Defaults.Exposed › Cách khắc phục › HTTPS & chuyển hướng bắt buộc sang HTTPS

Cách khắc phục HTTPS & chuyển hướng bắt buộc sang HTTPS

HTTPS là ổ khóa trong thanh địa chỉ trình duyệt — nó mã hóa mọi thứ truyền giữa website và khách hàng để không ai có thể đọc hoặc giả mạo trong quá trình truyền. Chuyển hướng bắt buộc đảm bảo khách truy cập hạ cánh trên phiên bản mã hóa đó tự động, ngay cả khi họ gõ địa chỉ không có 'https://'. Cùng nhau chúng là điều cơ bản nhất mà website cần để được coi là an toàn.

Điểm mấu chốt với doanh nghiệp bạn: Không có HTTPS, mọi mật khẩu, số thẻ và tin nhắn khách hàng gửi cho bạn đi qua internet như văn bản có thể đọc, và Chrome, Edge, Safari và Firefox đều đóng dấu website của bạn 'Không an toàn' cho mọi khách truy cập trước khi họ đọc một từ. Không có chuyển hướng, ngay cả các website có chứng chỉ vẫn để lần ghé thăm đầu tiên không được bảo vệ. Cả hai khiến bạn mất niềm tin, doanh thu và thứ hạng tìm kiếm — và cả hai đều miễn phí để sửa trong vài phút.

Điều này có thể gây thiệt hại gì

• Khách truy cập lần đầu thấy cảnh báo lớn 'Không an toàn' ngay khi trang của bạn tải. Hầu hết cho rằng website là giả, hỏng hoặc không an toàn và rời đi tìm đối thủ — và bạn không bao giờ biết doanh thu đã mất.
• Khách hàng nhập thông tin thẻ hoặc đăng nhập qua kết nối không mã hóa từ quán cà phê, khách sạn hoặc sân bay. Ai đó trên cùng WiFi đọc nó dưới dạng văn bản thuần, và các khoản phí gian lận theo sau được quy cho bạn.
• Nhóm mua sắm hoặc bảo mật của khách hàng lớn hơn chạy quét nhanh trước khi ký, thấy không có HTTPS hoặc thiếu chuyển hướng bắt buộc sang HTTPS, và giữ hợp đồng cho đến khi bạn có thể chứng minh nó đã được sửa.
• Google xếp hạng bạn dưới đối thủ phục vụ HTTPS, vì vậy bạn âm thầm mất lưu lượng tìm kiếm trong nhiều năm mà không bao giờ kết nối nó với khoảng trống này.
• Cơ quan quản lý hoặc nhà cung cấp thanh toán của bạn coi việc gửi dữ liệu cá nhân hoặc thẻ không được mã hóa là lỗi có thể báo cáo, biến bản sửa miễn phí năm phút thành vấn đề tuân thủ.

Tại sao điều này quan trọng. HTTPS là nền tảng, không phải trần, của bảo mật web — đây là điều làm xuất hiện ổ khóa và là điều ngăn mọi thứ khách hàng của bạn gửi bị đọc hoặc thay đổi trên đường. Chuyển hướng bắt buộc đóng khoảng cách mà chứng chỉ đơn lẻ để mở: người ta hầu như không bao giờ gõ 'https://', vì vậy không có chuyển hướng, yêu cầu đầu tiên của họ đi không được bảo vệ trước khi phiên bản an toàn tải. Website thiếu một trong hai trông không an toàn với khách truy cập, xếp hạng thấp hơn trong tìm kiếm, và phơi bày dữ liệu khách hàng thật — đó là lý do tại sao đây là lỗi có điểm nặng nhất chúng tôi tính.

Thực ra nó là gì, giải thích đơn giản

HTTPS là phiên bản an toàn, mã hóa của website — cái hiển thị ổ khóa trong thanh địa chỉ. Khi khách truy cập đang dùng HTTPS, mọi thứ đi qua giữa trình duyệt của họ và website (trang họ thấy, form họ điền, mật khẩu, thông tin thẻ) được xáo trộn để không ai ở giữa có thể đọc hoặc thay đổi. Phiên bản thuần, HTTP, gửi tất cả thứ đó như văn bản có thể đọc mà bất kỳ ai trên cùng mạng có thể chặn.

Có hai phần để làm đúng điều này, và chúng tôi kiểm tra cả hai:

• HTTPS có sẵn không? Website của bạn có chứng chỉ bảo mật hoạt động để phiên bản an toàn, có ổ khóa tồn tại không? Đây là phần nghiêm trọng hơn trong hai — không có nó, hoàn toàn không có mã hóa.
• Website của bạn có ép khách truy cập đến nó không? Hầu như không ai gõ “https://” bằng tay. Nếu ai đó gõ tên miền của bạn, trình duyệt thử phiên bản HTTP thuần trước. Chuyển hướng bắt buộc sang HTTPS tự động đưa yêu cầu đó đến phiên bản mã hóa. Không có nó, những khoảnh khắc đầu tiên của mỗi lần ghé thăm không được bảo vệ ngay cả khi bạn có chứng chỉ.

Bạn muốn cả hai. Chứng chỉ không có chuyển hướng là cửa trước có ổ khóa mà khách truy cập có thể đi vòng quanh.

Rủi ro kinh doanh

Đây là tín hiệu cơ bản nhất về việc website có an toàn không — và quan trọng hơn, đây là tín hiệu khách hàng của bạn có thể tự thấy. Mọi trình duyệt hiện đại (Chrome, Edge, Safari, Firefox) gắn nhãn website không HTTPS là “Không an toàn” ngay trong thanh địa chỉ, và hiển thị cảnh báo nếu ai cố gõ vào form. Khách truy cập không cần biết chứng chỉ là gì để phản ứng với từ đó.

Ngoài cảnh báo hiển thị, điều này ảnh hưởng đến ba thứ chủ sở hữu trực tiếp quan tâm: niềm tin (người ta từ bỏ những website trông không an toàn), thứ hạng tìm kiếm (Google đã dùng HTTPS là tín hiệu xếp hạng nhiều năm và ưu tiên website an toàn), và phơi lộ thật (dữ liệu gửi qua HTTP thuần thực sự có thể được người khác trên cùng mạng đọc).

Điều này có thể khiến bạn mất gì

• Thoát trang âm thầm. Khách hàng tiềm năng nhấp qua từ kết quả tìm kiếm hoặc quảng cáo, và trang tải với huy hiệu xám “Không an toàn” — hoặc tệ hơn, cảnh báo toàn màn hình. Họ không email hỏi tại sao; họ chỉ đóng tab và nhấp vào kết quả tiếp theo. Bạn trả tiền cho lần ghé thăm đó và mất nó trước khi họ đọc một từ, và không có gì trong analytics của bạn nói tại sao.
• Đăng nhập hoặc thanh toán bị chặn. Khách hàng đăng nhập hoặc thanh toán khi dùng WiFi chung tại khách sạn hoặc quán cà phê. Vì kết nối không được mã hóa, ai đó gần đó chụp mật khẩu hoặc số thẻ dưới dạng văn bản thuần. Gian lận theo sau được báo cáo là vi phạm của bạn, và bạn là người nhận cuộc gọi tức giận và chargeback.
• Thỏa thuận đình trệ. Khách hàng lớn hơn sẵn sàng ký, nhưng quy trình mua sắm của họ bao gồm kiểm tra bảo mật nhanh website của bạn. Nó trả về gắn cờ không có HTTPS, hoặc thiếu chuyển hướng bắt buộc sang HTTPS. Đột ngột bạn đang giải thích khoảng cách bảo mật cơ bản thay vì đóng — và hợp đồng chờ, hoặc âm thầm chuyển sang đối thủ đã vượt qua kiểm tra.
• Rò rỉ thứ hạng chậm. Hai doanh nghiệp cung cấp cùng thứ; một phục vụ HTTPS an toàn và một không. Công cụ tìm kiếm nhẹ nhàng đẩy cái an toàn lên cao hơn. Qua nhiều tháng bạn mất dòng chảy đều đặn lưu lượng miễn phí và không bao giờ kết nối nó với cài đặt này.
• Nội dung chèn vào bạn không bao giờ viết. Trên kết nối không mã hóa, bất kỳ ai ở giữa — mạng công cộng xấu, router bị xâm phạm — có thể chèn pop-up giả, ưu đãi lừa đảo hoặc malware vào trang của bạn khi khách truy cập tải chúng. Với khách truy cập đó, nó trông như website của bạn đã làm điều đó.

Thực ra nó là gì

Khi trình duyệt kết nối với website qua HTTPS, hai điều xảy ra. Đầu tiên, website trình bày chứng chỉ — thông tin xác thực được cấp bởi cơ quan đáng tin chứng minh website là chính nó. Thứ hai, trình duyệt và máy chủ đồng ý về khóa mã hóa và dùng nó để xáo trộn mọi thứ họ trao đổi. Kiểm tra đầu tiên, HTTPS có sẵn, đơn giản hỏi: chúng ta có thể thực hiện kết nối TLS an toàn đến website của bạn trên cổng tiêu chuẩn (443) và nhận chứng chỉ hợp lệ không? Nếu có, ổ khóa có thể xuất hiện và mã hóa đang bật. Nếu không, không có phiên bản an toàn của website của bạn — và đó là lỗi nặng nhất chúng tôi tính.

Kiểm tra thứ hai, chuyển hướng bắt buộc sang HTTPS, bao gồm khoảng cách mà chứng chỉ đơn lẻ để mở. Người ta gõ “yourbusiness.com”, không phải “https://yourbusiness.com”. Yêu cầu bare đó trước tiên đến phiên bản HTTP thuần. Chuyển hướng là hướng dẫn một dòng nói “gửi bất kỳ ai đến trên phiên bản không an toàn thẳng đến phiên bản an toàn.” Kiểm tra của chúng tôi hỏi: khi chúng tôi yêu cầu địa chỉ HTTP thuần của bạn, website có đưa chúng tôi đến HTTPS không? Nếu có, mọi khách truy cập đều được bảo vệ dù họ gõ địa chỉ như thế nào. Nếu không, bước đầu tiên không được bảo vệ đó mang theo bất cứ thứ gì trình duyệt gửi — cookie, dữ liệu form — trong không mã hóa.

“Tốt” trông như thế nào: chứng chỉ hợp lệ, đáng tin để ổ khóa hiển thị trên mọi trang, và mọi yêu cầu HTTP thuần tự động chuyển hướng đến phiên bản HTTPS (lý tưởng là chuyển hướng “301” vĩnh viễn, cũng truyền thứ hạng tìm kiếm của bạn sạch sang địa chỉ an toàn).

Cách sửa (miễn phí, ~15 phút)

Chuyển phần này cho người IT hoặc hỗ trợ nhà cung cấp hosting của bạn — việc sửa miễn phí. Cả hai phần không tốn gì: chứng chỉ đáng tin là miễn phí và tự gia hạn, và bật chuyển hướng là một cài đặt duy nhất trên hầu hết nền tảng. Không cần sản phẩm trả phí để vượt qua điều này.

Có hai thứ cần bật. Trên hầu hết hosting hiện đại, làm cái đầu tiên thường làm cái thứ hai là một-click toggle.

1. Nhận chứng chỉ để HTTPS hoạt động (ổ khóa).

• Cloudflare: nếu website của bạn đằng sau Cloudflare, SSL được xử lý cho bạn. Đặt chế độ SSL/TLS thành “Full” (hoặc “Full (strict)” nếu máy chủ gốc của bạn cũng có chứng chỉ).
• Website builder và managed hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, hầu hết Microsoft 365 / Google Workspace web hosting): HTTPS được cung cấp tự động; chỉ cần đảm bảo nó được bật trong cài đặt website/tên miền — thường không cần cài gì.
• cPanel hosting: mở SSL/TLS Status và chạy AutoSSL, cấp phát chứng chỉ Let’s Encrypt miễn phí.
• Máy chủ riêng (VPS): cài Let’s Encrypt với Certbot — sudo certbot --nginx -d yourdomain.com (hoặc --apache). Nó lấy và cài chứng chỉ miễn phí và thiết lập tự động gia hạn.
• Bất kỳ thứ gì khác: liên hệ hỗ trợ nhà cung cấp hosting và yêu cầu họ “enable a free SSL certificate for my domain.” Hầu như tất cả cung cấp điều này miễn phí.

2. Ép mọi khách truy cập sang HTTPS (chuyển hướng).

• Cloudflare: SSL/TLS → Edge Certificates → bật “Always Use HTTPS.” Đó là toàn bộ việc.
• Website builder (Squarespace, Wix, Shopify, v.v.): tìm toggle “Force HTTPS” hoặc “Secure (HTTPS)” trong cài đặt website và bật nó.
• Nginx: thêm server block trên port 80 trả về chuyển hướng vĩnh viễn — return 301 https://$host$request_uri;.
• Apache (.htaccess): bật rewriting và chuyển hướng mọi yêu cầu không HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows hosting): cài module URL Rewrite và thêm quy tắc chuyển hướng “HTTP to HTTPS”.

Sau khi cả hai bật, kiểm tra: gõ địa chỉ với http:// thuần trước mặt và xác nhận trình duyệt nhảy sang phiên bản https:// có ổ khóa tự động, và ổ khóa hiển thị trên các trang chính.

Các lỗi phổ biến

• Đã cài chứng chỉ, nhưng không có chuyển hướng. Khoảng cách phổ biến nhất. Bạn thấy ổ khóa khi truy cập website của chính mình (vì trình duyệt đã nhớ HTTPS), nên bạn cho rằng đã xong — nhưng khách truy cập mới gõ tên miền bare vẫn hạ cánh trên HTTP trước. Luôn kiểm tra phiên bản http:// thuần rõ ràng.
• Nội dung hỗn hợp. Trang của bạn tải qua HTTPS nhưng kéo hình ảnh, script hoặc font từ địa chỉ http:// cũ. Trình duyệt hoặc chặn nó hoặc hạ cấp ổ khóa xuống cảnh báo. Cập nhật những tham chiếu đó thành https:// (hoặc liên kết tương đối). Hầu hết nền tảng có báo cáo “mixed content” hoặc “insecure content” tìm thấy chúng.
• Chuyển hướng tạm (302) thay vì vĩnh viễn (301). 302 hoạt động cho khách truy cập nhưng nói với công cụ tìm kiếm rằng việc di chuyển là tạm thời, vì vậy giá trị thứ hạng không chuyển sạch sang địa chỉ an toàn. Dùng 301 vĩnh viễn.
• Chỉ chuyển hướng tên miền bare, không phải “www” (hoặc ngược lại). Đảm bảo cả yourdomain.com và www.yourdomain.com đều kết thúc trên HTTPS, nếu không một đường dẫn vẫn bị phơi lộ.
• Để chứng chỉ hết hạn. Chứng chỉ hết hạn ném lỗi trình duyệt toàn màn hình dừng khách truy cập hoàn toàn. Chứng chỉ Let’s Encrypt miễn phí tự gia hạn; nếu bạn mua một cái thủ công, đặt nhắc nhở lịch trước ngày hết hạn.

FAQ

Xem các câu hỏi ở trên — chúng bao gồm “tôi không chuyên kỹ thuật, có thể tự làm không”, sự khác biệt giữa có ổ khóa và ép chuyển hướng, chi phí và gia hạn chứng chỉ, liệu website brochure có cần không, và điều này liên quan đến HSTS như thế nào.

FAQ