Bảo mật trang web của bạn với HTTPS

HTTPS là gì?

HTTPS (Giao thức truyền siêu văn bản an toàn) là giao thức truyền trên internet bảo vệ dữ liệu toàn vẹn và bảo mật giữa máy tính của người dùng và trang web. Khi sử dụng một trang web, người dùng mong đợi có được một trải nghiệm trực tuyến bảo mật và riêng tư. Bạn nên dùng HTTPS để bảo vệ kết nối của người dùng với trang web của bạn, bất kể nội dung trên trang web là gì.

Dữ liệu được gửi qua HTTPS được bảo mật qua giao thức Bảo mật tầng truyền tải (TLS), gồm có ba lớp bảo vệ chính:

  1. Mã hóa—mã hóa dữ liệu được trao đổi để chống nghe lén. Điều đó nghĩa là trong lúc người dùng duyệt trang web, không ai có thể "nghe" các cuộc hội thoại của họ, theo dõi hoạt động của họ trên nhiều trang hay đánh cắp thông tin của họ.
  2. Toàn vẹn dữ liệu—không thể sửa đổi hay làm hỏng dữ liệu trong lúc truyền, cho dù cố ý hay theo cách khác, mà không bị phát hiện.
  3. Xác thực—chứng minh rằng người dùng của bạn đang giao tiếp với trang web chủ định của họ. Giao thức này giúp chống lại các cuộc tấn công xen giữa và xây dựng niềm tin nơi người dùng, qua đó đem lại những lợi ích khác về mặt kinh doanh.

Phương pháp hay nhất khi triển khai HTTPS

Dùng các chứng chỉ bảo mật mạnh

Bạn phải lấy chứng chỉ bảo mật khi bật HTTPS cho trang web của bạn. Chứng chỉ được cấp bởi cơ quan chứng chỉ (CA), quá trình này mất vài bước để xác minh rằng địa chỉ web của bạn thực sự thuộc về tổ chức của bạn, qua đó bảo vệ khách hàng của bạn khỏi các cuộc tấn công trung gian. Khi thiết lập chứng chỉ của bạn, hãy đảm bảo mức độ bảo mật cao bằng cách chọn khóa 2048-bit. Nếu bạn đã có chứng chỉ với khóa yếu hơn (1024-bit), hãy nâng cấp lên 2048 bit. Khi chọn chứng chỉ cho trang web của bạn, hãy ghi nhớ một số điều sau:

  • Lấy chứng chỉ từ một cơ quan cấp chứng chỉ (CA) đáng tin cậy có cung cấp hỗ trợ kỹ thuật.
  • Xác định loại chứng chỉ bạn cần:
    • Một chứng chỉ cho mỗi địa chỉ gốc bảo mật (ví dụ: www.example.com).
    • Chứng chỉ nhiều tên miền cho nhiều địa chỉ gốc bảo mật phổ biến (ví dụ: www.example.com, cdn.example.com, example.co.uk).
    • Chứng chỉ ký tự đại diện cho một địa chỉ gốc bảo mật có nhiều miền con động (ví dụ: a.example.com, b.example.com).

Dùng lệnh chuyển hướng 301 phía máy chủ

Chuyển hướng người dùng và công cụ tìm kiếm đến trang HTTPS hay tài nguyên với chuyển hướng HTTP 301 phía máy chủ.

Xác minh rằng Google có thể thu thập dữ liệu và lập chỉ mục các trang HTTPS của bạn

  • Đừng dùng tệp robots.txt để chặn các trang HTTPS.
  • Đừng đưa thẻ meta noindex vào các trang HTTPS.
  • Hãy dùng Công cụ kiểm tra URL để kiểm tra xem Googlebot có thể truy cập vào các trang của bạn hay không.

Hỗ trợ HSTS

Các trang web HTTPS nên hỗ trợ HSTS (Bảo mật truyền tải nghiêm ngặt HTTP). HSTS cho trình duyệt biết phải tự động yêu cầu trang HTTPS, ngay cả khi người dùng nhập http trong thanh địa chỉ của trình duyệt. HSTS cũng yêu cầu Google phân phối URL bảo mật trong kết quả tìm kiếm. Tất cả những điều này giúp giảm thiểu nguy cơ phân phối nội dung không bảo mật đến người dùng của bạn.

Để hỗ trợ HSTS, hãy dùng một máy chủ web có hỗ trợ HSTS và bật chức năng đó.

HSTS là giao thức an toàn hơn nhưng lại khiến chiến lược khôi phục của bạn trở nên phức tạp hơn. Chúng tôi khuyên bạn nên bật HSTS theo cách sau:

  1. Trước tiên, triển khai trang HTTPS mà không sử dụng HSTS.
  2. Bắt đầu gửi các tiêu đề HSTS với một mã max-age ngắn. Theo dõi lưu lượng truy cập của cả người dùng và các ứng dụng khác, đồng thời theo dõi hiệu suất của các phần phụ thuộc (chẳng hạn như quảng cáo).
  3. Từ từ tăng max-age cho HSTS.
  4. Trong trường hợp HSTS không ảnh hưởng tiêu cực đến người dùng và công cụ tìm kiếm, nếu muốn, bạn có thể yêu cầu thêm trang web của mình vào danh sách tải trước HSTS mà hầu hết trình duyệt lớn đang sử dụng.

Cân nhắc việc tải trước HSTS

Nếu bật HSTS, bạn có thể hỗ trợ tải trước HSTS nếu muốn để tăng mức độ bảo mật và hiệu suất. Để bật tính năng tải trước, bạn phải truy cập vào hstspreload.org và làm theo yêu cầu gửi thông tin trên đó đối với trang web của bạn.

Tránh các lỗi thường gặp này

Trong quá trình bảo mật trang web của bạn với TLS, hãy tránh các sai lầm sau:

Vấn đề Hành động
Chứng chỉ hết hạn Đảm bảo chứng chỉ của bạn luôn cập nhật.
Chứng chỉ được đăng ký với tên trang web không chính xác Kiểm tra xem bạn đã có chứng chỉ cho tất cả các tên máy chủ mà trang web của bạn phân phối hay chưa. Ví dụ: nếu chứng chỉ của bạn chỉ bao gồm www.example.com, một khách truy cập tải trang web của bạn chỉ sử dụng example.com (không có tiền tố "www.") sẽ bị chặn bởi lỗi không khớp tên chứng chỉ.
Thiếu hỗ trợ Chỉ báo tên máy chủ (SNI) Đảm bảo rằng máy chủ web của bạn hỗ trợ SNI và đối tượng của bạn sử dụng trình duyệt được hỗ trợ, nói chung. Mặc dù SNI được hỗ trợ bởi tất cả trình duyệt hiện đại, bạn sẽ cần IP riêng nếu bạn cần hỗ trợ các trình duyệt cũ hơn.
Vấn đề về quá trình thu thập dữ liệu Đừng dùng robots.txt để chặn quá trình thu thập dữ liệu trên trang web HTTPS của bạn.
Vấn đề về quá trình lập chỉ mục Cho phép các công cụ tìm kiếm lập chỉ mục trang của bạn nếu được. Hãy tránh dùng thẻ noindex.
Phiên bản giao thức cũ Phiên bản giao thức cũ có nhiều lỗ hổng; đảm bảo rằng bạn có phiên bản mới nhất và cập nhật nhất của thư viện TLS và triển khai phiên bản giao thức mới nhất.
Phần tử bảo mật hỗn hợp Chỉ nhúng nội dung HTTPS trên các trang HTTPS.
Nội dung trên HTTP và HTTPS không thống nhất Đảm bảo rằng nội dung trên trang web HTTP và HTTPS của bạn giống nhau.
Lỗi Mã trạng thái HTTP HTTPS Kiểm tra xem trang web của bạn có trả về mã trạng thái HTTP thích hợp hay không. Ví dụ: 200 OK đối với các trang có thể truy cập, hoặc 404 hoặc 410 đối với các trang không tồn tại.

Các mẹo khác

Xem câu hỏi thường gặp về di chuyển sang HTTPS để biết thêm mẹo về việc sử dụng trang HTTPS trên trang web của bạn.

Di chuyển từ HTTP sang HTTPS

Nếu bạn di chuyển trang web từ HTTP sang HTTPS, Google sẽ xử lý quá trình này giống như quá trình di chuyển trang web kèm theo thay đổi URL. Quá trình di chuyển có thể có ảnh hưởng tạm thời đến một vài chỉ số về lưu lượng truy cập. Hãy xem trang tổng quan về việc di chuyển trang web để tìm hiểu thêm.

Thêm tài sản HTTPS mới vào Search Console: Search Console xử lý HTTP và HTTPS tách biệt với nhau: các tài sản trong Search Console không dùng chung dữ liệu với nhau.

Hãy xem trang khắc phục sự cố khi di chuyển sơ đồ trang web để biết cách khắc phục vấn đề trong quá trình di chuyển của bạn.

Thông tin khác

Thêm chi tiết về triển khai TLS trên trang web của bạn: