Defaults.Exposed › Cách khắc phục › Tình trạng chứng chỉ TLS

Cách khắc phục Tình trạng chứng chỉ TLS

Chứng chỉ SSL/TLS của bạn là thẻ ID kỹ thuật số chứng minh khách truy cập đang thực sự nói chuyện với website của bạn — không phải kẻ mạo danh — và là thứ tạo ra ổ khóa trong trình duyệt. Kiểm tra này xem xét liệu chứng chỉ đó có hợp lệ và đáng tin không, sắp hết hạn không, và được xây dựng bằng mật mã mạnh, hiện đại không.

Điểm mấu chốt với doanh nghiệp bạn: Chứng chỉ hỏng hoặc hết hạn thay thế website của bạn bằng cảnh báo đỏ toàn màn hình 'Kết nối của bạn không riêng tư' trong mọi trình duyệt. Hầu hết khách truy cập rời đi ngay lập tức và không quay lại — doanh thu trực tuyến dừng lại, đăng ký dừng lại, và kết nối vốn được cho là riêng tư có thể bị chặn âm thầm.

Điều này có thể gây thiệt hại gì

• Chứng chỉ của bạn âm thầm hết hạn vào cuối tuần; đến thứ Hai mọi khách truy cập gặp cảnh báo bảo mật toàn trang, form thanh toán và liên hệ chết, và bạn đang mất doanh thu từng giờ cho đến khi nhận ra và gia hạn.
• Một khách hàng thanh toán qua WiFi của quán cà phê hoặc khách sạn nhận được cảnh báo chứng chỉ không khớp với tên miền — họ cho rằng website của bạn giả hoặc bị hack, bỏ mua hàng, và nói với người khác rằng nó 'trông đáng ngờ'.
• Nhóm IT của khách hàng lớn hơn chạy quét bảo mật trước hợp đồng, thấy chứng chỉ tự ký hoặc không tin cậy, và gắn cờ bạn là rủi ro — thỏa thuận đình trệ vì thứ gì đó miễn phí để sửa.
• Chứng chỉ của bạn dùng phương pháp ký lỗi thời hoặc khóa yếu; trình duyệt hiện đại bắt đầu hiển thị cảnh báo về nó, và kiểm toán bảo mật đánh dấu bạn thấp vì mật mã học đã nằm ngoài danh sách khuyến nghị nhiều năm.
• Bạn nhận thanh toán thẻ và nhà cung cấp thanh toán kiểm toán lại; khóa yếu hoặc chứng chỉ hết hạn vi phạm quy tắc bảo mật thanh toán và thanh toán trực tuyến của bạn bị đóng băng cho đến khi được sửa.

Tại sao điều này quan trọng. Chứng chỉ là mảnh bảo mật website hiển thị nhất — khi nó lành mạnh nó vô hình, và khi nó hỏng nó kéo cả website xuống với cảnh báo đáng sợ đuổi khách hàng thẳng đến đối thủ. Hết hạn chứng chỉ là nguyên nhân số một của sự cố website bất ngờ, và hoàn toàn có thể phòng ngừa. Nhận chứng chỉ hợp lệ là miễn phí, và giữ nó lành mạnh chủ yếu là vấn đề để nó tự gia hạn tự động.

Thực ra nó là gì, giải thích đơn giản

Khi ai đó truy cập website của bạn, hai điều phải xảy ra để họ cảm thấy an toàn khi gõ mật khẩu hoặc số thẻ. Đầu tiên, kết nối phải được mã hóa để người lạ không thể đọc nó. Thứ hai — và đây là phần người ta hay quên — trình duyệt của khách truy cập phải chắc chắn đó thực sự là website của bạn ở đầu bên kia, không phải kẻ mạo danh đã dựng một bản giả thuyết phục. Thứ thực hiện cả hai việc là chứng chỉ TLS của bạn (thường gọi là “chứng chỉ SSL”).

Hãy nghĩ nó như thẻ ID chống giả mạo cho tên miền của bạn. Một cơ quan được công nhận cấp nó, đóng dấu bằng tên miền và ngày hết hạn, và mang khóa mật mã học mã hóa kết nối. Khi mọi thứ kiểm tra ổn, trình duyệt hiển thị ổ khóa và website tải bình thường. Khi có gì đó sai với thẻ ID, trình duyệt làm ngược lại với việc trấn an khách truy cập — nó ném ra cảnh báo toàn màn hình nói, thực chất, “website này có thể không an toàn.”

Kiểm tra này xem xét tình trạng của thẻ ID đó trên bốn thứ mỗi thứ độc lập có thể phá vỡ nó:

• Có hợp lệ và đáng tin không? — được cấp bởi cơ quan được công nhận, khớp với tên miền chính xác của bạn, không tự ký, và không hết hạn.
• Có sắp hết hạn không? — vì chứng chỉ hết hạn làm cả website ngừng hoạt động.
• Được ký bằng phương pháp mạnh không? — thuật toán ký cũ có thể bị giả mạo.
• Khóa của nó có đủ mạnh không? — khóa yếu về nguyên tắc có thể bị bẻ.

Tin tốt từ đầu: nhận chứng chỉ lành mạnh là miễn phí, và giữ nó lành mạnh chủ yếu là về việc để nó tự gia hạn tự động để không ai phải nhớ.

Điều này có thể khiến bạn mất gì

• Sự cố cuối tuần. Chứng chỉ âm thầm đến ngày hết hạn vào tối thứ Sáu. Việc gia hạn lẽ ra chạy không chạy (máy chủ di chuyển, script hỏng, không ai chú ý). Đến sáng thứ Bảy mọi khách truy cập — và mọi trình thu thập của Google — thấy cảnh báo đỏ toàn trang thay vì trang chủ của bạn. Cửa hàng của bạn đóng cửa và bạn thậm chí không biết. Bản sửa kỹ thuật mất vài phút; những khách hàng đã bỏ đi tin rằng bạn “đóng cửa” sẽ không quay lại.

• Thanh toán bị bỏ. Khách hàng đang mua từ điện thoại trên WiFi khách sạn. Chứng chỉ của bạn không hoàn toàn khớp với tên miền họ gõ (giả sử nó bao gồm shop.yourbiz.com nhưng không phải yourbiz.com bare họ dùng). Trình duyệt cảnh báo họ website “có thể đang mạo danh” website của bạn. Với người mua không phải kỹ thuật điều đó đọc như lừa đảo — họ đóng tab, và bạn không bao giờ biết có doanh thu đó.

• Hợp đồng đình trệ. Nhóm bảo mật của khách hàng lớn hơn chạy quét thường quy trước khi ký. Nó trả về hiển thị chứng chỉ tự ký hoặc không đáng tin trên một trong các tên miền phụ của bạn. Ngay cả khi mọi thứ khác đều ổn, dấu đỏ đơn đó biến sự phê duyệt nhanh thành đàm phán kéo dài trì hoãn thỏa thuận — vì vấn đề miễn phí để sửa.

• Cảnh báo chuyển động chậm. Chứng chỉ của bạn hợp lệ kỹ thuật nhưng được ký bằng SHA-1, phương pháp cũ mà trình duyệt đang loại bỏ. Sau bản cập nhật trình duyệt, một phần khách truy cập của bạn bắt đầu thấy cảnh báo bạn không thể tái tạo trên máy cập nhật của riêng mình. Ticket hỗ trợ rỉ vào nói website “trông bị hỏng” và bạn không thể tìm ra tại sao.

• Thất bại tuân thủ. Bạn nhận thanh toán thẻ. Trong kiểm toán lại, kiểm tra của nhà cung cấp gắn cờ khóa yếu hoặc chứng chỉ đã hết hạn. Quy tắc bảo mật thẻ yêu cầu mã hóa mạnh, hiện tại — vì vậy thanh toán trực tuyến của bạn bị đình chỉ cho đến khi bạn tái cấp phát, đóng băng doanh thu vào thời điểm tệ nhất có thể.

Thực ra nó là gì (bốn phần)

Chứng chỉ có thể không lành mạnh theo bốn cách riêng biệt, và trang này bao gồm tất cả chúng. Mỗi cái là kiểm tra riêng, nhưng với bạn tất cả đều là “chứng chỉ của tôi có ổn không?“

1. Hợp lệ và đáng tin

Đây là cái quan trọng nhất — và là phần duy nhất của tình trạng chứng chỉ là kiểm tra trọng lượng hàng đầu, quan trọng. Chứng chỉ “hợp lệ và đáng tin” chỉ khi tất cả những điều này đúng:

• Được cấp bởi cơ quan chứng nhận được công nhận mà trình duyệt đã tin tưởng (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon, v.v.).
• Khớp với tên miền chính xác khách truy cập đang dùng — kể cả tên miền phụ. Chứng chỉ cho www.yourbiz.com không bao gồm yourbiz.com sẽ cảnh báo trên tên miền bare.
• Không tự ký — tức là không phải cái bạn tự cấp cho mình, mã hóa nhưng không chứng minh bạn là ai.
• Hiện đang trong khoảng ngày — không hết hạn, và không (kỳ lạ nhưng xảy ra) ngày bắt đầu trong tương lai.
• Chuỗi tin tưởng nguyên vẹn — cơ quan ký nó bản thân được tin tưởng, tất cả con đường lên.

