HTTPS là gì? HyperText Transfer Protocol Secure (HTTPS) là một phiên bản đã được mã hóa của HTTP, là giao thức chính được sử dụng nhằm truyền dữ liệu qua World Wide Web (WWW).
HTTPS giúp bảo vệ việc giao tiếp giữa trình duyệt và máy chủ của bạn khỏi bị kẻ xấu tấn công, chặn và giả mạo. Điều này cung cấp thêm tính bảo mật, tính toàn vẹn và xác thực cho phần lớn lưu lượng truy cập WWW hiện nay.
Bất kỳ trang web nào hiển thị có biểu tượng ổ khóa trên thanh địa chỉ đề đang được sử dụng HTTPS.
Trong bài viết này, bạn sẽ nắm được:
- Khái niệm cơ bản về HTTP và HTTPS
- Cách mà chứng chỉ TLS hoạt động
- Lợi ích mà HTTPS mang đến cho SEO
- Cách thiết lập HTTPS
- Cách kiểm tra các lỗi di chuyển HTTPS tiềm ẩn
HTTP với HTTPS: Khái niệm cơ bản
Đầu tiên, hãy đơn giản hóa bằng hình minh họa phía bên dưới về việc giao tiếp giữa máy khách (trình duyệt) và máy chủ khi có kẻ tấn công ở giữa.
Như bạn có thể thấy, những kẻ tấn công có thể lấy được dữ liệu nhạy cảm như chi tiết đăng nhập và thanh toán hoặc đưa vào các mã độc hại trong các tài nguyên được yêu cầu.
Các cuộc tấn công mạng tiềm ẩn có thể xảy ra ở bất kỳ đâu với bộ định tuyến hoặc IPS không đáng tin cậy. Do đó, bất kỳ mạng Wifi công cộng nào cũng sẽ dễ bị tấn công.
Nhưng may mắn thay, có vẻ như công chúng đang nhận thức được thực tế này (việc sử dụng VPN ngày càng tăng).
Tuy nhiên, gánh nặng của việc đảm bảo an toàn cho trải nghiệm duyệt web của mọi người lại cần đặt lên trên vai của các nhà quản trị viên web.
Đó là lý do mà việc áp dụng HTTPS phát huy tác dụng của mình.
HTTPS mã hóa các yêu cầu và phản hồi HTTP để kẻ tấn công chặn sẽ chỉ thấy các ký tự ngẫu nhiên thay vì chi tiết thẻ tín dụng (ví dụ như vậy).
Tương tự như cách HTTPS hoạt động sẽ là gửi các vật có giá trị trong một ‘hộp kết hợp’ có khóa và không thể phá hủy được. Chỉ các bên gửi và nhận mới biết sự kết hợp này và nếu những kẻ tấn công nắm được nó, chúng sẽ không thể ‘vào’ được bên trong.
Bây giờ, rất nhiều điều xảy ra khi kết nối HTTPS được hình thành. Về cơ bản, HTTPS dựa vào mã hóa TLS (Transfer Layer Security) để bảo mật các kết nối.
Cách chứng chỉ TLS hoạt động
Cách duy nhất để bật HTTPS trên trang web của bạn là lấy chứng chỉ TLS và cài đặt nó trên trang chủ của bạn.
Bạn cũng sẽ gặp nó dưới dạng chứng chỉ SSL hoặc SSL/TLS. Nhưng đừng quá lo lắng, tất cả đều giống nhau.
SSL vẫn là thuật ngữ được sử dụng rộng rãi mặc dù về mặt kỹ thuật, tất cả chúng ta đều sử dụng TLS kế nhiệm của nó.
Chứng chỉ TLS được cấp bởi Certificate Authorities (CA). Vai trò của CA là trở thành bên thứ ba đáng tin cậy trong mối quan hệ máy khác – máy chủ.
Về cơ bản, bất kỳ ai cũng có thể phát hành chứng chỉ TLS. Tuy nhiên, chỉ những CA đáng tin cậy công khai mới được trình duyệt hỗ trợ.
Bạn có thể kiểm tra chứng TLS của mọi trang web và CA phát hành của nó bằng cách nhấp vào biểu tượng ổ khóa trên thanh địa chỉ của trình duyệt.
Bạn có thể nhấp qua chứng chỉ để tìm hiểu thêm. Điều quan trọng ở đây là dòng “Issued to:”. Đây là lúc chúng ta tìm hiểu các loại tiêu chuẩn xác thực khác nhau cho chứng chỉ TLS, đây là điều chủ yếu tạo nên sự khác biệt giữa các chứng chỉ miễn phí và trả phí.
DV, OV và EV: Nó có ý nghĩa gì và nên chọn cái nào?
Chứng chỉ TLS miễn phí đi kèm với các gói lưu trữ và CDN của bạn chỉ thực hiện domain validation (DV).
Điều này xác thực rằng chủ sử hữu chứng chỉ đang kiểm soát một tên miền nhất định. Kỹ thuật xác nhận cơ bản như vậy là đủ tốt cho các blog và trang web không xử lý thông tin nhạy cảm, tuy nhiên chúng thực sự không phải là lý tưởng cho những blog hay trang web đó.
Các trang web sử dụng chứng chỉ DV TLS có vẻ an toàn nhưng bạn sẽ không thấy được dòng “Issued to:” khi bạn nhấp vào biểu tượng khóa.
Chứng chỉ DV TLS phổ biến nhất đến từ một CA phi lợi nhuận được gọi là Let’s Encrypt. Đây là điều mà hầu hết các công ty cung cấp chứng chỉ TLS tự động tái tạo miễn phí sử dụng.
Không có điều gì sai với chứng chỉ DV, sau tất cả, đây là loại chứng chỉ TLS duy nhất có thể được cấp tự động trên quy mô lớn. Tuy nhiên, HTTPS chỉ mạnh bằng chứng chỉ cơ bản xác thực máy chủ mà bạn đang ‘nói chuyện’.
Nếu trang web của bạn cho phép đăng nhập hoặc thanh toán, bạn nên đầu tư vào chứng chỉ TLS cung cấp organization validation (OV) hoặc extended validation (EV). Hai loại này khác nhau trong quá trình xác minh với EV sẽ khắt khe hơn.
Nếu bạn chỉ muốn mua một cái, thì tôi khuyên bạn nên đến thẳng chứng chỉ EV TLS. Đây là nơi đáng tin cậy nhất và nó không đắt hơn OV.
Chứng chỉ Wildcard và SAN TLS
Bỏ lại các tiêu chuẩn xác thực, hãy chuyển sang một danh mục chứng chỉ TLS khác.
Chứng chỉ Wildcard và SAN được sử dụng nhằm để bảo mật nhiều tên miền (phụ) cùng một lúc. Nếu bạn đã mua chứng chỉ EV TLS tiêu chuẩn cho example.com, bạn cần một chứng chỉ riêng dành cho blog.example.com.
Chứng chỉ Wildcard có thể bảo mật cho các tên miền phụ một cách không giới hạn (example.com, blog.example.com, docs.example.com) trong khi chứng chỉ SAN cũng có tùy chọn để bảo mật các miền khác (example.com, blog.example.com, other.org).
Các loại này được kết hợp với các loại xác thực, vì vậy bạn sẽ thấy tất cả các loại kết hợp khi bạn duyệt qua các tùy chọn mà CA cung cấp. Họ cũng sẽ hướng dẫn bạn trong quá trình xác nhận.
4 lợi ích mà HTTPS mang đến cho SEO
Có khá nhiều lợi ích của HTTPS liên quan đến SEO:
- Tín hiệu xếp hạng
- Bảo mật và quyền riêng tư tốt hơn
- Lưu trữ referral data
- Cho phép sử dụng các giao thức hiện đại giúp tăng cường tính bảo mật và tốc độ của trang web.
Tín hiệu xếp hạng
Google đã thông báo rằng HTTPS là một yếu tố xếp hạng ‘nhỏ’ kể từ năm 2014. Nó giống như một yếu tố ‘cơ bản’ hơn là một thứ có thể làm tăng nhanh thứ hạng của bạn nếu các yếu tố xếp hạng khác không thay đổi.
Về cơ bản, đây là đóng góp của Google trong việc thúc đẩy mọi người áp dụng HTTPS trên toàn thế giới nhanh hơn.
Bảo mật và quyền riêng tư tốt hơn
Chúng tôi đã nói về điều này. Tuy nhiên, điều này được ‘kết nối’ với SEO như thế nào?
Khi bạn truy cập vào một trang web không an toàn, bạn sẽ thấy một cái gì đó giống như sau:
Nó không thực sự tạo được ‘niềm tin’ cho người dùng, đúng không? Cá nhân tôi thường chú ý tới điều này và nhanh chóng hình thành ấn tượng xấu ban đầu nếu tôi nhìn thấy điều đó ở trên bất kỳ trang web nào.
Tôi đoán rằng việc chuyển sang HTTPS có thể cải thiện thời gian dừng và ngăn chặn pogo sticking.
