Nếu bạn thu thập bất kỳ thông tin nhạy cảm nào trên trang web của mình (bao gồm email và mật khẩu), thì bạn cần được bảo vệ an toàn. Một trong những cách tốt nhất để giữ an toàn cho bản thân là bật chứng chỉ HTTPS, còn được gọi là SSL (Lớp cổng bảo mật), để tất cả thông tin đến và đi từ máy chủ của bạn đều được mã hóa tự động. Chứng chỉ HTTPS ngăn chặn tin tặc xâm nhập thông tin bí mật của người dùng của bạn khi nó được lưu trữ trên Internet. Họ sẽ cảm thấy an toàn khi nhìn thấy chứng chỉ HTTPS khi truy cập trang web của bạn - biết rằng nó được bảo vệ bởi chứng chỉ bảo mật.
Lợi ích của chứng chỉ
Điều tốt nhất về chứng chỉ SSL, cũng giống như HTTPS, là nó rất dễ thiết lập và sau khi hoàn tất, bạn sẽ cần hướng mọi người sử dụng chứng chỉ HTTPS thay vì HTTP. Nếu bạn cố gắng truy cập trang web của mình bằng cách đặt https:// trước URL của mình ngay bây giờ, bạn sẽ gặp lỗi chứng chỉ HTTPS. Điều này là do bạn chưa cài đặt chứng chỉ SSL HTTPS. Nhưng đừng lo, chúng tôi sẽ thiết lập nó ngay lập tức!
Khách truy cập của bạn sẽ cảm thấy an toàn hơn trên trang web của bạn khi họ thấy chứng chỉ HTTPS khi truy cập trang web của bạn- biết rằng nó được bảo vệ bằng chứng chỉ bảo mật.
HTTPS là gì?
HTTP hoặc HTTPS được hiển thị ở đầu mỗi URL trang web trong trình duyệt web. HTTP là viết tắt của Hypertext Transfer Protocol và S trong HTTPS là viết tắt của Secure. Nói chung, điều này mô tả giao thức mà dữ liệu được gửi giữa trình duyệt của bạn và trang web bạn đang xem.
Chứng chỉ HTTPS đảm bảo rằng tất cả giao tiếp giữa trình duyệt của bạn và trang web bạn đang xem đều được mã hóa. Điều này có nghĩa là nó an toàn. Chỉ máy tính nhận và gửi mới có thể nhìn thấy thông tin trong khi dữ liệu đang được truyền đi (người khác có thể truy cập nhưng không thể đọc được). Trên các trang web an toàn, trình duyệt web hiển thị biểu tượng ổ khóa trong khu vực URL để thông báo cho bạn.
HTTPS phải có trên bất kỳ trang web nào thu thập mật khẩu, thanh toán, thông tin y tế hoặc dữ liệu nhạy cảm khác. Nhưng điều gì sẽ xảy ra nếu bạn có thể nhận được chứng chỉ SSL miễn phí và hợp lệ cho miền của mình?
Bảo vệ trang web hoạt động như thế nào?
Để bật chứng chỉ bảo mật HTTPS, bạn cần cài đặt SSL (Lớp cổng bảo mật). Nó chứa khóa công khai được yêu cầu để bắt đầu phiên một cách an toàn. Khi kết nối HTTPS với một trang web được yêu cầu, trang web đó sẽ gửi chứng chỉ SSL đến trình duyệt của bạn. Sau đó, họ bắt đầu "bắt tay SSL", liên quan đến việc chia sẻ "bí mật" để thiết lập kết nối an toàn giữa trình duyệt của bạn và trang web.
SSL tiêu chuẩn và mở rộng
Nếu trang web sử dụng chứng chỉ SSL tiêu chuẩn, bạn sẽ thấy biểu tượng ổ khóa trong vùng URL của trình duyệt. Nếu chứng chỉ Xác thực Mở rộng (EV) được sử dụng, thanh địa chỉ hoặc URL sẽ có màu xanh lục. Tiêu chuẩn EV SSL vượt trội hơn so với tiêu chuẩn SSL. EV SSL cung cấp bằng chứng về danh tính của chủ sở hữu miền. Để có được chứng nhận EV SSL cũng yêu cầu người đăng ký phải trải qua một quy trình đánh giá nghiêm ngặt để xác minh tính xác thực và quyền sở hữu của họ.