Nếu bất kỳ điều nào trong số này thất bại, trình duyệt hiển thị trang “Kết nối của bạn không riêng tư” đáng sợ, và kiểm tra này thất bại cứng. Tốt trông như: chứng chỉ từ cơ quan được công nhận, bao gồm mọi tên miền và tên miền phụ bạn thực sự dùng, thoải mái trong phạm vi ngày.

2. Không sắp hết hạn

Mỗi chứng chỉ có ngày kết thúc cứng. Chứng chỉ miễn phí thường kéo dài 90 ngày; chứng chỉ trả phí thường một năm. Qua ngày, tin tưởng biến mất ngay lập tức — không có thời gian ân hạn. Kiểm tra này đo còn bao nhiêu ngày và nó tương tác với ai đã cấp:

• Nếu đã hết hạn, hoặc hết hạn trong dưới 7 ngày, đó là quan trọng — dấu hiệu gia hạn đã thất bại.
• Nếu hết hạn trong 30 ngày và không được quản lý tự động, đó là cảnh báo gia hạn ngay bây giờ.
• Nếu từ nhà cung cấp tự động gia hạn (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL và tương tự) với ít nhất một tuần còn lại, nó đạt — vì nó được kỳ vọng tự gia hạn trước thời hạn.
• Còn nhiều thời gian (90+ ngày, hoặc được tự động quản lý) là đạt sạch sẽ.

Tốt trông như: chứng chỉ được quản lý tự động tự gia hạn mà không ai chạm vào. Cách đáng tin nhất để không bao giờ có sự cố hết hạn là để máy, không phải người, chịu trách nhiệm gia hạn.

3. Thuật toán ký mạnh

Mỗi chứng chỉ được “ký” bằng thuật toán mật mã học cho phép trình duyệt phát hiện giả mạo. Thuật toán cũ — MD5 và SHA-1 — đã được chứng minh có thể giả mạo, nghĩa là kẻ tấn công về nguyên tắc có thể tạo chứng chỉ gian lận trông hợp lệ như của bạn. Kiểm tra này đạt khi chứng chỉ dùng chữ ký mạnh, hiện đại: SHA-256 hoặc mạnh hơn (SHA-384, SHA-512), ECDSA hiện đại, hoặc Ed25519/Ed448. MD5 và SHA-1 thất bại. Tốt trông như: SHA-256 hoặc tốt hơn — đây là mặc định trên mọi chứng chỉ miễn phí và hiện đại, vì vậy đây hiếm khi là vấn đề trên bất cứ thứ gì được cấp gần đây.

4. Khóa mạnh

Chứng chỉ mang khóa mật mã học thực sự xáo trộn. Nếu khóa đó quá ngắn, sức mạnh tính toán hiện đại có thể — với đủ tài nguyên — bẻ nó, để kẻ tấn công mạo danh website của bạn hoặc giải mã lưu lượng. Các tối thiểu được chấp nhận là 2048-bit RSA hoặc 256-bit elliptic-curve (EC). Kiểm tra này đạt ở những kích cỡ đó hoặc cao hơn và thất bại dưới. Tốt trông như: 2048-bit (hoặc 4096-bit) RSA, hoặc khóa EC 256-bit như P-256 — một lần nữa, mặc định trên chứng chỉ miễn phí hiện đại.

Lưu ý về ba cái cuối: hợp lệ-và-đáng-tin là cái quan trọng thúc đẩy trang cảnh báo. Độ mạnh chữ ký và khóa là về tương lai-an toàn và kiểm toán — chứng chỉ miễn phí gần đây hầu như luôn đạt chúng tự động, nhưng chúng là thứ xem xét bảo mật sẽ kiểm tra, vì vậy đáng làm đúng.

Cách sửa (miễn phí, ~15 phút)

Chuyển phần này cho người chạy website hoặc hosting của bạn — việc sửa miễn phí. Chứng chỉ hợp lệ, mạnh, tự gia hạn không tốn gì qua Let’s Encrypt hoặc bất kỳ host hiện đại nào. Chúng tôi chỉ tính phí để theo dõi rằng nó luôn lành mạnh theo thời gian, không phải để sửa. Nếu bạn không có người IT, các ghi chú nền tảng bên dưới sẽ đưa hầu hết chủ sở hữu đến đó.

Bước 1 — Nhận (hoặc thay thế) chứng chỉ bằng chứng chỉ miễn phí, đáng tin. Bước duy nhất này sửa tính hợp lệ, chữ ký, và độ mạnh khóa cùng lúc, vì chứng chỉ miễn phí hiện đại dùng SHA-256 và khóa mạnh theo mặc định.

