Bảo mật trang web của bạn với HTTPS
HTTPS là gì?
HTTPS (Giao thức truyền siêu văn bản an toàn) là giao thức truyền trên internet bảo vệ dữ liệu toàn vẹn và bảo mật giữa máy tính của người dùng và trang web. Người dùng mong đợi trải nghiệm trực tuyến bảo mật và riêng tư khi sử dụng một trang web. Chúng tôi khuyến khích bạn nên sử dụng HTTPS để bảo vệ kết nối của người dùng với trang web của bạn, bất kể nội dung gì trên trang web.
Dữ liệu được gửi bằng cách sử dụng HTTPS được bảo mật qua giao thức Bảo mật lớp truyền tải (TLS), cung cấp ba lớp bảo vệ chính:
- Mã hóa—mã hóa dữ liệu được trao đổi để bảo mật nó khỏi những người nghe lén. Điều đó nghĩa là trong lúc người dùng duyệt trang web, không ai có thể "lắng nghe" các cuộc hội thoại của họ, theo dõi hoạt động của họ trên nhiều trang hay đánh cắp thông tin của họ.
- Toàn vẹn dữ liệu—không thể sửa đổi hay làm hỏng dữ liệu trong lúc truyền, cho dù cố ý hay theo cách khác, mà không bị phát hiện.
- Xác thực—chứng minh rằng người dùng của bạn đang giao tiếp với trang web chủ định của họ. Giao thức này bảo vệ chống lại tấn công trung gian và xây dựng niềm tin của người dùng, điều này dẫn đến các lợi ích khác về mặt kinh doanh.
Phương pháp hay nhất khi triển khai HTTPS
Sử dụng chứng chỉ bảo mật mạnh
Bạn phải lấy chứng chỉ bảo mật khi bật HTTPS cho trang web của bạn. Chứng chỉ được cấp bởi cơ quan chứng chỉ (CA), quá trình này mất vài bước để xác minh rằng địa chỉ web của bạn thực sự thuộc về tổ chức của bạn, qua đó bảo vệ khách hàng của bạn khỏi các cuộc tấn công trung gian. Khi thiết lập chứng chỉ của bạn, hãy đảm bảo mức độ bảo mật cao bằng cách chọn khóa 2048-bit. Nếu bạn đã có chứng chỉ với khóa yếu hơn (1024-bit), hãy nâng cấp nó lên 2048 bit. Khi chọn chứng chỉ cho trang web của bạn, hãy ghi nhớ một số điều sau:
- Lấy chứng chỉ từ một CA đáng tin cậy có cung cấp hỗ trợ kỹ thuật.
- Quyết định loại chứng chỉ bạn cần:
- Một chứng chỉ cho mỗi địa chỉ gốc bảo mật (ví dụ:
www.example.com). - Chứng chỉ nhiều miền cho nhiều địa chỉ gốc bảo mật phổ biến (ví dụ,
www.example.com, cdn.example.com, example.co.uk). - Chứng chỉ ký tự đại diện cho một địa chỉ gốc bảo mật với nhiều tên miền phụ động (ví dụ,
a.example.com, b.example.com).
- Một chứng chỉ cho mỗi địa chỉ gốc bảo mật (ví dụ:
Sử dụng chuyển hướng 301 phía máy chủ
Chuyển hướng người dùng và công cụ tìm kiếm đến trang HTTPS hay tài nguyên với chuyển hướng HTTP 301 phía máy chủ.
Xác minh rằng Google có thể thu thập dữ liệu và lập chỉ mục các trang HTTPS của bạn
- Không chặn trang HTTPS bởi tập robots.txt.
- Không bao gồm thẻ meta
noindextrong các trang HTTPS. - Sử dụng Tìm nạp như Google để kiểm tra rằng Googlebot có thể truy cập các trang của bạn.
Hỗ trợ HSTS
Chúng tôi khuyên rằng các trang web HTTPS nên hỗ trợ HSTS (HTTP Strict Transport Security). HSTS cho trình duyệt biết phải yêu cầu trang HTTPS tự động, ngay cả khi người dùng nhập http trong thanh địa chỉ của trình duyệt. Nó cũng cho Google biết phải phân phối URL bảo mật trong kết quả tìm kiếm. Tất cả những điều này làm giảm thiểu nguy cơ phân phối nội dung không bảo mật đến người dùng của bạn.
Để hỗ trợ HSTS, hãy sử dụng một máy chủ web hỗ trợ giao thức và bật tính năng này.
