Defaults.Exposed

Defaults.Exposed › Báo cáo

Hết hạn, tự ký, không hợp lệ: Báo cáo lỗi chứng chỉ (2026)

Đã xuất bản 2026-06-29

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng điều tra gộp trên 197 triệu tên miền xuất trình chứng chỉ TLS. “Không hợp lệ” = chứng chỉ không vượt qua xác thực (hết hạn, tự ký, sai tên máy chủ, hoặc chuỗi không đáng tin). Xem cách chúng tôi chấm điểm.

Có chứng chỉ không giống như có một chứng chỉ hợp lệ: 8.57% chứng chỉ trên web không vượt qua xác thực. Trong số 197 triệu tên miền xuất trình chứng chỉ TLS, 16,920,535 tên miền có chứng chỉ mà trình duyệt không tin tưởng — và mỗi tên miền trong số đó hiển thị cho khách truy cập một cảnh báo bảo mật toàn màn hình thay vì trang web. Trong thời đại của các chứng chỉ miễn phí tự động gia hạn, một chứng chỉ hỏng hầu như luôn là một sai sót có thể sửa được, không phải vấn đề chi phí.

Thực sự những chứng chỉ này có gì sai

Một chứng chỉ không vượt qua xác thực vì một vài lý do — hết hạn, tự ký, được cấp cho một tên máy chủ khác, hoặc từ một chuỗi không đáng tin. Danh mục dễ nhận diện nhất trong cuộc tổng điều tra là tự ký:

Vấn đềTên miền
Có chứng chỉ nhưng không hợp lệ (bất kỳ lý do nào)16,920,535 (8.57%)
— trong đó tự ký3,378,080 (20.0% số không hợp lệ)

Một chứng chỉ tự ký là chứng chỉ mà tên miền tự cấp cho chính mình — nó mã hóa lưu lượng nhưng không chứng minh được gì, nên trình duyệt từ chối nó. Điều này phổ biến trên các thiết bị, công cụ nội bộ và môi trường thử nghiệm vô tình bị lộ ra internet công cộng. Các chứng chỉ không hợp lệ còn lại chủ yếu là hết hạn hoặc không khớp tên máy chủ.

Tại sao chứng chỉ hỏng còn tệ hơn không có HTTPS

Một trang không có HTTPS nhận một nhãn “Không an toàn” lặng lẽ. Một trang có chứng chỉ hỏng nhận một trang chặn màu đỏ toàn màn hình — “Kết nối của bạn không riêng tư” — mà hầu hết khách truy cập sẽ không bấm để vượt qua. Đó là tín hiệu tin cậy gay gắt nhất mà trình duyệt hiển thị, và nó kích hoạt trước khi nội dung của bạn tải xong. Với một doanh nghiệp, đó là một cánh cửa đóng sập ngay khoảnh khắc tiếp xúc đầu tiên.

Nó cũng có thể tránh được: với các CA miễn phí và gia hạn tự động hiện cấp đại đa số chứng chỉ, một chứng chỉ hợp lệ không tốn gì và tự gia hạn. 8.57% có chứng chỉ hỏng gần như đều là lỗ hổng cấu hình, không phải lỗ hổng ngân sách.

Cách khắc phục lỗi chứng chỉ

  1. Hết hạn? Tự động hóa việc gia hạn (ACME / Let’s Encrypt) để nó không bao giờ hết hạn nữa. Khắc phục lỗi chứng chỉ.
  2. Tự ký? Thay thế bằng một chứng chỉ miễn phí do CA cấp — chứng chỉ tự ký sẽ luôn cảnh báo trong trình duyệt.
  3. Sai tên máy chủ? Cấp lại bao gồm chính xác các tên bạn phục vụ (kể cả www).
  4. Xác minh chuỗi đầy đủ và đáng tin, rồi xác nhận bằng một lần kiểm tra lại.

Câu hỏi thường gặp

Tại sao một chứng chỉ trở nên không hợp lệ? Thường gặp nhất là nó hết hạn, tự ký, được cấp cho một tên máy chủ khác, hoặc đến từ một chuỗi không đáng tin. Tính đến 2026-06-29, 8.57% chứng chỉ không vượt qua xác thực vì một trong các lý do này.

Chứng chỉ tự ký là gì? Là chứng chỉ mà máy chủ tự cấp cho chính mình thay vì lấy từ một CA đáng tin. Nó mã hóa nhưng không chứng minh danh tính nào, nên trình duyệt từ chối nó. 3,378,080 tên miền xuất trình loại này.

Chứng chỉ hỏng có tệ hơn không có HTTPS không? Có — chứng chỉ hỏng kích hoạt một cảnh báo trình duyệt toàn màn hình chặn trang web, trong khi HTTP thuần nhận một nhãn nội tuyến “Không an toàn” nhẹ nhàng hơn.

Khắc phục tốn bao nhiêu chi phí? Không tốn gì. Chứng chỉ hợp lệ là miễn phí (Let’s Encrypt và những CA khác) và tự gia hạn. Đó là một sửa lỗi cấu hình.

Kiểm tra chứng chỉ của bạn có hợp lệ không

Một chứng chỉ bị trình duyệt từ chối đang làm bạn mất khách truy cập ngay lúc này. Kiểm tra chứng chỉ của bạn miễn phí và riêng tư.

Kiểm tra tên miền của bạn → · Khắc phục lỗi chứng chỉ → · Ai cấp chứng chỉ cho web? → · Tại sao trang của tôi báo “Không an toàn”? → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.