• Cloudflare: trong SSL/TLS → Overview, đặt chế độ thành Full (Strict). Cloudflare cấp và tự gia hạn chứng chỉ edge đáng tin cho bạn; đảm bảo máy chủ gốc của bạn cũng có chứng chỉ hợp lệ để “Strict” hoạt động.
• Google Workspace / Microsoft 365 hosting hoặc bất kỳ cPanel host nào: tìm SSL/TLS Status và chạy AutoSSL. Nó cấp phát và gia hạn chứng chỉ miễn phí tự động.
• Site builder (Squarespace, Wix, Shopify, WordPress host hiện đại): SSL thường bật mặc định — xác nhận nó được bật trong cài đặt tên miền/bảo mật, và nó bao gồm cả yourbiz.com và www.yourbiz.com.
• Máy chủ Linux riêng (Nginx/Apache): cài Let’s Encrypt với Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (hoặc --apache). Cho khóa EC hiện đại, thêm --key-type ecdsa. Liệt kê mọi tên host bạn phục vụ với -d để chứng chỉ khớp tất cả chúng.

Bước 2 — Làm gia hạn tự động để nó không bao giờ hết hạn nữa. Đây là bước ngăn kịch bản sự cố cuối tuần.

• Trên máy chủ Let’s Encrypt, xác nhận timer gia hạn đang hoạt động và kiểm tra nó: sudo certbot renew --dry-run. Certbot thường cài timer tự động; nếu không, thêm cron job hàng ngày: 0 3 * * * certbot renew --quiet.
• Trên Cloudflare, cPanel AutoSSL, và managed/site-builder host, gia hạn được xử lý cho bạn — không có gì cần lên lịch.

Bước 3 — Đảm bảo nó bao gồm đúng tên. Nguyên nhân phổ biến nhất “hợp lệ nhưng cảnh báo” là không khớp tên. Chứng chỉ phải bao gồm mọi tên host khách hàng thực sự dùng — tên miền bare, www, và bất kỳ tên miền phụ nào như shop. hoặc app.. Khi tạo chứng chỉ, bao gồm từng cái (wildcard như *.yourbiz.com bao gồm tất cả tên miền phụ trong một lần).

Bước 4 — Nếu chỉ độ mạnh chữ ký hoặc khóa bị gắn cờ, chỉ cần tái cấp phát. Bạn không cần mua gì: tạo chứng chỉ mới (Bước 1) và cái mới sẽ dùng SHA-256 và khóa mạnh tự động.

Bước 5 — Xác minh, sau đó kiểm tra lại ở đây. Xác nhận ngày, issuer và khóa với lệnh nhanh — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — sau đó chạy lại kiểm tra này.

Các lỗi phổ biến

• Coi “chúng tôi đã cài SSL một lần” là xong. Chứng chỉ hết hạn theo đồng hồ. Không có tự động gia hạn, câu hỏi không phải nếu nó hết hạn mà là khi nào — thường vào thời điểm ít tiện nhất.
• Bao gồm www nhưng không phải tên miền bare (hoặc ngược lại). Cả hai phải trên chứng chỉ, hoặc một trong số chúng ném cảnh báo không khớp tên. Cùng bẫy này bắt các tên miền phụ mới thêm sau.
• Để chứng chỉ tự ký trên tên miền phụ “test” thực sự công khai. Nó mã hóa, nên có vẻ an toàn — nhưng trình duyệt (và máy quét bảo mật) coi nó là không đáng tin, và nó là dấu đỏ kiểm toán điển hình.
• Giả định trả nhiều tiền hơn có nghĩa là an toàn hơn. Chứng chỉ Let’s Encrypt miễn phí được tin tưởng và mã hóa y hệt như chứng chỉ đắt tiền. Trả nhiều hơn không tạo ổ khóa mạnh hơn.
• Gia hạn chứng chỉ nhưng quên tải lại máy chủ. Chứng chỉ mới nằm trên đĩa không làm gì cho đến khi máy chủ web được tải lại để chọn nó — nguyên nhân đáng ngạc nhiên phổ biến của “tôi đã gia hạn nhưng nó vẫn hiện đã hết hạn.”
• Tự động gia hạn đã âm thầm thất bại. Job gia hạn có thể bị hỏng (file đã di chuyển, thay đổi DNS, cổng bị chặn) và tiếp tục “thành công” âm thầm. Theo dõi ngày hết hạn — không chỉ job gia hạn — là điều thực sự bắt điều này trước khi nó cắn.

FAQ