Biểu tượng phổ biến nhất trong số các chỉ báo tin cậy SSL này là biểu tượng ổ khóa. Ổ khoá có thể được tìm thấy trong thanh địa chỉ của trình duyệt web của bạn, ngay trước URL. Có nhiều mức độ bảo mật SSL khác nhau và với mức độ bảo mật cao nhất, trước đây sẽ có một thanh màu xanh hiển thị tên doanh nghiệp đăng ký sau cái ổ khoá. Tuy nhiên, hiện nay, thanh địa chỉ màu xanh của SSL không còn tồn tại nữa. Thay vào đó nó chỉ hiển thị biểu tượng ổ khoá như các loại bảo mật SSL khác. Tuy nhiên không phải ai cũng nhận ra điều này.

Thanh địa chỉ màu xanh lá cây là gì và vì sao nó biến mất?

Thanh địa chỉ màu xanh lá cây là chỉ báo SSL xuất hiện khi một trang web cài đặt chứng chỉ SSL xác thực mở rộng (EV). Chứng chỉ SSL có thể được chia thành nhiều loại khác nhau, với mức độ xác thực đề cập đến mức độ kiểm tra lý lịch được thực hiện đối với người hoặc công ty sở hữu trang web. EV là mức xác thực cao nhất mà bạn có thể nhận được, với Tổ chức phát hành chứng chỉ sẽ kiểm tra xem công ty yêu cầu SSL có phải là doanh nghiệp hợp pháp, đã đăng ký hay không.

Thanh màu xanh lá cây trước đây được xem như là một cách hiển thị thông tin doanh nghiệp uy tín và an toàn. Khi bạn truy cập trang web có đăng ký SSL EV, Chrome, Mozilla, Safari và Firefox sẽ chuyển thanh địa chỉ sang màu xanh lục và hiển thị tên công ty đã đăng ký trên thanh địa chỉ trước URL trang web.

Safari là trình duyệt đầu tiên ngừng sử dụng thanh địa chỉ màu xanh lá cây, ngay sau đó Google và các trình duyệt lớn khác cũng làm theo. Mặc dù Google đã loại bỏ thanh màu xanh lá cây với việc phát hành phiên bản Chrome 69 vào tháng 9 năm 2018, nó vẫn tiếp tục hiển thị thông tin công ty trên thanh địa chỉ cho đến khi phát hành Chrome 77 một năm sau đó.

Google giải thích lý do thực hiện thay đổi này, đó là “nhóm Chrome Security UX đã xác định rằng giao diện người dùng EV không bảo vệ người dùng như dự kiến”. Nhóm phát hiện ra rằng màn hình đôi khi có thể cản trở hơn là trợ giúp, trong khi nghiên cứu bảo mật rộng hơn chỉ ra rằng nó không bảo vệ khỏi các cuộc tấn công lừa đảo nhiều như họ hy vọng.

Thanh màu xanh lá cây có được mở lại không?

Hầu như không. Như chúng tôi vừa đề cập, Google và các chuyên gia bảo mật nhận thấy rằng không có nhiều lợi ích khi hiển thị thông tin công ty theo cách đó và đôi khi nó có thể gây hại nhiều hơn lợi. Các trang web độc hại có thể dễ dàng sao chép giao diện của thanh màu xanh lá cây, tạo cho khách truy cập trang web cảm giác an toàn.

Trong những năm kể từ đó, các trình duyệt lớn hầu như không hiển thị các điểm đánh dấu tin cậy. Vì người ta mong đợi các trang web có chứng chỉ SSL thay vì không có chứng chỉ SSL, nên các trình duyệt web giờ đây sẽ cảnh báo người dùng khi trang web không có bảo mật SSL.

Tuy nhiên, thông tin công ty giao tiếp không biến mất hoàn toàn, bạn chỉ cần nhấp chuột ào ổ khoá để tìm thấy nó. Người dùng chỉ cần nhấp vào biểu tượng ổ khóa trên thanh địa chỉ để tìm hiểu thêm thông tin về ai đã đăng ký SSL và ai sở hữu trang web.