Điều gì xảy ra nếu bạn sử dụng HTTPS mà không có chứng chỉ?
Ngay cả khi trang web của bạn không chấp nhận hoặc chia sẻ dữ liệu nhạy cảm, có một số lý do khiến bạn có thể muốn có một trang web an toàn và sử dụng chứng chỉ SSL miễn phí và hợp lệ cho miền của mình.
Hiệu suất. SSL có thể cải thiện thời gian tải trang.
Tối ưu hóa công cụ tìm kiếm (SEO). Mục tiêu của Google là giữ cho Internet an toàn và bảo mật cho tất cả mọi người, không chỉ những người sử dụng Google Chrome, Gmail và Drive chẳng hạn. Công ty nói rằng bảo mật sẽ là một yếu tố trong cách họ xếp hạng các trang web trong kết quả tìm kiếm. Cho đến nay điều này vẫn chưa đủ. Tuy nhiên, nếu bạn có một trang web an toàn và các đối thủ cạnh tranh của bạn thì không, trang web của bạn có thể xếp hạng cao hơn, điều này có thể cần thiết để tăng mức độ phổ biến của nó trên trang kết quả tìm kiếm.
Nếu trang web của bạn không an toàn và thu thập mật khẩu hoặc thẻ tín dụng, người dùng Chrome 56 (phát hành tháng 1 năm 2017) sẽ thấy cảnh báo rằngrằng trang web không an toàn. Những khách truy cập không quen thuộc với công nghệ (hầu hết người dùng trang web) có thể lo lắng khi thấy hộp "Lỗi chứng chỉ HTTPS" và rời khỏi trang web của bạn chỉ vì họ không hiểu ý nghĩa của nó. Mặt khác, nếu trang web của bạn an toàn, nó có thể làm cho khách truy cập cảm thấy thoải mái hơn, khiến họ có nhiều khả năng điền vào biểu mẫu đăng ký hoặc để lại nhận xét trên trang web của bạn. Google có kế hoạch dài hạn để hiển thị tất cả các trang web HTTP là không an toàn trong Chrome.
Tôi có thể nhận chứng chỉ HTTPS miễn phí ở đâu?
Bạn nhận được chứng chỉ SSL từ cơ quan cấp chứng chỉ. Những chứng chỉ này có giá trị trong 90 ngày, nhưng bạn nên gia hạn 60 ngày. Một số nguồn miễn phí đáng tin cậy:
- Cloudflare: Miễn phí cho các trang web và blog cá nhân.
- FreeSSL: miễn phí cho các tổ chức phi lợi nhuận và các công ty mới thành lập tại thời điểm hiện tại; không thể là ứng dụng khách Symantec, Thawte, GeoTrust hoặc RapidSSL.
- StartSSL: Chứng chỉ có giá trị từ 1 đến 3 năm.
- GoDaddy: Chứng chỉ cho các dự án mã nguồn mở, có giá trị trong vòng 1 năm.
Loại chứng chỉ và thời hạn hiệu lực tùy thuộc vào nguồn. Hầu hết các cơ quan có thẩm quyền cung cấp chứng chỉ SSL tiêu chuẩn miễn phí và tính phí đối với chứng chỉ EV SSL nếu họ cung cấp. Cloudflare cung cấp các gói trả phí và miễn phí cùng nhiều tùy chọn bổ sung.
Điều cần lưu ý khi nhậnChứng chỉ SSL?
Google đề xuất chứng chỉ có khóa 2048 bit tại đây. Nếu bạn đã có chứng chỉ 1024-bit yếu hơn, bạn nên cập nhật chứng chỉ đó.
Bạn sẽ cần quyết định xem mình cần một, nhiều miền hay chứng chỉ ký tự đại diện:
- Một chứng chỉ sẽ được sử dụng cho một miền (ví dụ: www.example.com).
- Chứng chỉ đa miền sẽ được sử dụng cho nhiều miền nổi tiếng (ví dụ: www.example.com, cdn.example.com, example.co.uk).
