Nếu đang thu thập bất kỳ thông tin nhạy cảm nào trên trang web của mình (bao gồm email và mật khẩu), bạn cần đảm bảo các bước thực hiện an toàn. Một trong những cách tốt nhất để làm được điều này là tạo và kích hoạt HTTPS, hay còn gọi là SSL (Secure Socket Layer), bài viết dưới đây Taimienphi.vn sẽ hướng dẫn bạn các bước tạo HTTPS cho website đơn giản.
Việc kích hoạt HTTPS để đảm bảo các thông tin đến và đi từ máy chủ được mã hóa tự động. Điều này để ngăn không cho kẻ tấn công đánh cắp các thông tin nhạy cảm của khách khi truy cập Internet.
Khách truy cập sẽ cảm thấy an toàn hơn nếu nhìn thấy biểu tượng hình khóa màu xanh khi truy cập trang web của bạn, và họ có thể hiểu được rằng trang web đã được cấp chứng chỉ bảo mật. Các bước tạo HTTPS cho website đơn giản sẽ giúp cho website của bạn trở nên an toàn hơn, tăng được lượng người truy cập.
Các bước tạo HTTPS cho website đơn giản
Tổng quan
Ưu điểm lớn nhất của chứng chỉ SSL là dễ cài đặt. Sau khi hoàn tất quá trình cài đặt SSL, nhiệm vụ tiếp theo của bạn là hướng người dùng sử dụng HTTPS thay vì HTTP. Nếu cố truy cập trang web bằng cách đặt https:// trước URL, bạn sẽ nhận được thông báo lỗi ngay lập tức. Lý do là bởi vì bạn chưa cài đặt chứng chỉ SSL. Bài viết dưới đây Taimienphi.vn sẽ hướng dẫn bạn các bước tạo HTTPS cho website đơn giản cũng như cách cài đặt và kích hoạt chứng chỉ SSL.
Các bước tạo HTTPS cho Website rất đơn giản, bao gồm 5 bước:
1. Thiết lập địa chỉ IP riêng cho máy chủ.
2. Mua chứng chỉ.
3. Kích hoạt chứng chỉ.
4. Cài đặt chứng chỉ.
5. Cấu hình trang web sử dụng HTTPS.
Bước 1: Thiết lập địa chỉ IP riêng cho máy chủ
Để cung cấp bảo mật tốt nhất, chứng chỉ yêu cầu trang web của bạn phải có địa chỉ IP riêng. Rất nhiều gói web host nhỏ được thêm địa chỉ IP chia sẻ, mà nhiều trang web khác sử dụng cùng 1 vị trí. Với địa chỉ IP chuyên dụng, bạn có thể đảm bảo lưu lượng truy cập từ địa chỉ IP chỉ đến trang web của bạn chứ không phải trang web khác.
Nếu đang tìm kiếm web host có giá cả phải chăng, có địa chỉ IP chuyên dụng bạn có thể lựa chọn StableHost. Tại thời điểm này gói StableHost có giá dưới 6 USD/tháng, tuy nhiên giá sẽ rẻ hơn nếu bạn trả luôn gói 1 năm.
Nếu chưa có gói địa chỉ IP chuyên dụng, bạn có thể yêu cầu máy chủ hiện tại nâng cấp tài khoản của mình để có địa chỉ IP chuyên dụng. Tất nhiên bạn sẽ phải trả một khoản phí, có thể là cả năm hoặc từng tháng một.
Bước 2: Mua chứng chỉ
Bước tiếp theo bạn sẽ cần một cái gì đó để chứng minh chủ sở hữu trang web là bạn, giống như giấy chứng nhận trang web của bạn. Để làm được điều này, bạn sẽ phải tạo một chứng chỉ SSL.
