Tại sao chuyển sang https nhưng vẫn không bảo mật

Từ năm 2014 Google đã sử dụng https là một trong những tiêu chí đánh giá xếp hạng của mình, tuy nhiên đó không phải là một tiêu chí quá quan trọng.

Tại sao lại là https?

Tháng 8 năm 2014, trên blog của mình, Google đã khẳng định với người dùng rằng bảo mật là vấn đề được ưu tiên hàng đầu của họ. Nói là làm, Google đã áp dụng giao thức https cho các dịch vụ của mình từ Google search, Gmail cho tới Google drive.

Điều này đảm bảo tài khoản đăng nhập, dữ liệu của bạn được bảo mật.

https là giao thức http kết hợp với giao thức SSL, nhờ đó các thông tin trên website đều được mã hoá. Ra đời từ khá lâu, bạn có thể dễ dàng bắt gặp https trên các website ngân hàng,các website thương mại điện tử

Với mong muốn người dùng truy cập những website có độ bảo mật cao trên kết quả tìm kiếm, năm 2014 sau khi chạy thử nghiệm và đạt kết quả tích cực Google đã chính thức sử dụng https như là một tiêu chí đánh giá xếp hạng.

Nghĩa là nếu 2 website có chất lượng như nhau, website có sử dụng giao thức https sẽ có cơ hội lên top cao hơn.

Tại sao nhiều chủ website chưa mặn mà với giao thức https?

Một website sử dụng giao thức http là một website không an toàn. Đương nhiên nếu bạn chỉ lên và đọc thông tin thì không có vấn đề gì, nhưng nếu bạn nhập email, nhập số điện thoại, địa chỉ liên hệ cá nhân để nhận thông tin khuyến mãi, hoặc trên các diễn đàn, có khả năng bạn sẽ bị lấy cắp thông tin.

Sử dụng https vừa có lợi cho người dùng, vừa có lợi cho thứ hạng từ khoá của bạn. Tuy nhiên không phải ai cũng thích dùng https, vì sao?

Chi phí

Để sử dụng https bạn phải đăng ký dịch vụ SSL. Những chủ website nhỏ (website chỉ hiển thị thông tin dịch vụ, sản phẩm), hoặc chưa nhận được hiệu quả bán hàng từ website, thường không muốn phát sinh chi phí nào thêm cho website.

Tốc độ tải

Sử dụng https nghĩa là bạn đang sử dụng thêm dịch vụ của bên thứ ba để mã hoá thông tin trên website của bạn. Do đó tốc độ tải website https sẽ chậm hơn http.

Tuy nhiên theo tôi điều này sẽ không còn là cản trở khi công nghệ càng hiện đại thì tốc độ sẽ càng được cải thiện.

Không phải hosting nào cũng hỗ trợ https

Không phải hosting website nào cũng hỗ trợ https, trong trường hợp xấu bạn phải chuyển đổi hosting

Chuyển http sang https có ảnh hưởng đến thứ hạng từ khoá không?

Đợt website GOBRANDING chuyển từ giao thức http sang giao thức https, chúng tôi có theo dõi xem thứ hạng có bị ảnh hưởng không. Kết quả là không bị ảnh hưởng. Chúng tôi chỉ cần cài đặt lại Google Webmaster Tools do URL đã thay đổi, và thực hiện các công việc SEO như bình thường.

Làm gì khi bạn chưa thể chuyển đổi http sang https?

Như đã nói ở bên trên, mục đích cuối cùng khi Google sử dụng https làm tiêu chí xếp hạng là vì họ mong muốn người tìm kiếm trên Google truy cập vào những website an toàn.

Vì thế hãy áp dụng một số gợi ý sau để giữ website của bạn bảo mật hơn.

Theo dõi website để mau chóng phát hiện khi website bị hack, hoặc bị chèn mã độc. Nếu bạn có sử dụng Google webmaster tools (miễn phí), sẽ được Google thông báo khi website của bạn bị tấn công.

Thường xuyên sao lưu website. Hãy đảm bảo đơn vị cung cấp hosting cho bạn có sao lưu theo lịch để bạn có thể phục hồi source và dữ liệu khi website bị hack.

Liên hệ đơn vị thiết kế website để nâng cấp công nghệ source web.

