HTTPS là gì? bảo mật web với HTTPS

Chuyên mục: Thuật ngữ

Nếu bạn đã có một sản phẩm HTTP hiện tại mà bạn muốn di chuyển từ HTTP sang HTTPS, hãy làm theo hướng dẫn trong Di chuyển trang web với thay đổi URL. Bài viết này mô tả về HTTPS và các phương pháp hay nhất để sử dụng nó

HTTPS là gì và nó hoạt động như thế nào?

HTTPS (Giao thức truyền siêu văn bản an toàn) là giao thức truyền trên internet bảo vệ dữ liệu của người dùng toàn vẹn và bảo mật giữa máy tính của người dùng và trang web. Ví dụ: khi người dùng nhập dữ liệu vào biểu mẫu trên trang web của bạn để đăng ký nhận cập nhật hay mua một sản phẩm, HTTPS bảo vệ thông tin cá nhân của người dùng đó trong quá trình truyền giữa người dùng và trang web. Người dùng mong đợi trải nghiệm trực tuyến bảo mật khi cung cấp dữ liệu qua một trang web. Chúng tôi khuyến khích bạn nên sử dụng HTTPS để bảo vệ kết nối giữa người dùng và trang web của bạn.

Dữ liệu được gửi bằng cách sử dụng HTTPS được bảo mật qua giao thức Bảo mật lớp truyền tải (TLS), cung cấp ba lớp bảo vệ chính:

Mã hóa—mã hóa dữ liệu được trao đổi để bảo mật nó khỏi những người nghe lén. Điều đó nghĩa là trong lúc người dùng duyệt trang web, không ai có thể "lắng nghe" các cuộc hội thoại của họ, theo dõi hoạt động của họ trên nhiều trang hay đánh cắp thông tin của họ.

Toàn vẹn dữ liệu—không thể sửa đổi hay làm hỏng dữ liệu trong lúc truyền, cho dù cố ý hay theo cách khác, mà không bị phát hiện.

Xác thực—chứng minh rằng người dùng của bạn đang giao tiếp với trang web chủ định của họ. Giao thức này bảo vệ chống lại tấn công trung gian và xây dựng niềm tin của người dùng, điều này dẫn đến các lợi ích khác về mặt kinh doanh.

Các phương pháp hay nhất khi sử dụng HTTPS

Sử dụng chứng chỉ bảo mật mạnh Bạn phải lấy chứng chỉ bảo mật khi bật HTTPS cho trang web của bạn. Chứng chỉ được cấp bởi cơ quan chứng chỉ (CA), quá trình này mất vài bước để xác minh rằng địa chỉ web của bạn thực sự thuộc về tổ chức của bạn, qua đó bảo vệ khách hàng của bạn khỏi các cuộc tấn công trung gian. Khi thiết lập chứng chỉ của bạn, hãy đảm bảo mức độ bảo mật cao bằng cách chọn khóa 2048-bit. Nếu bạn đã có chứng chỉ với khóa yếu hơn (1024-bit), hãy nâng cấp nó lên 2048 bit. Khi chọn chứng chỉ cho trang web của bạn, hãy ghi nhớ một số điều sau:

Lấy chứng chỉ từ một CA đáng tin cậy có cung cấp hỗ trợ kỹ thuật.

Quyết định loại chứng chỉ bạn cần:

Một chứng chỉ cho mỗi địa chỉ gốc bảo mật (ví dụ: www.example.com).

Chứng chỉ nhiều miền cho nhiều địa chỉ gốc bảo mật phổ biến (ví dụ, www.example.com, cdn.example.com, example.co.uk).

Chứng chỉ ký tự đại diện cho một địa chỉ gốc bảo mật với nhiều tên miền phụ động (ví dụ, a.example.com, b.example.com).

Chuyển hướng người dùng và công cụ tìm kiếm đến trang HTTPS hay tài nguyên với chuyển hướng HTTP 301 phía máy chủ.

Sử dụng một máy chủ web hỗ trợ Bảo mật thông tin truyền tải nghiêm ngặt HTTP (HSTS) và đảm bảo rằng nó được bật. HSTS cho trình duyệt biết phải yêu cầu trang tự động thông qua HTTPS, ngay cả khi người dùng nhập http trong thanh địa chỉ của trình duyệt. Nó cũng cho Google biết phải phân phối URL bảo mật trong kết quả tìm kiếm. Tất cả những điều này làm giảm thiểu nguy cơ phân phối nội dung không bảo mật đến người dùng của bạn.

Quan trọng: Nếu bạn sử dụng HSTS, hãy xác minh rằng trang HTTPS của bạn có thể thu thập dữ liệu và lập chỉ mục được bởi Google: không chặn trang HTTPS của bạn bằng tệp robots.txt hay bao gồm thẻ meta noindex trong trang nếu bạn muốn chúng được thu thập dữ liệu và lập chỉ mục. Sử dụng Tìm nạp như Google để kiểm tra rằng Googlebot có thể truy cập các trang của bạn.

Các lỗi thường thấy khi sử dụng HTTPS/TLS

Trong quá trình bảo mật trang web của bạn với TLS, hãy tránh các sai lầm sau:

Di chuyển từ HTTP sang HTTPS

Nếu bạn di chuyển trang web của mình từ HTTP sang HTTPS, Google xử lý việc này như di chuyển trang web với thay đổi về URL. Điều này có thể có ảnh hưởng tạm thời đến một số lưu lượng truy cập của bạn như được mô tả dưới đây:

Bạn có thể gặp phải biến động tạm thời trong xếp hạng trang web trong quá trình di chuyển. Với bất kỳ thay đổi quan trọng nào với một trang web, bạn có thể gặp phải biến động trong xếp hạng trong lúc Google thu thập lại dữ liệu và lập chỉ mục lại trang web của bạn. Quy tắc chung là một trang web có quy mô trung bình có thể mất vài tuần để phần lớn trang được di chuyển trong chỉ mục của chúng tôi; trang web lớn hơn có thể mất nhiều thời gian hơn. Tốc độ Googlebot và hệ thống của chúng tôi khám phá và xử lý URL được di chuyển phụ thuộc phần lớn vào số lượng URL và tốc độ máy chủ của bạn. Việc gửi sơ đồ trang web có thể giúp quá trình khám phá nhanh hơn, và di chuyển trang web của bạn theo phần cũng là ý kiến hay.

Trang web HTTPS tăng nhẹ về xếp hạng, nhưng đừng mong đợi một thay đổi rõ rệt. Google sử dụng HTTPS như một tín hiệu tích cực khi xếp hạng. Tín hiệu này chỉ là một trong số nhiều tín hiệu khác, và hiện có tầm quan trọng kém hơn nội dung trang web chất lượng cao; bạn không nên mong đợi lợi ích đáng kể về mặt SEO khi di chuyển sang HTTPS trong thời gian ngắn. Về lâu dài, Google có thể tăng mức độ thăng hạng với HTTPS.