Chứng chỉ chỉ đơn giản là một đoạn chữ cái và chữ số mà chỉ có trang web của bạn mới biết, có thể hiểu nôm na nó như một mật khẩu dài. Khi khách truy cập trang web của bạn thông qua HTTPS, mật khẩu sẽ được kiểm tra và nếu khớp, nó sẽ tự động xác minh chủ sở hữu trang web là bạn, và nó sẽ mã hóa tất cả mọi thứ, bao gồm lưu lượng truy cập trên trang web của bạn.
Về mặt kỹ thuật nó là một cái gì đó mà bạn có thể tự tạo ra (còn được gọi là self-signed cert), nhưng tất cả các trình duyệt web phổ biến đều được nhà cung cấp chứng thực số (Certificate Authority - CA) kiểm tra, và cũng có bản sao mật khẩu dài và bạn có thể xác nhận. Để được các nhà cung cấp chứng thực số công nhận, bạn phải mua một chứng chỉ cho trang web của mình. Bạn có thể tìm hiểu Top 10 nhà cung cấp chứng chỉ SSL tốt nhất để lựa chọn đơn vị cung cấp chứng chỉ tốt, phù hợp cho website của bạn.
GeoTrust QuickSSL là một trong số các nhà cung cấp chứng chỉ tốt nhất, bên cạnh đó còn có NameCheap, và một số nhà cung cấp chứng chỉ khác. Tại thời điểm này, các chứng chỉ của GeoTrust QuickSSL có giá 46 USD/năm, đi kèm một con dấu trang web mà bạn có thể đặt trên trang web của mình để người dùng biết được đó là trang web tin cậy.
Bước 3: Kích hoạt chứng chỉ
Lưu ý: Kiểm tra xem web host của bạn có tự kích hoạt chứng chỉ hay không. Việc kích hoạt các chứng chỉ có thể trở nên phức tạp, nếu có thể bạn nên chờ 1 đến 2 ngày để họ thực hiện là tốt nhất.
Nếu tự kích hoạt chứng chỉ, bước tiếp theo bạn cần làm là tạo một file CSR. Cách đơn giản nhất để tạo file CSR là thực hiện trong bảng điều khiển web hosting, chẳng hạn như WHM hoặc cPanel. Truy cập mục quản trị SSL/TLS và chọn Generate an SSL certificate and Signing Request. Điền đầy đủ thông tin vào các khung như hình dưới đây:
Trong khung "Host to make cert for" nhập tên miền của bạn, và khung Contact email có thể để trống. Sau khi điền đầy đủ các thông tin, bạn sẽ thấy cửa sổ giống như dưới đây hiển thị trên màn hình:
Sao chép khối text đầu tiên. Bạn cần sử dụng CSR này để cung cấp cho tổ chức phát hành chứng chỉ SSL để họ có thể thiết lập danh tính cho bạn. Đăng nhập tài khoản NameCheap hoặc bất cứ tài khoản nào mà bạn mua chứng chỉ và kích hoạt tài khoản đó.
Dán CSR của bạn vào các khung cần thiết. Nó sẽ yêu cầu bạn một email phê duyệt. Đây là địa chỉ email chứng minh bạn sở hữu tên miền, chẳng hạn như [email protected] . Nếu email không tồn tại, bạn phải tạo email để lấy được email có chứa chứng chỉ cuối cùng. Thực hiện theo các bước, và sau khi đã hoàn tất địa chỉ email bạn sẽ nhận được file .crt.
Bước 4: Cài đặt chứng chỉ
Lưu ý: Kiểm tra xem web host của bạn có cài đặt chứng chỉ hay không. Việc cài đặt các chứng chỉ có thể trở nên phức tạp, nếu có thể bạn nên chờ 1 đến 2 ngày để họ thực hiện là tốt nhất.
Nếu tự cài đặt chứng chỉ, các bước thực hiện rất đơn giản. Sau khi đã có chứng chỉ trong tay, tất cả những gì bạn cần làm là dán nó vào bảng điều khiển web host. Nếu đang sử dụng WHM.Cpanel, từ menu SSL/TLS bạn click chọn Install an SSL Certificate.
