỏ hơn không nên quan tâm đến. Trên thực tế, như John Mueller đã chỉ ra liên quan đến cam kết này, điều này chỉ có nghĩa là việc chuyển đổi sang HTTPS không chỉ là một tiếng vang, mà thực sự là một bước quan trọng trong việc đảm bảo uy tín của một trang web.

Nếu phải mất 10 tháng để một trang web lớn chuyển sang HTTPS, bạn có thể cho rằng họ không chỉ làm việc đó để chạy theo mốt. Việc chuyển sang HTTPS ngày càng dễ dàng hơn, đặc biệt là đối với các trang web nhỏ hơn, nhưng ngay cả khi đó, vẫn có những chi tiết mà đôi khi bạn phải tìm giải pháp.

Giới thiệu và tầm quan trọng của GDPR

Cờ EU

Vào ngày 16 tháng 4 năm 2014, Nghị viện Liên minh Châu Âu đã ban hành luật mới có tên là Quy định chung về bảo vệ dữ liệu ( GDPR ) mà ngày thực thi bắt đầu từ ngày 25 tháng 5 năm 2018. Tin tức này đã gây khó khăn cho các phương tiện truyền thông lớn và bắt đầu khiến các doanh nghiệp và ban quản lý phải xem xét lại các phương pháp và thủ tục bảo mật của họ để tránh bị phạt nặng ( những con mắt kỳ lạ nhìn Equifax và Tinder ).

Luật tương đối mới này đóng vai trò là một công cụ rất cần thiết để ngăn chặn một số vi phạm bảo mật được đề cập trong bài viết này và làm cho công chúng quen thuộc với chúng khi chúng xảy ra cùng với những vi phạm khác . Mục đích của luật này là buộc các công ty vi phạm phải chịu trách nhiệm theo cách nghiêm khắc hơn nhiều so với trước đây, bởi vì mọi công ty lưu trữ và xử lý dữ liệu cá nhân của công dân EU ( hầu hết các thương hiệu SaaS ) đều phải có vai trò nhân viên quản lý mới, hoặc trực tiếp việc làm hoặc bằng cách sử dụng các dịch vụ tư vấn bên ngoài.

Các cán bộ Bảo vệ dữ liệu ( DPO ) nên hành động như một người chịu trách nhiệm rao giảng Tin Mừng bảo mật dữ liệu và sự riêng tư thực hành tốt nhất toàn công ty, cùng với thực hiện các cuộc kiểm toán an ninh đối với tài sản của công ty ngoài việc thông báo cho các nhà chức trách về các vấn đề khi chúng xảy ra.

Luật mới sẽ buộc các công ty phải đặc biệt chú ý đến sự kết hợp bảo mật và quyền riêng tư như một vấn đề tiềm ẩn rất lớn trong những ngày này, bởi vì việc không tiết lộ và phân loại vi phạm sẽ yêu cầu các công ty phải trả khoản tiền phạt lên đến 4% doanh thu toàn cầu hàng năm hoặc 20 triệu euro ( giá trị nào lớn hơn ).

Luật này hoàn toàn bao gồm chủ đề SSL / TLS / HTTPS đã thảo luận, vì việc không tiết lộ rò rỉ dữ liệu trên các trang web và ứng dụng không an toàn sẽ ảnh hưởng đến các công ty theo cách đã mô tả, đó là lý do tại sao các công ty đó có thể sẽ phải tăng tốc độ áp dụng giao thức an toàn, để lợi ích cuối cùng của mọi người dùng Internet.

Lợi ích của việc sử dụng SSL, TLS và HTTPS |  Bốn chấm

Phần kết luận

HTTPS là một phương pháp tuyệt vời ( mặc dù là phương pháp duy nhất ) để đảm bảo lưu lượng truy cập web và cung cấp cho khách truy cập sự riêng tư rất cần thiết hiện nay khi tội phạm mạng như dữ liệu thẻ tín dụng và trộm cắp danh tính đang gia tăng. Tuy nhiên, điều quan trọng là phải hiểu rằng việc triển khai nó phải bao gồm nhiều cơ sở hơn là cài đặt chứng chỉ thuần túy. Có những khía cạnh quan trọng cần xem xét, nếu không được chọn có thể ảnh hưởng đến UX của khách truy cập, doanh thu, hình ảnh thương hiệu và doanh nghiệp của bạn nói chung.

Mặc dù rõ ràng đây là một vấn đề kỹ thuật, nhưng việc thiết lập SSL trên một trang web không nhất thiết phải phức tạp hoặc tốn kém. Ví dụ, CloudFlare đã cung cấp chứng chỉ miễn phí cho người tiêu dùng từ cuối năm 2014 với mục đích khuyến khích việc áp dụng HTTPS rộng rãi hơn. Do đó, tất cả các chủ sở hữu trang web nghĩ rằng việc chuyển đổi sang HTTPS có ý nghĩa đối với doanh nghiệp của họ có thể tìm thấy những cách dễ dàng và hợp lý để thử.

Ngoài giá trị SEO, cũng có nhiều lý do khác tại sao nên triển khai SSL. Rốt cuộc, việc nhận được chứng chỉ chỉ vì lý do SEO không phải là điều Google thực sự cố gắng khuyến khích. Cung cấp trải nghiệm người dùng tuyệt vời phải là động lực chính để quản trị viên web đảm bảo lưu lượng truy cập trang web của họ.

Tầm quan trọng của việc sử dụng mã hóa trên web dường như đã bắt đầu trở thành tiêu đề chỉ sau khi Google quyết định coi nó như một tín hiệu xếp hạng. Tuy nhiên, vai trò của nó trong việc cải thiện danh tiếng của một doanh nghiệp đã rất quan trọng ngay cả trước khi nó trở thành một trong những yếu tố xếp hạng tìm kiếm. Cụ thể, phương pháp bảo mật này có thể vẽ nên bức tranh đẹp hơn về công ty hoặc trang web, giúp duy trì danh tiếng trực tuyến ổn định.

Cuối cùng, bạn, với tư cách là người dùng cuối của dịch vụ web, có một số trách nhiệm của riêng mình. Nếu bạn quan tâm đến quyền riêng tư và bảo mật của mình và muốn chủ động thay vì chờ đợi một vi phạm bảo mật ảnh hưởng đến bạn theo cách nào đó khủng khiếp, hãy theo dõi dữ liệu cá nhân của bạn và sự xuất hiện của chúng trên web bằng cách sử dụng các dịch vụ như Have I Been Pwned . Bằng cách nhập địa chỉ email của mình, bạn có thể kiểm tra xem các dịch vụ bạn đang sử dụng có bị vi phạm bảo mật hay không và dữ liệu của bạn có bị đánh cắp và xuất bản hay không. Nếu có, hãy thay đổi mật khẩu của bạn, đặc biệt nếu bạn là một trong những người sử dụng cùng một mật khẩu cho nhiều dịch vụ.

Bạn đã chuyển sang HTTPS chưa? Là một quản trị viên web hoặc chủ doanh nghiệp, bạn thấy thách thức lớn nhất trong quá trình này là gì?