Liên hệ ngay với chúng tôi để nhận BÁO GIÁ và tư vấn chi tiết:

Hotline: 08 999 365 24

Địa chỉ: 56/5/28 đường TX25, phường Thạnh Xuân, quận 12, TP.HCM

Website: https://thietkewebso.com

Hướng dẫn chi tiết nhất cách chuyển http sang https đơn giản

Từ năm 2011, Google đã đưa giao thức bảo mật https vào các tiêu chí xếp hạng, nhưng cho đến tháng 8/2014 mới chính thức thông báo ưu tiên xếp hạng cho các website dựa trên chứng chỉ bảo mật SSL (Secure Socket Layer). Đây là một giao thức giúp người dùng trên website có thể bảo mật được các thông tin cá nhân của mình một cách đơn giản, phù hợp với những tiêu chí mà Google đưa ra về một trang web an toàn cho người sử dụng Internet. Trong bài này, Công ty dịch vụ website Phương Nam Vina xin chia sẻ một số hướng dẫn cách chuyển http sang https để các bạn cùng tham khảo.
 

Vì sao bạn cần chuyển đường dẫn tên miền thành https?

- Khi bạn sử dụng tên miền để chạy dữ liệu website, email,…sẽ có những lỗ hổng bảo mật trình duyệt dẫn đến tình trạng bị hacker tấn công. Sử dụng chứng chỉ SSL bảo vệ an toàn cho dữ liệu website, email và thông tin khách hàng, thông tin đơn hàng của bạn.

- Bảo mật và mã hóa các thông điệp trao đổi giữa trình duyệt web và server lưu trữ dữ liệu.

- Bảo mật FTP, email, webmail và các ứng dụng như: Outlook Web Acess, Exchange, Office Communication Server.

- Chứng thực sự tồn tại của doanh nghiệp bạn và tránh được tình trạng giả mạo website.

- Bảo mật thông tin các giao dịch giữa khách hàng và doanh nghiệp, nâng cao sự uy tín của doanh nghiệp, tăng sự tin tưởng của khách hàng đối với website, tăng số lượng và giá trị giao dịch trực tuyến của khách hàng.

Hướng dẫn cách chuyển đổi đường dẫn từ http sang https

Mặc dù việc chuyển đối từ http sang https không gây ảnh hưởng quá lớn đến việc truy cập và được đánh giá thấp hơn các tiêu chí xếp hạng website khác nhưng Google vẫn khuyến khích người dùng nên chuyển đổi trang web sang giao thức SSL, vừa nâng cao khả năng bảo mật thông tin trên website, vừa được Google đánh giá tốt về sự uy tín cho các lần cập nhật tiếp theo. Vậy nên bạn cần thực hiện cài đặt chứng chỉ SSL để chuyển đổi đường dẫn sang https cho website của mình ngay hôm nay để bảo mật thông tin khách hàng, đơn hàng, dữ liệu,...và được ưu tiên xếp hạng tốt hơn. Đối với việc thực hiện cài đặt, nếu bạn biết cách thao tác thì có thể làm theo những hướng dẫn bên dưới. Nếu bạn không thành thạo thì có thể tham khảo dịch vụ cài đặt https và liên hệ với Phương Nam Vina chúng tôi để được hỗ trợ.

1. Các yếu tố tạo nên sự khác biệt giữa http và https

Sự khác biệt lớn nhất giữa 2 giao thức trình duyệt web http và https được thể hiện qua 3 yếu tố dưới đây:

- Giao thức https có địa chỉ URL là https://, sử dụng cổng mặc định 443, còn http có địa chỉ giao thức là http://, sử dụng cổng mặc định 80.

- Độ bảo mật của giao thức http không cao, dễ dàng bị tấn công, truy cập đến tất cả các thông tin bí mật và nhạy cảm của website. Ngược lại thì với giao thức https lại được thiết kế để chống lại mọi sự tấn công nên bảo mật thông tin trên website tốt hơn.

- Http hoạt động mạnh mẽ ở lớp cao nhất của mô hình TCP/IP và là lớp ứng dụng. Trong khi đó Https hoạt động như một lớp con thấp hơn giống như mô hình TCP/IP nhưng lại được mã hóa các nội dung để truyền đi và giải mã ở nơi đến. Điều này chứng tỏ https không phải là một giao thức riêng biệt mà sử dụng http kết hợp giao thức SSL được mã hóa.

Để có thể thực hiện được cách chuyển http thành https cần có chứng nhận của SSL cho tên miền của bạn. Sau đó cài đặt vào máy chủ, thay đổi Permalinks từ http thành https. Nếu website sử dụng một máy chủ chuyên dụng hoặc VPS vẫn có thể thực hiện tương tự. Hãy đảm bảo Shared - Hosting đã được kích hoạt SSL/TLS. Để biết việc này đã được kích hoạt hay chưa có thể kiểm tra bằng cách đăng nhập cPanel.

2. Giấy chứng nhận SSL cơ bản được chia thành 3 nhóm:

- Chứng nhận tên miền: Chứng nhận cơ bản nhất, ít tốn kém nhất. Chứng chỉ này cung cấp những mã hóa cơ bản, được cấp phát nhanh nhất chỉ với một bước đơn giản là chứng thực quyền sở hữu tên miền.