Mặc dù giao thức này an toàn hơn, HSTS vẫn tăng thêm mức độ phức tạp trong chiến lược khôi phục của bạn. Chúng tôi khuyên bạn nên bật HSTS theo cách sau:
- Trước tiên triển khai trang HTTPS mà không sử dụng HSTS.
- Bắt đầu gửi tiêu đề HSTS với max-age ngắn. Theo dõi lưu lượng truy cập của bạn cả từ người dùng và ứng dụng khách khác và cả hiệu suất của thành phần phụ thuộc, chẳng hạn như quảng cáo.
- Từ từ tăng giá trị max-age của HSTS.
-
Nếu HSTS không ảnh hưởng tiêu cực đến người dùng của bạn và công cụ tìm kiếm, bạn có thể yêu cầu thêm trang web của mình vào danh sách tải trước HSTS mà hầu hết trình duyệt chính sử dụng nếu muốn.
Cân nhắc việc tải trước HSTS
Nếu bật HSTS, bạn có thể hỗ trợ tải trước HSTS nếu muốn để tăng mức độ bảo mật và hiệu suất. Để bật tải trước, bạn phải truy cập hstspreload.org và thực hiện theo yêu cầu gửi của họ đối với trang web của bạn.
Tránh các lỗi thường gặp này
Trong quá trình bảo mật trang web của bạn với TLS, hãy tránh các sai lầm sau:
| Sự cố | Hành động |
|---|---|
| Chứng chỉ hết hạn | Đảm bảo chứng chỉ của bạn luôn cập nhật. |
| Chứng chỉ được đăng ký với tên trang web không chính xác | Kiểm tra xem bạn đã có chứng chỉ cho tất cả các tên máy chủ mà trang web của bạn phân phối hay chưa. Ví dụ: nếu chứng chỉ của bạn chỉ bao gồm www.example.com, một khách truy cập tải trang web của bạn chỉ sử qua example.com (không có tiền tố "www.") sẽ bị chặn bởi lỗi không khớp tên chứng chỉ. |
| Thiếu hỗ trợ Chỉ báo tên máy chủ (SNI) | Đảm bảo rằng máy chủ web của bạn hỗ trợ SNI và đối tượng của bạn sử dụng trình duyệt được hỗ trợ, nói chung. Mặc dù SNI được hỗ trợ bởi tất cả trình duyệt hiện đại, bạn sẽ cần IP riêng nếu bạn cần hỗ trợ các trình duyệt cũ hơn. |
| Vấn đề thu thập dữ liệu | Không chặn thu thập dữ liệu trang web HTTPS của bạn bằng cách sử dụng robots.txt. |
| Vấn đề lập chỉ mục | Cho phép các công cụ tìm kiếm lập chỉ mục trang của bạn khi có thể. Tránh dùng thẻ meta noindex. |
| Phiên bản giao thức cũ | Phiên bản giao thức cũ có nhiều lỗ hổng; đảm bảo rằng bạn có phiên bản mới nhất và cập nhật nhất của thư viện TLS và triển khai phiên bản giao thức mới nhất. |
| Phần tử bảo mật hỗn hợp | Chỉ nhúng nội dung HTTPS trên các trang HTTPS. |
| Nội dung khác nhau trên HTTP và HTTPS | Đảm bảo rằng nội dung trên trang web HTTP và HTTPS của bạn giống nhau. |
| Lỗi Mã trạng thái HTTP HTTPS | Kiểm tra rằng trang web của bạn trả về mã trạng thái HTTP thích hợp. Ví dụ: 200 OK với các trang truy cập được, hoặc 404 hay 410 cho các trang không tồn tại. |
Các mẹo khác
Xem câu hỏi thường gặp về di chuyển sang HTTPS để biết thêm mẹo về việc sử dụng trang HTTPS trên trang web của bạn.
Di chuyển từ HTTP sang HTTPS
Nếu bạn di chuyển trang web của mình từ HTTP sang HTTPS, Google xử lý việc này như di chuyển trang web kèm theo thay đổi về URL. Điều này có thể có ảnh hưởng tạm thời đến một số lưu lượng truy cập của bạn. Xem trang tổng quan về di chuyển trang web để tìm hiểu thêm.
Thêm sản phẩm HTTPS mới vào Search Console; Search Console xử lý HTTP và HTTPS tách biệt với nhau; các sản phẩm trong Search Console không có chung dữ liệu.
Xem trang khắc phục sự cố khi di chuyển sơ đồ trang web để biết cách khắc phục các vấn đề gặp phải trong quá trình trình di chuyển của bạn.
Thông tin khác
Thêm chi tiết về triển khai TLS trên trang web của bạn:
* Nguồn: Google Search Console