Mặc dù đây chỉ là những yếu tố xếp hạng trên lý thuyết (chưa được xác nhận), nhưng việc khiến mọi người cảm thấy ‘tin tưởng’ khi họ truy cập trang web của bạn là chính điều mà bạn muốn hay bất kể người làm SEO nào.
Lưu trữ referral data
Nếu trang web của bạn vẫn ở trên HTTP và bạn đang sử dụng các dịch vụ phân tích web như Google Analytics, thì tôi có một tin xấu dành cho bạn: Không có Referral Data nào được chuyển từ HTTPS chuyển sang các trang HTTP.
Vì hầu hết các trang web chạy trên HTTPS ngày nay, nguồn của hầu hết Referral Data (nhấp chuột vào các liên kết từ các trang web khác) sẽ được gắn nhãn là ‘trực tiếp’ ở trong hầu hết các phần mềm phân tích.
Một nhược điểm của điều này là nó làm cho dữ liệu của bạn trở nên lộn xộn và bị lệch.
Một vấn đề khác là bạn không thể thấy các nguồn giới thiệu tốt nhất của mình – đó là một cơ hội xây dựng liên kết bị lãng phí.
Cho phép sử dụng các giao thức hiện đại nhằm tăng cường bảo mật và tốc độ trang web
Trên lý thuyết, HTTPS chậm hơn HTTP vì các tính năng bảo mật được bổ sung.
Tuy nhiên, có HTTPS lại là điều kiện tiên quyết để sử dụng công nghệ bảo mật và hiệu suất trang web.
Nói theo cách khác, ngoài bảo mật, HTTPS còn cho phép trang web của bạn cải thiện tốc độ trang khi bạn sử dụng các giao thức như TLS 1.3 và HTTP / 2.
Và ngoài việc đem lại trải nghiệm người dùng tốt hơn, Google còn coi tốc độ trang là một yếu tố xếp hạng ‘nhỏ’ giống như HTTPS:
A strong comment, but: Site speed not being important? Really?
— Jose Rivolta (@jocherivolta) April 28, 2020
Cách thiết lập HTTPS
Điều này sẽ tùy vào từng trường hợp của bạn.
Trường hợp 1: Bạn đang khởi chạy một trang web mới
Đây thực sự là một điều may mắn dành cho bạn. Hãy sử dụng HTTPS ngay từ ban đầu và bạn sẽ không bao giờ phải lo lắng về HTTP và các lỗi liên quan tới quá trình di chuyển.
Tất cả những gì mà bạn cần làm là có một nhà cung cấp dịch vụ lưu trữ tốt sẽ hướng dẫn bạn trong suốt quá trình và hỗ trợ các phiên bản HTTP và TLS mới nhất.
Sau khi tất cả đã được thiết lập và chạy, hãy triển khai HSTS như là bước cuối cùng trong việc ‘niêm phong’ bảo mật.
Trường hợp 2: Bạn đã có một trang web hỗ trợ HTTPS
Trên thực tế, trong bài viết này còn cho tôi biết được rằng nó còn có thể thiết lập không chính xác. Vì vậy hãy làm theo lời khuyên trong phần sau để kiểm tra các lỗi thường gặp.
Trường hợp 3: Bạn vẫn có một trang web đang chạy trên HTTP
Sẽ cần một khoảng thời gian để chuẩn bị và hoàn thành tất cả mọi thứ. Sự phức tạp của việc di chuyển còn phụ thuộc vào:
- Kích thước và độ phức tạp trên trang web của bạn.
- Bạn sử dụng loại CMS nào
- Các nhà cung cấp dịch vụ lưu trữ / CDN của bạn
- Khả năng về kỹ thuật của bạn
Mặc dù tôi tin rằng chủ sở hữu của các trang web nhỏ chạy trên CMS phổ biến và có lưu trữ vững chắc có thể tự thực hiện việc di chuyển, nhưng có khả năng sẽ có rất nhiều ‘biến số’ đang diễn ra.
Tôi khuyên bạn nên kiểm tra tài liệu về CMS / Server / Hosting / CDN của mình và tiến hàng tương ứng – một cách thận trọng.
Có khá nhiều bước mà bạn cần thực hiện, vì vậy hãy tạo hoặc làm theo danh sách kiểm tra việc di chuyển và cố gắng phù hợp với các hoạt động khác.
Nếu tất cả những điều này nghe có vẻ quá đỗi kỹ thuật với bạn, hãy tìm kiếm một chuyên gia. Điều này sẽ giúp bạn tiết kiệm được hàng giờ đồng hồ, sự tập trung của bạn và đảm bảo được cho bạn về mặt hiệu quả trong tương lai.
