3.4. Bật HTTPS, chỉnh redirect & kiểm tra chứng chỉ SSL

3.4. Bật HTTPS, chỉnh redirect & kiểm tra chứng chỉ SSL

Bình luận 0 Bình luận

Bài 4 – Bật HTTPS, chỉnh redirect & kiểm tra chứng chỉ SSL

Hiện tại, website không có HTTPS giống như cửa hàng cho người dùng biết “bạn mặc áo phông, không khóa cửa”. Dù không phải ai cũng chiếm đoạt, nhưng Google, các trình duyệt và người dùng đã quen với việc chỉ tin tưởng những trang có mũi tên ổ khóa phía trước URL.

Bài này hướng dẫn bạn:

  • Hiểu HTTPS là gì, vì sao bắt buộc (bảo mật + SEO + trust).
  • Cách bật SSL miễn phí (Let’s Encrypt) trên hosting phổ biến.
  • Đảm bảo HTTP → HTTPS redirect đúng, giải quyết lỗi mixed content cơ bản.

1. HTTPS là gì? Vì sao bắt buộc (bảo mật, SEO, trust)

1.1. HTTPS là gì?

HTTPS là phiên bản an toàn của HTTP, tức là **giao thức truyền tải siêu văn bản bảo mật**. Chữ “s” cuối cùng cho biết dữ liệu giữa trình duyệt và server được **mã hóa** nhờ chứng chỉ SSL/TLS.

Thay vì truy cập http://hostforge.vn, bạn sẽ dùng https://hostforge.vn – trình duyệt tự động mã hóa mọi thứ đi qua, bao gồm:

  • Tên đăng nhập, mật khẩu.
  • Dữ liệu form, comment, email, số điện thoại.
  • Thông tin giỏ hàng, đơn hàng (nếu có).

1.2. Vì sao HTTPS đã trở thành “bắt buộc”?

Không chỉ là “bảo mật”, HTTPS còn ảnh hưởng đến nhiều khía cạnh khác:

  • Bảo mật: dữ liệu người dùng được mã hóa, giảm rủi ro bị đánh cắp, man‑in‑the‑middle, sniffing.
  • Uy tín và trust: người dùng thấy icon ổ khóa, không thấy cảnh báo “Not secure” sẽ yên tâm hơn.
  • SEO: Google ưu tiên xếp hạng các trang dùng HTTPS hơn HTTP, đồng thời tránh cảnh báo “non‑secure site” trên Chrome, Firefox…
  • Tránh cảnh báo lỗi: nhiều trình duyệt nhắc “Không an toàn” nếu trang dùng HTTP, đặc biệt với form đăng nhập, thẻ thanh toán.

Đối với website hiện đại, dù chỉ là blog nhỏ, hãy coi HTTPS là tiêu chuẩn tối thiểu, không phải “option cao cấp”.

2. Cách bật SSL miễn phí (Let’s Encrypt) trên hosting phổ biến

Hiện nay hầu hết hosting đều hỗ trợ chứng chỉ SSL miễn phí Let’s Encrypt. Việc bật chỉ mất vài cú click.

2.1. Bước 1 – Kích hoạt SSL/Let’s Encrypt trên hosting

Tùy nhà cung cấp, nhưng thao tác chung khá giống nhau:

  • Đăng nhập vào cPanel, hoặc panel của hosting (ví dụ DirectAdmin, Plesk, Aquila, v.v.).
  • Tìm mục liên quan đến SSL / Let’s Encrypt / SSL/TLS:
    • Tên thường gặp: SSL/TLS, SSL Center, AutoSSL, Let’s Encrypt
  • Xem danh sách domain bạn đã thêm, chọn hostforge.vn hoặc domain chính của bạn.
  • Nhấn nút Issue, Install, AutoSSL hoặc Get a Free Certificate.
  • Hosting sẽ tự tạo chứng chỉ, cấu hình web server (Apache/Nginx) và bật HTTPS cho domain sau vài giây–phút.

Sau khi thành công, bạn có thể kiểm tra bằng cách mở domain với https:// – nếu thấy ổ khóa xanh, không cảnh báo, là đã OK.

2.2. Lưu ý về SSL cho www và non‑www

Let’s Encrypt thường cung cấp 1 hoặc 2 tên:

  • hostforge.vn
  • www.hostforge.vn (nếu hosting cho phép)

Đảm bảo bạn có chứng chỉ cho cả wwwnon‑www, nếu không sẽ có cảnh báo khi người dùng truy cập một trong hai.

Thông thường hosting sẽ tự sinh SAN (Subject Alternative Name) để cover cả 2, nhưng nếu không thấy, hãy:

  • Thêm domain www.hostforge.vn vào danh sách SSL hoặc Let’s Encrypt.
  • Restart lại web server (nếu yêu cầu).

3. Đảm bảo HTTP → HTTPS redirect đúng & fix mixed content cơ bản

3.1. Thiết lập redirect 301 HTTP → HTTPS

Phải có redirect 301 từ http:// sang https:// cho mọi trang, để:

  • Google chỉ index phiên bản HTTPS.
  • Người dùng luôn được chuyển sang link an toàn.

Thực hiện bằng 2 cách phổ biến:

a) Cách 1 – Dùng file .htaccess trên Apache

Nếu hosting sử dụng Apache, bạn có thể chỉnh file .htaccess trong thư mục gốc (ví dụ: public_html):

Sau khi paste vào, lưu file, truy cập http://hostforge.vn – nếu tự chuyển sang https://, là đã OK.

b) Cách 2 – Dùng plugin WordPress

Nếu bạn e ngại chỉnh file server, có thể dùng plugin hỗ trợ:

  • Plugin kiểu Really Simple SSL, SSL Insecure Content Fixer, hoặc các plugin cache hỗ trợ HTTPS (WP Fastest Cache, LiteSpeed Cache…).
  • Cài plugin → kích hoạt → plugin sẽ tự động thêm redirect HTTP→HTTPS và kiểm tra cấu hình.

3.2. Fix mixed content cơ bản

“Mixed content” xảy ra khi trang HTTPS nhưng logo, hình, script, iFrame, v.v. vẫn được gọi từ http:// – trình duyệt cảnh báo “not fully secure”.

Nguyên nhân thường là:

  • URL hình ảnh/plugin hard‑coded http://... trong bài hoặc theme.
  • Link CDN, YouTube, Google Fonts, v.v. dùng http:// thay vì https://.

Phương pháp sửa đơn giản cho người mới:

  • Dùng trình duyệt (Chrome/Firefox) → F12 → tab Console hoặc Network, filter theo “mixed” sẽ thấy danh sách tài nguyên bị chặn.
  • Thay mọi link http:// thành https:// hoặc dùng // (protocol‑relative) nếu script hỗ trợ.
  • Dùng plugin hỗ trợ mixed content (nhiều plugin cache/HTTPS có mục riêng để tự thay đổi URL trong nội dung).
  • Kiểm tra lại trang, đảm bảo console không còn cảnh báo mixed content.

Khi console sạch và URL hiển thị https:// với icon ổ khóa, bạn đã hoàn thành bước bật HTTPS ổn định.

4. Checklist bật HTTPS & SSL cho website

Để bạn dễ thực hiện theo từng bước, đây là checklist tổng hợp:

  • Chọn hosting hỗ trợ SSL miễn phí (Let’s Encrypt).
  • Đăng nhập panel hosting → bật Let’s Encrypt cho domain chính (và www nếu cần).
  • Kiểm tra https://hostforge.vn có hiển thị ổ khóa không.
  • Thiết lập redirect 301 HTTP → HTTPS qua .htaccess hoặc plugin WordPress.
  • Đồng nhất URL chính: chọn www hoặc non‑www và redirect theo.
  • Kiểm tra console browser, tìm và sửa mixed content (thay http → https hoặc dùng plugin hỗ trợ).
  • Test lại trang trên nhiều thiết bị trình duyệt: không cảnh báo, không lỗi truy cập.

Sau khi hoàn thành checklist này, website của bạn đã có HTTPS đúng chuẩn, bảo mật tốt hơn, tăng trust người dùng và chuẩn SEO – đây là nền tảng cần thiết trước khi đi sâu vào tối ưu tốc độ và bảo mật nâng cao.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *