Skip to main content

SSL/HTTPS — Bảo Mật Kết Nối Website

TÀI LIỆU KIẾN THỨC MANGOADS — Dành cho team nội bộ và khách hàng muốn hiểu đúng, hiểu sâu về bảo mật kết nối website bằng SSL/TLS và HTTPS.


1. Mở Đầu — HTTPS Không Còn Là Tuỳ Chọn

Từ tháng 7/2018, Google Chrome bắt đầu đánh dấu mọi website HTTP là "Not Secure" ngay trên thanh địa chỉ. Không cần phải là trang thanh toán hay trang đăng nhập — chỉ cần website không có HTTPS, người dùng đã thấy cảnh báo đỏ.

Kết quả là tỷ lệ thoát trang tăng đột biến, khách hàng mất lòng tin, và Google giảm thứ hạng.

Đến năm 2026, HTTPS là điều kiện tiên quyết cho bất kỳ website nghiêm túc nào, vì bốn lý do cốt lõi:

  • Lòng tin người dùng: Không ai muốn nhập thông tin cá nhân trên một trang hiển thị "Not Secure". Cho dù website chỉ là blog, nhãn hiệu "không an toàn" gây ấn tượng cực kỳ tiêu cực.
  • Thứ hạng tìm kiếm: Google xác nhận HTTPS là ranking signal từ năm 2014. Website HTTP chịu bất lợi so với đối thủ có HTTPS.
  • Bảo mật dữ liệu truyền tải: HTTPS mã hoá toàn bộ dữ liệu giữa trình duyệt và server, ngăn chặn tấn công man-in-the-middle (nghe lén, chỉnh sửa nội dung giữa đường truyền).
  • Tính năng web hiện đại: Service Workers, Geolocation API, HTTP/2, HTTP/3 — tất cả đều yêu cầu HTTPS mới hoạt động.

Thực tế từ MangoAds: Khoảng 15-20% website doanh nghiệp vừa và nhỏ khi đến với MangoAds vẫn chưa cài đặt SSL đúng cách — SSL hết hạn, chưa redirect HTTP sang HTTPS toàn bộ, hoặc bị lỗi mixed content khiến biểu tượng khoá không hiển thị. Đây là những lỗi tưởng nhỏ nhưng ảnh hưởng nghiêm trọng đến cả bảo mật lẫn SEO.


2. Phân Tích Chuyên Sâu — Từ SSL/TLS Đến HTTPS Toàn Diện

2.1. SSL vs TLS — Hiểu Đúng Bản Chất

Thuật ngữ "SSL" (Secure Sockets Layer) được dùng phổ biến trong ngành, nhưng thực tế SSL đã bị khai tử từ năm 2015. Phiên bản hiện tại mà chúng ta sử dụng là TLS (Transport Layer Security).

Phiên bảnTrạng tháiGhi chú
SSL 2.0Khai tửLỗi bảo mật nghiêm trọng, không sử dụng
SSL 3.0Khai tửLỗ hổng POODLE phát hiện năm 2014
TLS 1.0Khai tửTrình duyệt ngừng hỗ trợ từ năm 2020
TLS 1.1Khai tửTrình duyệt ngừng hỗ trợ từ năm 2020
TLS 1.2Đang dùngVẫn an toàn, là phiên bản phổ biến nhất hiện tại
TLS 1.3Khuyến dùngNhanh hơn, an toàn hơn, giảm số bước handshake

Ghi chú: Khi nói "SSL certificate" hay "cài SSL", bản chất là chúng ta đang nói về TLS certificate. Tên "SSL" chỉ còn là cách gọi quen thuộc, không phải tên kỹ thuật chính xác. Điều này không sai, nhưng người làm kỹ thuật cần hiểu rõ sự khác biệt.

Tại sao TLS 1.3 vượt trội hơn TLS 1.2?

TLS 1.3 mang lại ba cải tiến quan trọng:

  • Handshake nhanh hơn: TLS 1.3 chỉ cần 1 round-trip (1-RTT) thay vì 2 round-trip của TLS 1.2. Với cơ chế 0-RTT resumption, các kết nối tiếp theo còn nhanh hơn nữa — giảm khoảng 100ms latency.
  • Loại bỏ cipher suite yếu: TLS 1.3 chỉ hỗ trợ các thuật toán AEAD (Authenticated Encryption with Associated Data), loại bỏ hoàn toàn RSA key exchange và CBC mode ciphers vốn tồn tại nhiều lỗ hổng.
  • Forward Secrecy mặc định: Mỗi phiên kết nối sử dụng ephemeral key riêng biệt. Dù khoá chính (private key) bị lộ, kẻ tấn công cũng không thể giải mã dữ liệu đã truyền trước đó.

2.2. HTTPS Hoạt Động Như Thế Nào — Quy Trình TLS Handshake

HTTPS = HTTP + TLS. Khi người dùng truy cập https://example.com, toàn bộ quy trình diễn ra trong vài trăm millisecond:

Bước 1 — Thiết lập kết nối TCP

Trình duyệt và server thực hiện TCP 3-way handshake (SYN, SYN-ACK, ACK) để thiết lập kết nối mạng cơ bản.

Bước 2 — TLS Handshake

Client (Trình duyệt) Server (Web server)
| |
|--- ClientHello ----------------->| Gửi: phiên bản TLS, cipher suites hỗ trợ, random number
| |
|<-- ServerHello ------------------| Chọn: phiên bản TLS, cipher suite, gửi certificate
| |
|--- Xác minh certificate -------->| Kiểm tra: CA có tin cậy? Còn hiệu lực? Domain khớp?
| |
|--- Key Exchange ---------------->| Trao đổi khoá mã hoá đối xứng (symmetric key)
| |
|<== Dữ liệu mã hoá hai chiều ===>| Mọi dữ liệu HTTP từ đây đều được mã hoá

Bước 3 — Truyền dữ liệu mã hoá

Sau khi handshake thành công, mọi dữ liệu HTTP (request và response) đều được mã hoá đối xứng (symmetric encryption) bằng khoá đã thoả thuận. Mã hoá đối xứng nhanh hơn mã hoá bất đối xứng (asymmetric) nhiều lần, nên hiệu suất không bị ảnh hưởng đáng kể.

Điểm quan trọng cần hiểu rõ: TLS chỉ mã hoá dữ liệu đang truyền (data in transit). Nó KHÔNG bảo vệ dữ liệu lưu trên server (data at rest), không ngăn chặn malware, không chặn SQL injection. HTTPS là một lớp bảo mật trong nhiều lớp — không phải toàn bộ giải pháp bảo mật.

2.3. Phân Loại SSL/TLS Certificate

Không phải mọi SSL certificate đều giống nhau. Tuỳ vào mức độ xác minh và phạm vi áp dụng, có nhiều loại khác nhau phục vụ các nhu cầu khác nhau.

Phân loại theo mức độ xác minh (Validation Level)

Loại certificateQuy trình xác minhThời gian cấpChi phí ước tínhĐối tượng phù hợp
DV (Domain Validation)Chỉ xác minh quyền sở hữu domain (qua email hoặc DNS record)Vài phútMiễn phí (Let's Encrypt) đến vài triệu VND/nămBlog, website nhỏ, startup, landing page
OV (Organization Validation)Xác minh domain + xác minh tổ chức (tên công ty, địa chỉ)1-3 ngày làm việc1-5 triệu VND/nămDoanh nghiệp, thương mại điện tử
EV (Extended Validation)Xác minh đầy đủ pháp lý, địa chỉ kinh doanh, hoạt động thực tế1-2 tuần5-20 triệu VND/nămNgân hàng, tài chính, tổ chức cần độ tin cậy cao

Lưu ý thực tế: Trước năm 2019, EV certificate hiển thị tên công ty màu xanh trên thanh địa chỉ trình duyệt — đây là lợi thế hiển thị trực quan lớn. Từ 2019, Chrome và Firefox đã loại bỏ hiển thị này. EV vẫn có giá trị về mặt xác minh tổ chức (đối tác, cơ quan pháp lý có thể kiểm tra), nhưng không còn sự khác biệt trực quan cho người dùng cuối. Với đa số doanh nghiệp tại Việt Nam, DV hoặc OV là đủ dùng.

Phân loại theo phạm vi bao phủ (Scope)

Loại certificatePhạm vi áp dụngVí dụ cụ thểKhi nào nên dùng
Single Domain1 tên miền duy nhấtmangoads.vnWebsite đơn giản, không có subdomain
Wildcard1 domain + tất cả subdomain cấp 1*.mangoads.vn (bao gồm blog.mangoads.vn, shop.mangoads.vn)Website có nhiều subdomain
Multi-Domain (SAN)Nhiều tên miền khác nhau trên cùng 1 certificatemangoads.vn, mangoads.vn, mango.agencyDoanh nghiệp sở hữu nhiều thương hiệu hoặc nhiều tên miền

2.4. Let's Encrypt — Thay Đổi Cuộc Chơi Với SSL Miễn Phí

Let's Encrypt là Certificate Authority (CA) phi lợi nhuận, ra mắt năm 2015 với sự tài trợ của Mozilla, EFF, và nhiều tổ chức lớn. Sứ mệnh của Let's Encrypt là làm cho HTTPS miễn phí, tự động, và dễ tiếp cận cho mọi website.

Ưu điểm cốt lõi:

  • Hoàn toàn miễn phí, không giới hạn số lượng certificate
  • Tự động gia hạn (chu kỳ 90 ngày, nhưng quy trình hoàn toàn tự động)
  • Hỗ trợ Wildcard certificate từ năm 2018
  • Được mọi trình duyệt hiện đại tin tưởng
  • Cài đặt đơn giản qua Certbot, cPanel, hoặc các hosting panel phổ biến

Hạn chế cần biết:

  • Chỉ cấp DV certificate (không có OV hoặc EV)
  • Không có bảo hành tài chính (warranty) như certificate trả phí
  • Yêu cầu server có thể truy cập từ Internet (không dùng được cho hệ thống nội bộ không có domain công khai)

Con số thực tế: Tính đến năm 2026, Let's Encrypt đã cấp hơn 4 tỷ certificate, bao phủ hơn 360 triệu domain. Đây là động lực chính giúp tỷ lệ HTTPS toàn cầu tăng từ khoảng 40% (năm 2015) lên hơn 95% (năm 2026) theo thống kê của Chrome.

Khi nào nên dùng certificate trả phí thay vì Let's Encrypt?

  • Tổ chức cần OV/EV để xác minh pháp nhân (yêu cầu của đối tác, cơ quan quản lý)
  • Môi trường enterprise yêu cầu bảo hành tài chính (warranty lên đến hàng triệu USD)
  • Hệ thống cũ không hỗ trợ tự động gia hạn (certificate trả phí thường có thời hạn 1-2 năm, ít phải gia hạn hơn)

2.5. HTTPS Và SEO — Ranking Signal Thực Sự Quan Trọng

Google xác nhận HTTPS là ranking signal từ năm 2014. Tuy nhiên, mức độ ảnh hưởng cần được hiểu đúng để tránh kỳ vọng quá mức hoặc đánh giá thấp.

Ảnh hưởng trực tiếp đến thứ hạng:

Khía cạnhMức độ ảnh hưởngGiải thích
Ranking signalNhẹ (lightweight signal)HTTPS là yếu tố "hoà đồng" (tiebreaker) khi hai trang có chất lượng tương đương. Không mạnh bằng content hay backlink.
Crawl và indexƯu tiênGoogle ưu tiên crawl và index phiên bản HTTPS trước khi xem xét HTTP.
Referral dataGiữ nguyênHTTPS sang HTTPS bảo toàn dữ liệu referrer. HTTP sang HTTPS mất referrer data trong Analytics.

Ảnh hưởng gián tiếp (thường quan trọng hơn ảnh hưởng trực tiếp):

  • Tỷ lệ click cao hơn: Người dùng tin tưởng trang có biểu tượng khoá hơn trang hiển thị "Not Secure"
  • Tỷ lệ thoát trang thấp hơn: Không bị cảnh báo bảo mật làm người dùng rời đi
  • Tốc độ tải trang nhanh hơn: HTTP/2 và HTTP/3 — với hiệu suất vượt trội so với HTTP/1.1 — chỉ hoạt động trên HTTPS
  • Tiếp cận các rich features: Một số tính năng SERP của Google yêu cầu website HTTPS

Cảnh báo: Chuyển từ HTTP sang HTTPS mà không thực hiện đúng quy trình có thể gây mất thứ hạng tạm thời hoặc mất lượt truy cập nghiêm trọng trong nhiều tuần. Phần 2.7 bên dưới trình bày chi tiết cách migration an toàn.

2.6. Mixed Content — Lỗi Thầm Lặng Nhưng Nguy Hiểm

Mixed content xảy ra khi một trang HTTPS tải các tài nguyên phụ (hình ảnh, CSS, JavaScript, font) qua giao thức HTTP không mã hoá. Đây là một trong những lỗi phổ biến nhất — và khó phát hiện nhất — sau khi chuyển sang HTTPS.

Hai loại mixed content và hậu quả:

LoạiMức độ nghiêm trọngVí dụ tài nguyênXử lý của trình duyệt
Mixed Active ContentNghiêm trọngScript, iframe, CSS, XHR tải qua HTTPTrình duyệt chặn hoàn toàn — trang có thể bị vỡ giao diện hoặc mất chức năng
Mixed Passive ContentCảnh báoHình ảnh, video, audio tải qua HTTPTrình duyệt hiển thị cảnh báo, biểu tượng khoá bị thay thế bằng biểu tượng cảnh báo

Nguyên nhân thường gặp:

  • URL http:// được hardcode trong database (nội dung bài viết cũ, hình ảnh cũ)
  • Theme hoặc plugin tải tài nguyên bên ngoài qua HTTP
  • CDN hoặc third-party script chưa hỗ trợ HTTPS
  • Widget nhúng từ bên thứ ba (live chat, form, video) dùng link HTTP

Cách xử lý:

  1. Mở Chrome DevTools (phím F12), vào tab Console để xem danh sách lỗi mixed content
  2. Tìm và thay thế tất cả http:// thành https:// hoặc // (protocol-relative URL) trong database và source code
  3. Kiểm tra theme và plugin có bản cập nhật hỗ trợ HTTPS không
  4. Sử dụng Content-Security-Policy header để tự động nâng cấp các request HTTP:
Content-Security-Policy: upgrade-insecure-requests;

Header này yêu cầu trình duyệt tự động chuyển đổi mọi request HTTP thành HTTPS — là giải pháp tạm thời hiệu quả trong khi xử lý nguồn gốc vấn đề.

2.7. Migration HTTP Sang HTTPS — Quy Trình Chuẩn

Việc chuyển đổi từ HTTP sang HTTPS tương tự như đổi địa chỉ kinh doanh. Nếu không thông báo đúng cách, khách hàng cũ sẽ không tìm thấy bạn, và Google cũng mất dấu vết.

Bước 1 — Chuẩn bị trước migration

  • Chọn loại SSL certificate phù hợp (Let's Encrypt là đủ cho đa số trường hợp)
  • Backup toàn bộ website và database
  • Crawl toàn bộ website bằng Screaming Frog hoặc Sitebulb để có danh sách URL hiện tại

Bước 2 — Cài đặt và cấu hình

  • Cài SSL certificate lên hosting hoặc server
  • Cấu hình web server (Apache hoặc Nginx) hỗ trợ HTTPS
  • Kiểm tra các trang HTTPS hoạt động bình thường trước khi bật redirect

Bước 3 — Redirect 301 toàn bộ

# Apache (.htaccess)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Nginx
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$server_name$request_uri;
}

Lưu ý kỹ thuật: Bắt buộc dùng redirect 301 (permanent), KHÔNG dùng 302 (temporary). Redirect 302 không chuyển link equity (giá trị SEO) từ URL cũ sang URL mới.

Bước 4 — Cập nhật nội bộ toàn diện

  • Cập nhật tất cả internal link trong database sang HTTPS
  • Cập nhật sitemap.xml với URL HTTPS
  • Cập nhật robots.txt (nếu khai báo Sitemap URL)
  • Cập nhật canonical tags sang HTTPS
  • Cập nhật cấu hình CMS (với WordPress: Settings, General, thay đổi URL)

Bước 5 — Cập nhật các hệ thống bên ngoài

  • Thêm và xác minh property HTTPS trong Google Search Console
  • Cập nhật URL trong Google Analytics (GA4)
  • Gửi sitemap mới trong Search Console
  • Cập nhật URL trên Google Business Profile, trang mạng xã hội, các directory

Bước 6 — Kiểm tra và theo dõi sau migration

  • Crawl lại toàn bộ website để phát hiện mixed content, redirect loop, broken link
  • Theo dõi Search Console hàng ngày trong 2-4 tuần đầu
  • Theo dõi lưu lượng truy cập trong Analytics để phát hiện bất thường sớm

2.8. HSTS — Buộc Trình Duyệt Luôn Dùng HTTPS

HSTS (HTTP Strict Transport Security) là một HTTP response header yêu cầu trình duyệt luôn truy cập website qua HTTPS, kể cả khi người dùng gõ http:// hoặc click vào link HTTP.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Giải thích các tham số:

Tham sốÝ nghĩaGiá trị thường dùng
max-ageThời gian trình duyệt ghi nhớ quy tắc HSTS (tính bằng giây)31536000 (1 năm)
includeSubDomainsÁp dụng HSTS cho tất cả subdomainNên bật khi tất cả subdomain đều có HTTPS
preloadCho phép đăng ký vào HSTS Preload List của trình duyệtChỉ bật khi đã sẵn sàng dùng HTTPS vĩnh viễn

Tại sao cần HSTS?

Không có HSTS, lần truy cập đầu tiên của người dùng vẫn có thể đi qua HTTP trước khi được redirect sang HTTPS. Trong khoảng thời gian ngắn đó (dù chỉ vài trăm millisecond), dữ liệu có thể bị nghe lén qua kỹ thuật SSL stripping attack. HSTS loại bỏ hoàn toàn rủi ro này.

HSTS Preload List là danh sách được hardcode vào mã nguồn của trình duyệt (Chrome, Firefox, Safari, Edge). Website nằm trong danh sách này được buộc dùng HTTPS ngay từ lần truy cập đầu tiên, không cần đợi response header. Đăng ký tại hstspreload.org.

Lưu ý quan trọng: Một khi đã vào HSTS Preload List, việc gỡ bỏ rất khó khăn và mất nhiều tháng. Chỉ đăng ký khi bạn hoàn toàn chắc chắn sẽ duy trì HTTPS vĩnh viễn cho domain và tất cả subdomain.


3. Góc Nhìn MangoAds — SSL/HTTPS Là Vệ Sinh Cơ Bản Của Mọi Website

Tại MangoAds, team kỹ thuật coi HTTPS tương tự như vệ sinh răng miệng — không ai khen bạn vì có răng sạch, nhưng ai cũng để ý khi bạn không có.

Nguyên tắc làm việc của MangoAds về SSL/HTTPS

Mọi website phải có HTTPS từ ngày đầu tiên. Không có lý do hợp lý nào để khởi động một dự án web mà không có SSL. Let's Encrypt miễn phí, cài đặt mất khoảng 5 phút. Một website không có SSL là một website thiếu chuyên nghiệp ngay từ điểm xuất phát.