Cách kiểm tra các lỗi di chuyển HTTPS tiềm ẩn
Ngay cả khi bạn đã đánh dấu toàn bộ danh sách kiểm tra di chuyển HTTPS, rất có thể bạn vẫn gặp phải một số vấn đề (mà bạn không biết).
Trên thực tế, vào năm 2016, chúng tôi đã phân tích 10.000 tên miền xếp hạng cao nhất về các lỗi HTTPS khác nhau và phát hiện ra những điều sau:
- 90,9% miền đã triển khai HTTPS dưới mức tối ưu.
- HTTPS không hoạt động chính xác trên 65,39% miền.
- 23,01% tên miền đang sử dụng Redirect 302 tạm thời thay vì Redirect 301 vĩnh viễn.
Mặc dù đã có nhiều thay đổi và cải thiện kể từ đó, nhưng tôi khuyên bạn nên kiểm tra 5 lỗi di chuyển HTTPS phổ biến bên dưới. Sẽ không mất nhiều thời gian và hầu hết chúng cũng không khó để có thể sửa chữa.
Sai lầm 1: Còn sót những trang HTTP
Đầu tiên và quan trọng nhất, bạn cần đảm bảo rằng tất cả các trang trên trang web của bạn đã ở trên HTTPS.
Bạn có thể tìm các trang HTTP còn sót lại bằng cách thu thập dữ liệu toàn bộ trang web. Điều này sẽ không có gì mới nếu bạn ‘mắc kẹt’ với bất kỳ danh sách kiểm tra di chuyển HTTPS nào.
Chỉ cần đảm bảo rằng trình thu thập thông tin có tất cả các nguồn URL bắt buộc để nó không bỏ sót các trang.
Nếu bạn đang sử dụng Site Audit của Ahrefs, tôi khuyên bạn nên thiết lập như sau:
Sau khi hoàn tất, hãy mở bản thu thập thông tin mới nhất, đi tới Page Explorer và áp dụng bộ lọc sau:
Xuất danh sách các URL HTTP và chuyển hướng chúng để kết thúc quá trình di chuyển.
TIPS:
Không thể khám phá các trang không có trong sitemap của bạn và không có liên kết trỏ đến chúng bằng cách thu thập thông tin. Điều này thường có thể xảy ra với các trang đích PPC chuyên dụng.
Một cách để tìm những thứ này là xuất danh sách URL từ các trình quản lý quảng cáo của bạn như Google Ads hoặc FB Business Manager.
Từ đó, đảm bảo rằng các trang ‘mồ côi’ đã được di chuyển đúng cách. Và đừng quên cập nhật chúng trong trang tổng quan chiến dịch của bạn lên định dạng HTTPS mới hơn.
Sai lầm 2: Các trang HTTPS có nội dung HTTP
Lỗi này thường xảy ra khi tệp HTML ban đầu được tải bằng HTTPS nhưng các tệp tài nguyên của nó (hình ảnh, CSS, JavaScript) vẫn chưa được cập nhật lên HTTPS.
Nếu đây là vấn đề trên trang web của bạn, bạn sẽ thấy vấn đề đó trong the crawl overview và Internal pages report. Tất cả các lỗi, cảnh báo và thông báo trong Site Audit đều có mô tả về vấn đề và lời khuyên về cách khắc phục.
Sai lầm 3: Liên kết nội bộ không được cập nhật lên HTTPS
Không cập nhật Internal Link (liên kết nội bộ) của bạn lên HTTPS gây ra các chuyển hướng không cần thiết. ĐIều đó rõ ràng là tốt hơn so với việc truy cập vào một trang HTTP nhưng chúng tôi đã gặp phải sai lầm này.
Thật dễ dàng để phát hiện ra các liên kết này và sửa chữa chúng.
Bạn sẽ tìm thấy được vấn đề này trong Links report của Site Audit:
Chỉ cần viết lại các URL thành https:// và bạn đã hoàn tất.
Điều này chỉ có thể áp dụng nếu bạn đã đảm bảo rằng không có trang HTTP nào bằng cách sử dụng lời khuyên ở #sai lầm 1.
Sai lầm 4: Thẻ không được cập nhật lên HTTPS
Có hai loại thẻ bạn có thể đang sử dụng trên trang web của mình cũng đang cần URL của chúng được cập nhật lên HTTPS: thẻ Canonical và thẻ Open Graph.
Các thẻ Canonical cho Google biết những gì bạn coi là trang có thẩm quyền nhất từ một loạt các trang giống nhau hoặc trùng lặp. Việc trỏ tới phiên bản HTTP chắc chắn có thể gửi tín hiệu xấu tới Google và rất có thể sẽ bị bỏ qua.
Nếu bạn sử dụng thẻ Open Graph để tối ưu hóa các bài đăng trên mạng xã hội, thì Facebook bắt buộc phải có thẻ URL. Chúng phải giống với URL chuẩn.
Để tìm các trang có thẻ HTTP chuẩn và OG, hãy thiết lập bộ lọc tùy chỉnh này trong Page Explorer:
Một lần nữa, tất cả những gì còn lại là viết chúng thành https:// khi đã hoàn tất quá trình di chuyển.
Sai lầm 5: Redirect không thành công
Redirect (chuyển hướng) có thể phức tạp. Có khá nhiều điều có thể xảy ra lỗi – từ chuyển hướng bị hỏng, đến chuyển hướng chuỗi hay vòng lặp.
May mắn thay, thật dễ dàng để phát hiện ra những lỗi này với Site Audit. Bạn chỉ cần kiểm tra Redirects report và xem xét tất cả các vấn đề.
Sau khi nhấp vào nút “View affected URLs”, bạn sẽ thấy một báo cáo tương tự như báo cáo này, chỉ với nhiều cột và chỉ số mặc định hơn:
Điều tốt nhất ở đây là bạn sẽ thực sự thấy tất cả các URL bị ảnh hưởng – những URL được chuyển hướng, những URL bên trong chuỗi chuyển hướng và những URL liên kết đến những URL được chuyển hướng.
Có hai điều bạn nên làm ở đây.
Đầu tiên là tách các chuyển hướng, trong trường hợp này:
https://blog.example.com/123/> -> Redirect 301 ->> https://example.com/blog/987/
Điều này sẽ đảm bảo rằng tất cả các liên kết ngược trỏ đến cả https://blog.example.com/123/ và https://example.com/blog/123/ sẽ chỉ được chuyển hướng một lần.
Điều này sẽ tốt cho các liên kết ngược bên ngoài vì việc tiếp cận với quản trị viên web với yêu cầu chỉnh sửa liên kết sẽ không hiệu quả cao và khá khó chịu.
Mặc dù vậy, chúng tôi có thể làm tốt hơn trong nội bộ.
Bạn nên cố gắng đạt được số lượng redirect ít nhất. Đó là khi cột số lượng liên kết phát huy tác dụng.
Liên kết là các URL liên kết đến URL bị ảnh hưởng bởi chuỗi chuyển hướng. Bạn sẽ muốn hoán đổi các liên kết trên các trang đó cho các URL trả về mã trạng thái HTTP 200. Nếu bạn nhấp qua số lượng liên kết, bạn sẽ thấy tất cả chúng:
Tất nhiên, một lần nữa, bước tiếp theo sau sẽ là kiểm tra liên kết của các URL trong chuỗi chuyển hướng.
Tuy nhiên, đó là mức độ ưu tiên thấp hơn vì chúng tôi đã ‘phá vỡ’ chuỗi chuyển hướng. Chúng sẽ được gắn thẻ là Redirect 301 tiêu chuẩn trong Redirects 3XX Report khi thu thập thông tin lần tới.
Tóm lại
Tôi hy vọng rằng chúng ta có thể cùng nhau làm cho việc duyệt trên World Wide Web nhanh hơn và an toàn hơn.
Theo w3techs.com, 59,4% trang web trong mẫu khảo sát của họ sử dụng HTTPS theo mặc định. Để dễ dàng so sánh, Google báo cáo rằng 88-99% thời gian duyệt web trong Chrome được dành cho các trang web HTTPS.
Kết quả của tôi từ dữ liệu này là phần lớn các trang web phổ biến với lưu lượng truy cập đáng kể đã chuyển sang HTTPS.
Nếu bạn đang thắc mắc về sự khác biệt lớn trong hai điểm dữ liệu đó, thì tôi sẽ gán điều đó cho các trang web Trung Quốc không có trong dữ liệu của Google.
Tuy nhiên, vẫn còn nhiều điều đáng mong đợi về chất lượng của hỗ trợ TLS. Như bạn đã thấy ở đây, thiết lập HTTPS không kết thúc với quá trình di chuyển.
Việc bắt kịp các xu hướng về hiệu suất và bảo mật web và triển khai theo các tính năng mới nhất sẽ mang lại lợi ích cho tất cả mọi người tham gia.
Nếu như có bất kỳ câu hỏi thắc mắc gì, hãy để lại bình luận ở phía bên dưới nhé!
Nguồn: Ahrefs.
Biên tập bởi VietMoz Academy.