Dán nó vào hộp đầu tiên rồi nhấn Submit. Bây giờ bạn có thể thử truy cập trang web của mình thông qua https://www.domain.com.
Bước 5: Cấu hình trang web sử dụng HTTPS
Nếu truy cập trang web của bạn có https:// được đặt trước URL trang, trang sẽ được tải. Tức là bạn đã cài đặt SSL thành công và đã kích hoạt giao thức HTTPS, nhưng vấn đề là khách truy cập của bạn chưa được bảo vệ. Nhiệm vụ của bạn là phải đảm bảo khách truy cập trang web thông qua HTTPS.
Lưu ý một điều là chỉ nên toạ HTTPS cho Website thương mại điện tử hay các trang web bán hàng, ... .Nếu kích hoạt HTTPS trên các trang web mà người dùng không đăng nhập các thông tin nhạy cảm, nó sẽ làm lãng phí quá trình xử lý mã hoá và làm chậm trải nghiệm. Xác định các trang web mục tiêu và thực hiện theo một trong hai phương pháp dưới đây.
Bạn có thể cập nhật tất cả các liên kết đến các trang web đích sử dụng liên kết HTTPS. Nói cách khác, nếu có các liên kết đến giỏ hàng trên trang chủ, cập nhật các liên kết đó để sử dụng liên kết an toàn. Điều này để liên kết tất cả các trang trỏ đến các URL nhạy cảm.
Tuy nhiên nếu muốn đảm bảo người dùng chỉ có thể sử dụng các trang cụ thể an toàn dù họ có liên kết gì đi nữa, cách tốt nhất là sử dụng phương pháp tiếp cận phía máy chủ để chuyển hướng người dùng không phải là HTTPS.
Để làm được điều này bạn chèn thêm đoạn code snippet vào đầu trang bảo mật. Đây là một trong số các code snippet trong PHP:
// Require https
if ($_SERVER['HTTPS'] != "on") {
$url = "https://". $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'];
header("Location: $url");
exit;
}
Một cách tiếp cận phía máy chủ khác là sử dụng mod-rewrite. Điều này không yêu cầu bạn phải thay đổi bất kỳ file trang web nào, nhưng sẽ phải chỉnh sửa cấu hình apache. Dưới đây là một mod-rewrite:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(cart/|checkout/) https://%{HTTP_HOST}%{REQUEST_URI}
Điều này sẽ đảm bảo nếu ai đó truy cập trang web thông qua HTTP, chúng sẽ tự động được chuyển hướng đến HTTPS.
Mẹo
Bạn cần hiểu được rằng HTTPS không có nghĩa là các thông tin trên máy chủ được bảo mật an toàn, nó chỉ bảo vệ việc chuyển các dữ liệu từ máy tính của khách truy cập đến máy chủ của bạn. Sau khi dữ liệu nhạy cảm được chuyển đến máy chủ của bạn, các dữ liệu đó sẽ được bảo vệ an toàn bằng cách mã hóa cơ sở dữ liệu, ...
Một số người dùng chỉ cần tìm kiếm từ khóa trên trang chứ không phải trên trình duyệt. Sau khi cài đặt SSL, bạn có thể thêm biểu tượng khóa trên các tragn web của mình để họ biết rằng đó là trang tin cậy, trong trường hợp nếu họ không để ý thanh URL.
https://thuthuat.taimienphi.vn/cac-buoc-tao-https-cho-website-don-gian-32232n.aspx
Trên đây Taimienphi.vn vừa hướng dẫn bạn các bước tạo HTTPS cho website đơn giản. Một trang web an toàn và tin cậy là trang web có các chứng chỉ bảo mật được cài đặt đúng cách. Bằng cách cài đặt các chứng chỉ SSL trên trang web của mình, bạn có thể yên tâm khách truy cập trang web của bạn ít bị tấn công hơn. Trường hợp chưa phân biệt được HTTPS và SSL, bạn tham khảo bài viết phân biệt HTTP, HTTPS và SSL tại đây.