- Chứng chỉ ký tự đại diện sẽ được sử dụng cho miền bảo mật có nhiều miền phụ động (ví dụ: a.example.com, b.example.com).
Làm cách nào để cài đặt chứng chỉ SSL?
Máy chủ web của bạn có thể cài đặt chứng chỉ miễn phí hoặc tính phí. Một số máy chủ thực sự có tùy chọn cài đặt Let's Encrypt trong cPanel cá nhân của họ, điều này giúp mọi thứ dễ dàng hơn. Hãy hỏi máy chủ hiện tại của bạn hoặc tìm máy chủ cung cấp hỗ trợ trực tiếp cho Let's Encrypt. Nếu máy chủ lưu trữ không cung cấp dịch vụ này, công ty bảo trì trang web hoặc nhà phát triển của bạn có thể cài đặt chứng chỉ cho bạn. Bạn phải chuẩn bị cho thực tế rằng bạn sẽ phải gia hạn chứng chỉ rất thường xuyên. Kiểm tra khung thời gian với chứng chỉ.
Cần phải làm gì nữa?
Sau khi lấy và cài đặt chứng chỉ SSL, bạn cần thực thi SSL trên trang web. Một lần nữa, bạn có thể hỏi máy chủ web, công ty dịch vụ hoặcnhà phát triển để thực hiện hành động này. Tuy nhiên, nếu bạn muốn tự mình làm và trang web của bạn được cung cấp bởi WordPress, bạn có thể làm như vậy bằng cách tải xuống, cài đặt và sử dụng plugin. Với tùy chọn thứ hai, hãy đảm bảo kiểm tra khả năng tương thích với phiên bản WordPress của bạn.
Hai plugin thực thi SSL phổ biến: SSLWP đơn giản, plugin SSLSSL được thực thi. Hãy chắc chắn sao lưu trang web của bạn và rất cẩn thận khi làm như vậy. Nếu bạn định cấu hình sai thứ gì đó, nó có thể gây ra hậu quả tai hại: khách truy cập sẽ không thể nhìn thấy trang web của bạn, hình ảnh không hiển thị, tập lệnh không tải, điều này sẽ ảnh hưởng đến cách một số thứ trên trang web của bạn hoạt động, chẳng hạn như kiểu chữ và màu sắc không hiển thị đúng cách.
Bạn cần chuyển hướng người dùng và công cụ tìm kiếm đến các trang HTTPS bằng cách sử dụng chuyển hướng 301 trong tệp.htaccess trong thư mục gốc trên máy chủ. Tệp.htaccess là một tệp ẩn, vì vậy hãy đảm bảo rằng chương trình FTP của bạn được đặt để hiển thị các tệp ẩn. Ví dụ: trong FileZilla, hãy chuyển đến Server> Buộc xem các tệp ẩn. FileZillaTrước khi thêm chuyển hướng, bạn nên sao lưu tệp.htaccess của mình. Trên máy chủ, tạm thời đổi tên tệp bằng cách xóa dấu chấm (điều này khiến nó ẩn ngay từ đầu), tải xuống tệp (giờ sẽ hiển thị trên máy tính của bạn do dấu chấm bị xóa), sau đó thêm dấu chấm trở lại. đến những gì trên máy chủ.
Thay đổi cài đặtGoogle Analytics
Sau khi hoàn thành các bước này, bạn cần thay đổi URL ưa thích trong tài khoản Google Analytics của mình để hiển thị phiên bản HTTPS cho miền của bạn. Nếu không, thống kê lưu lượng truy cập của bạn sẽ bị vô hiệu hóa vì phiên bản HTTP của URL được coi là một trang web hoàn toàn khác với phiên bản HTTPS của chứng chỉ. Google Search Console cũng coi HTTP và HTTPS là các miền riêng biệt, vì vậy hãy thêm tài khoản miền HTTPS vào đó. Hãy nhớ rằng, khi bạn chuyển từ chứng chỉ HTTP sang HTTPS, nếu trang web của bạn có các nút truy cập đặc biệt, bộ đếm sẽ được đặt lại.