SSL chỉ là điểm khởi đầu, không phải đích đến. Nhiều doanh nghiệp nghĩ rằng "có SSL là đã an toàn". Đây là hiểu lầm nguy hiểm. SSL chỉ bảo vệ đường truyền dữ liệu. Bảo mật tổng thể của website còn cần: cập nhật CMS và plugin thường xuyên, cấu hình firewall, thiết lập backup tự động, quản lý quyền truy cập, và giám sát liên tục.

Migration HTTP sang HTTPS phải có kế hoạch chi tiết. MangoAds đã hỗ trợ hàng chục doanh nghiệp chuyển đổi HTTPS. Bài học lớn nhất rút ra: không bao giờ chỉ "cài SSL rồi thôi". Phải có redirect 301 toàn bộ, fix mixed content, cập nhật Search Console, và theo dõi thứ hạng ít nhất 4 tuần sau migration.

TLS 1.3 là tiêu chuẩn cấu hình. Khi setup server cho khách hàng, MangoAds luôn cấu hình TLS 1.3 là ưu tiên hàng đầu, TLS 1.2 là fallback cho các trình duyệt cũ. Tắt hoàn toàn TLS 1.0 và 1.1. Cấu hình này vừa an toàn hơn, vừa nhanh hơn nhờ TLS 1.3 handshake giảm khoảng 100ms so với TLS 1.2.

Chia sẻ từ thực tế: Một lỗi MangoAds gặp rất nhiều là khách hàng dùng shared hosting giá rẻ, SSL được cài sẵn nhưng không được thiết lập tự động gia hạn. Website chạy bình thường trong nhiều tháng, rồi một ngày bất ngờ hiển thị cảnh báo "Your connection is not private" — mất khách hàng, mất doanh thu, và gây hoang mang. Giải pháp: luôn kiểm tra cơ chế tự động gia hạn SSL (cron job hoặc tính năng của hosting) và thiết lập cảnh báo hết hạn certificate.


4. Ứng Dụng Thực Tế

4.1. Checklist Migration HTTP Sang HTTPS

BướcHạng mụcTrạng thái
1Chọn và cài đặt SSL certificate (Let's Encrypt cho đa số trường hợp)Cần kiểm tra
2Backup website và database trước migrationCần kiểm tra
3Kiểm tra trang HTTPS tải bình thường trước khi redirectCần kiểm tra
4Cấu hình redirect 301 toàn bộ HTTP sang HTTPSCần kiểm tra
5Cập nhật URL trong CMS (WordPress: Settings, General)Cần kiểm tra
6Search and Replace trong database: http:// sang https://Cần kiểm tra
7Kiểm tra và fix mọi lỗi mixed contentCần kiểm tra
8Cập nhật sitemap.xml, robots.txt, canonical tags sang HTTPSCần kiểm tra
9Thêm property HTTPS trong Google Search Console và gửi sitemap mớiCần kiểm tra
10Cập nhật URL trong GA4, Google Business Profile, mạng xã hộiCần kiểm tra
11Cấu hình HSTS headerCần kiểm tra
12Theo dõi thứ hạng và lưu lượng truy cập trong 2-4 tuầnCần kiểm tra
13Kiểm tra certificate tự động gia hạnCần kiểm tra

4.2. Các Lỗi Thường Gặp Và Cách Xử Lý

Lỗi gặp phảiNguyên nhânCách khắc phục
"Your connection is not private"SSL certificate hết hạn hoặc cấu hình sai chuỗi certificate (chain)Gia hạn certificate, kiểm tra cấu hình certificate chain trên server
Cảnh báo mixed contentTài nguyên HTTP được tải trên trang HTTPSTìm và thay thế URL HTTP sang HTTPS trong source code và database
Redirect loopCấu hình redirect xung đột giữa CDN và server (cả hai đều force HTTPS)Kiểm tra và chỉ giữ redirect ở một lớp duy nhất
ERR_TOO_MANY_REDIRECTSHosting force HTTPS đồng thời .htaccess cũng force, hoặc dùng Flexible SSL của Cloudflare không đúngTắt redirect thừa, hoặc chuyển Cloudflare sang Full (Strict)
SSL cho domain sai (domain mismatch)Certificate không khớp với tên miền đang truy cậpCài lại certificate đúng domain, hoặc sử dụng Wildcard hoặc SAN certificate
Biểu tượng khoá không hiển thịCòn tài nguyên mixed content chưa được xử lýDùng DevTools (tab Console) để tìm tất cả tài nguyên HTTP còn sót

4.3. Công Cụ Kiểm Tra Và Hỗ Trợ SSL/HTTPS

Công cụChức năng chínhĐịa chỉ
SSL Labs Server TestKiểm tra toàn diện cấu hình SSL/TLS, chấm điểm từ A+ đến Fssllabs.com/ssltest
Why No Padlock?Phát hiện nhanh lỗi mixed content trên một trang cụ thểwhynopadlock.com
Chrome DevToolsXem chi tiết certificate, lỗi mixed content (tab Security và Console)F12 trong Chrome
Screaming FrogCrawl toàn bộ website phát hiện mixed content và redirect issuesscreamingfrog.co.uk
CertbotCài đặt và tự động gia hạn Let's Encrypt certificatecertbot.eff.org
Mozilla ObservatoryKiểm tra tổng hợp các header bảo mật (HSTS, CSP, X-Frame-Options)observatory.mozilla.org

Tiêu chuẩn MangoAds: Mọi website MangoAds bàn giao đều phải đạt điểm A hoặc A+ trên SSL Labs. Bất kỳ điểm nào thấp hơn A đều cho thấy còn vấn đề cấu hình cần được xử lý trước khi go live.


5. FAQ — Câu Hỏi Thường Gặp Về SSL/HTTPS

Q1: SSL miễn phí từ Let's Encrypt có an toàn bằng SSL trả phí không?

Về mặt mã hoá kỹ thuật, hoàn toàn tương đương. Mã hoá AES-256 của Let's Encrypt không khác gì certificate trả phí 10 triệu đồng. Sự khác biệt chỉ nằm ở mức độ xác minh tổ chức (DV so với OV/EV) và bảo hành tài chính (warranty) — không phải chất lượng mã hoá. Với đa số website doanh nghiệp vừa và nhỏ, Let's Encrypt là lựa chọn phù hợp và đủ an toàn.

Q2: Chuyển sang HTTPS có làm mất thứ hạng SEO không?

Nếu thực hiện đúng quy trình — redirect 301 toàn bộ, cập nhật Search Console, fix mixed content — thứ hạng sẽ ổn định hoặc tăng nhẹ sau 2-4 tuần. Nếu làm không đúng (thiếu redirect, lỗi mixed content, không cập nhật Search Console), có thể mất thứ hạng nghiêm trọng và kéo dài. Đây là lý do migration cần có kế hoạch và checklist cụ thể.

Q3: Website chỉ là blog, không bán hàng. Có cần HTTPS không?

Cần. Chrome đánh dấu mọi trang HTTP là "Not Secure" bất kể nội dung gì. Ngoài ra, HTTPS giúp SEO tốt hơn, tốc độ nhanh hơn nhờ HTTP/2, và bảo vệ người đọc khỏi bị chèn nội dung độc hại (ISP injection — nhà mạng chèn quảng cáo vào trang web của bạn, hoặc kẻ tấn công chỉnh sửa nội dung trang).

Q4: Đang dùng Cloudflare. Có cần cài SSL trên server gốc không?

Nên cài. Cloudflare có ba chế độ SSL: Flexible (chỉ mã hoá từ người dùng đến Cloudflare, từ Cloudflare đến server vẫn là HTTP), Full (mã hoá cả hai chiều nhưng không kiểm tra tính hợp lệ của certificate), và Full (Strict) (mã hoá cả hai chiều và xác minh certificate hợp lệ). Chỉ Full (Strict) là thực sự an toàn end-to-end. Với chế độ Flexible, dữ liệu từ Cloudflare đến server gốc của bạn truyền qua HTTP không mã hoá — không chấp nhận được cho dữ liệu nhạy cảm.

Q5: HSTS có rủi ro gì không? Có nên bật ngay sau khi cài SSL?

HSTS an toàn nếu bạn chắc chắn sẽ duy trì HTTPS lâu dài. Rủi ro duy nhất: nếu SSL hết hạn hoặc gặp sự cố, người dùng không thể truy cập qua HTTP để "vượt qua" được nữa — trình duyệt sẽ từ chối hoàn toàn. Khởi đầu với max-age ngắn (86400 = 1 ngày) để kiểm tra, rồi tăng dần lên 604800 (1 tuần), 2592000 (1 tháng), và cuối cùng là 31536000 (1 năm) khi đã ổn định. Chỉ đăng ký preload khi đã sẵn sàng dùng HTTPS vĩnh viễn.

Q6: Làm sao biết SSL sắp hết hạn để gia hạn kịp thời?

Có bốn cách phổ biến: (1) Dùng dịch vụ monitoring như UptimeRobot hoặc Pingdom — các dịch vụ này cảnh báo khi certificate sắp hết hạn. (2) Kiểm tra thủ công trên Chrome: click biểu tượng khoá, chọn "Connection is secure", sau đó "Certificate is valid" để xem ngày hết hạn. (3) Với Let's Encrypt, đảm bảo Certbot được cấu hình đúng và kiểm tra bằng lệnh certbot renew --dry-run. (4) Đặt lịch nhắc trước ngày hết hạn 30 ngày.

Q7: Một website cần bao nhiêu SSL certificate?

Phụ thuộc vào cấu trúc domain. Nếu chỉ có một domain chính (ví dụ mangoads.vn), cần một single domain certificate. Nếu có nhiều subdomain (blog.mangoads.vn, shop.mangoads.vn), dùng Wildcard certificate cho gọn. Nếu sở hữu nhiều domain khác nhau (mangoads.vn, mangoads.vn), dùng Multi-Domain (SAN) certificate. Trong mọi trường hợp, mục tiêu là phủ hết tất cả domain và subdomain đang hoạt động bằng số lượng certificate ít nhất.


6. Key Takeaways

HTTPS là bắt buộc, không phải tuỳ chọn. Mọi website năm 2026 đều phải có HTTPS — vì bảo mật dữ liệu, vì thứ hạng SEO, vì lòng tin của người dùng. Không có HTTPS là không chuyên nghiệp.

SSL thực chất là TLS. Phiên bản đang sử dụng là TLS 1.2 và TLS 1.3. Luôn ưu tiên TLS 1.3 vì nhanh hơn (giảm khoảng 100ms handshake) và an toàn hơn (chỉ hỗ trợ cipher suite mạnh).

Let's Encrypt đã làm SSL miễn phí cho tất cả. Không còn rào cản tài chính nào để không có HTTPS. DV certificate miễn phí từ Let's Encrypt là đủ cho tuyệt đại đa số website.

Mixed content là lỗi thầm lặng nhưng nguy hiểm. Sau khi cài SSL, phải quét toàn bộ website để xử lý mọi tài nguyên HTTP còn sót lại. Một hình ảnh HTTP duy nhất cũng khiến biểu tượng khoá biến mất.

Migration HTTP sang HTTPS cần kế hoạch cụ thể. Redirect 301 toàn bộ, cập nhật Search Console và Analytics, fix mixed content, theo dõi thứ hạng 2-4 tuần. Làm tắt, mất thứ hạng.

HSTS là lớp bảo mật bổ sung quan trọng. Sau khi HTTPS ổn định, bật HSTS để buộc trình duyệt luôn dùng HTTPS, loại bỏ hoàn toàn rủi ro SSL stripping attack.

Đạt điểm A+ trên SSL Labs là mục tiêu. Sử dụng SSL Labs Server Test để kiểm tra cấu hình và sửa cho đến khi đạt A hoặc A+. Điểm thấp hơn cho thấy còn vấn đề cần xử lý.


Bài liên quan: Technical SEO | Core Web Vitals | Web Security | Website Performance