- Chứng nhận tổ chức: Chứng nhận bao gồm xác thực của doanh nghiệp hoặc tổ chức sở hữu tên miền. Chứng nhận này mang đến độ bảo mật cao hơn, cho phép khách hàng biết có thể tin tưởng về các thông tin của mình luôn được an toàn ở máy chủ.

- Chứng nhận mở rộng: Cơ quan chứng nhận sẽ tiến hành một cuộc khảo sát kỹ lưỡng ở các doanh nghiệp trước khi cấp giấy chứng nhận. Đây là giấy chứng nhận cao cấp, độ bảo mật cực kỳ cao và được người dùng tin tường nhất.

3. Tạo mã xác thực CSR trên hosting

Một lời khuyên của chúng tôi dành cho bạn là: Nếu bạn được cấp chứng nhận hoặc sử dụng dịch vụ chứng chỉ SSL của doanh nghiệp nào, hãy nhờ đội ngũ kỹ thuật của nơi ấy hỗ trợ khi tiến hành kích hoạt. Bạn cũng có thể tham khảo dịch vụ đăng ký và cài đặt chứng chỉ bảo mật SSL của Công ty Phương Nam Vina chúng tôi. Vì nếu không rành về chuyên môn, việc cài đặt này cũng sẽ tốn khá nhiều thời gian và công sức của bạn trong khi chi phí cài đặt cũng không quá cao. Còn nếu bạn có chuyên môn thì bây giờ hãy tiếp tục tham khảo hướng dẫn cách tạo mã xác thực CSR trên hosting bên dưới của chúng tôi.

- Đầu tiên, bạn cần tạo một email admin theo tên miền có dạng: admin@tênmiền. Ví dụ: . Email này là bắt buộc phải có và sẽ dùng để xác nhận và nhận Cert. Ngoài ra bạn còn có thể dùng để liên hệ với nhà cung cấp SSL về sau nếu cần sinh lại SSL khi thay đổi IP hay Server. Nếu bạn chưa có email tên miền thì có thể liên hệ với chúng tôi để được hỗ trợ.

- Khi muốn kích hoạt chứng nhận SSL cần phải có mã CSR từ phía nhà cung cấp hosting. Nếu dùng cPanel, bạn đăng nhập vào cPanel và chọn SSL/TLS Manager → Chọn vào liên kết Certificate Signing Request (CSR) → Điền tên miền muốn bảo vệ vào SSL → Chọn Generate. Lúc này, mã CSR sẽ hiển thị ra, sau đó chỉ việc kích hoạt SSL, nhập mã CSR, chọn máy chủ website đang chạy và chọn “Next”.  Nếu sử dụng Direct Admin thì mã CSR sẽ được sinh ngay trên hosting sau khi bạn tiến hành nhập thông tin đăng ký xác thực. Tuy nhiên để cho mọi thứ trở nên đơn giản hơn thì bạn hãy liên hệ nhà cung cấp hosting và nhờ họ hỗ trợ. 

Lưu ý: Bạn cần lưu giữ kỹ Private Key (.key) trong quá trình sinh CSR để phục vụ cho việc Active về sau. Đoạn mã CSR là thông tin được dùng để gửi cho nhà cung cấp SSL khi đăng ký chứng chỉ bảo mật SSL.

- Thông báo các thông tin về CSR sẽ xuất hiện. Tiếp theo, bạn hãy cung cấp đầy đủ các thông tin cá nhân như yêu cầu. Sau đó sẽ có một mail từ nhà cung cấp được gửi đến email admin của bạn hướng dẫn xác thực tên miền. Khi tất cả đã hoàn thành, SSL đã được kích hoạt và gửi đến email, thường thì bao gồm Cert và CA root. Bạn chỉ cần lấy các đoạn mã SSL này cài đặt trên hosting.

4. Các bước tiến hành cài đặt chứng chỉ SSL trên server:

Nếu dùng giao diện quản trị cPanel:

- Tại "cPanel SSL/TLS Manager", chọn "Certificates (CRT)".

- Nhập nội dung của giấy chứng nhận vào hoặc upload trực tiếp file lên.

- Kích hoạt chứng nhận SSL cho website, chọn "Install and Manager SSL for yours site (HTTPs)".

- Lựa chọn tên miền, click vào "Autofill by Domain", sau đó tiếp tục click vào "Install Certificates".

Nếu dùng giao diện quản trị Direct Admin:

- Tại mục Advance Features, bạn chọn dòng "SSL Certificates".

- Tại dòng "Paste a pre-generated certificate and key", bạn dán 2 đoạn mã Private Key và Cert. Sau đó chọn Save.

- Tại dòng "Click Here to paste a CA Root Certificate", chọn "Click Here". Tại khung "Use a CA Cert", dán đoạn mã CA Root và chọn Save.

Sau khi thực hiện cài đặt xong chứng chỉ SSL, bạn tiến hành Redirect link từ http sang https nữa là hoàn tất. Để thiết lập chuyển hướng 301, sử dụng FPT/SFPT đến server, bạn có thể thêm đoạn code chuyển hướng dưới đây vào file .htaccess để thay đổi tất cả các địa chỉ trên website. Tác dụng của đoạn code này là tự động Redirect 301 toàn bộ link HTTP sang HTTPS.

# Redirect all links from HTTP to HTTPS
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteCond %{REQUEST_URI} !^/[0-9]+..+.cpaneldcv$
RewriteCond %{REQUEST_URI} !^/.well-known/pki-validation/[A-F0-9]{32}.txt(?: Comodo DCV)?$
RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R,L]

RewriteCond %{HTTP_HOST} ^www.tênmiền.com$ [NC]
RewriteCond %{REQUEST_URI} !^/[0-9]+..+.cpaneldcv$
RewriteCond %{REQUEST_URI} !^/.well-known/pki-validation/[A-F0-9]{32}.txt(?: Comodo DCV)?$
RewriteRule ^(.*)$ http://tênmiền.com/$1 [R=301,L]

5. Cách chuyển đổi URL từ http sang https với Wordpress:

- Đăng nhập vào trong Admin, chọn Setting → General. Chắc chắn WordPress Address và Site Address là HTTPS.

- Sau đó thiết lập Chuyển hướng 301 theo đoạn mã ở trên và thông báo cho Google về sử thay đổi của URL.

Thông báo cho Google cập nhật lại đường dẫn website

- Để thông báo sự thay đổi của URL đến với Google, vào Google Webmaster Tools hướng đến màn hình quản trị của tên miền cũ và thay đổi địa chỉ liên kết từ http:// thành https://. Bạn lưu ý là vẫn giữ nguyên tên miền cũ đã tạo và thực hiện tạo thêm mới tên miền khác. Sau đó, bạn truy cập vào và thao tác giống như tạo một tài khoản Google WMT bình thường. Ví dụ: submit để khai báo địa chỉ URL mới của website với Google, thêm file sitemap,...thông báo về việc thay đổi sẽ xuất hiện để chắc chắn mọi việc đã hoàn thành.

- Truy cập vào tài khoản Google Analytics (nếu bạn có sử dụng) → Quản trị → Cài đặt thuộc tính → URL mặc định và chọn dòng https:// để chuyển nó về dạng HTTPS. Tiếp theo kéo xuống dưới cùng, click vào nút Điều chỉnh Search Console, chọn Chỉnh sửa. Chọn đúng trang web có giao thức dạng HTTPS mới tạo để liên kết với tài khoản Google Analytics. Sau đó click vào nút "Lưu" để hoàn tất.

Đến đây thì mọi công đoạn chuyển đổi website từ giao thức http qua https đã hoàn thành. Việc còn lại là chờ đợi Google bots thu thập dữ liệu và tự động chuyển hết link từ HTTP sang HTTPS trên bảng kết quả tìm kiếm. Nhìn chung để thực hiện việc chuyển http:// sang https://, yêu cầu người dùng phải có chút kiến thức về https và SSL cũng như phải hiểu rõ mục đích của việc chuyển đổi này để website của mình có thể tăng độ bảo mật, an toàn về dữ liệu và cách thiết lập SSL/HTTPS (đối với WordPress). Ngoài ra có thể kiểm tra tình trạng hoạt động SSL của website thông qua công cụ Qualys SSL Labs.

Trên đây là một số hướng dẫn cách chuyển đường dẫn từ http sang https mà kỹ thuật viên Phương Nam Vina muốn chia sẻ với bạn đọc. Vì nhiều lý do và mục đích khác nhau mà có những trang web đã thực hiện chuyển http thành https nhưng cũng có một số trang web chưa chuyển. Dù thế nào thì bạn cũng nên lựa chọn thời điểm thích hợp để chuyển đổi đường dẫn tên miền của mình để có thể tăng mức độ bảo mật hơn cho trang web. Nếu việc chuyển đổi gây khó khăn và tốn nhiều thời gian, bạn có thể tham khảo và đăng ký dịch vụ chứng chỉ bảo mật SSL của Công ty Phương Nam Vina chúng tôi để được đội ngũ kỹ thuật viên hỗ trợ làm giúp bạn. Xin cảm ơn!