Những người mới sử dụng SSL có thể hơi bối rối, vì khi thực hiện nghiên cứu về loại SSL nào đó, có thể thấy thanh màu xanh lá cây SSL vẫn tồn tại. Tìm kiếm lướt qua của Google cho thấy nhiều trang web quảng cáo giá trị của thanh địa chỉ màu xanh lá cây của EV SSL. Điều này có thể là do các trang web không cập nhật chi tiết chứng chỉ SSL của họ, cũng như Google lấy thông tin từ các trang web cũ.

Trên thực tế, việc hiển thị thanh địa chỉ màu xanh lá cây cùng với chi tiết thông tin công ty đã bị ngừng hoạt động dưới dạng điểm đánh dấu tin cậy SSL vào năm 2019.

Let’s Encrypt là cơ quan cấp chứng chỉ SSL miễn phí được phát triển bởi nhóm nghiên cứu bảo mật Internet (ISRG). Let’s Encrypt cung cấp chứng nhận (CA) mở, miễn phí và tự động, hoạt động vì lợi ích cộng đồng.

Các chứng chỉ SSL này có thể được sử dụng để mã hóa giao tiếp giữa máy chủ web và người dùng của bạn. Có hàng tá ứng dụng khách có sẵn, được viết bằng nhiều ngôn ngữ lập trình khác nhau và nhiều tích hợp với các công cụ, dịch vụ và máy chủ quản trị phổ biến.

Let’s Encrypt cung cấp hai loại chứng chỉ. SSL tên miền đơn tiêu chuẩn và SSL ký tự đại diện, không chỉ bao gồm một tên miền mà còn bao gồm tất cả các tên miền phụ của nó. Cả hai loại chứng chỉ SSL đều được cấp trong thời hạn 90 ngày và có thể được cài đặt trên các Hosting Control Panel. Thông thường chúng sẽ tự động được gia hạn sau 90 ngày.

Các điểm đặc biệt chính của Let’s Encrypt là:

• Miễn phí: Bất cứ ai sở hữu một tên miền có thể dùng Let’s Encrypt để có được một chứng chỉ tin cậy với chi phí 0 đồng.
• Tự động: Phần mềm chạy trên máy chủ web có thể tương tác với Let’s Encrypt để lấy chứng chỉ một cách dễ dàng, cấu hình an toàn để sử dụng và tự động gia hạn.
• An toàn: Let’s Encrypt sẽ phục vụ như một nền tảng để thúc đẩy các quản lý tốt nhất về bảo mật SSL, cả về phía CA và bằng cách giúp những người vận hành trang web bảo mật đúng cách các máy chủ của họ.
• Mở: Giao thức phát hành và gia hạn tự động sẽ được công bố như một tiêu chuẩn mở mà những người khác có thể áp dụng.
• Hợp tác: Giống như các giao thức Internet cơ bản, Let’s Encrypt là một nỗ lực chung nhằm mang lại lợi ích cho cộng đồng, vượt ra ngoài tầm kiểm soát của bất kỳ một tổ chức nào.

Cơ quan cấp chứng chỉ là gì?

Tổ chức phát hành chứng chỉ (CA) là các thực thể ký mã hóa chứng chỉ TLS / SSL để đảm bảo tính xác thực của chúng. Các trình duyệt và hệ điều hành có danh sách CA đáng tin cậy mà chúng sử dụng để xác minh chứng chỉ trang web.

Cho đến gần đây, hầu hết các CA là hoạt động thương mại thu phí dịch vụ xác minh và ký kết của họ. Let’s Encrypt là đơn vị cung cấp quy trình này miễn phí cho người dùng bằng cách tự động hóa hoàn toàn quy trình. Họ dựa vào các tài trợ và quyên góp để đầu tư cho cơ sở hạ tầng cần thiết. >> Đăng ký SSL

Cách hoạt động của Let’s Encrypt

Giao thức ACME của Let’s Encrypt xác định cách khách hàng giao tiếp với máy chủ của nó để yêu cầu chứng chỉ, xác minh quyền sở hữu miền và tải xuống chứng chỉ. Nó hiện đang trong quá trình trở thành một tiêu chuẩn chính thức của IETF .

Let’s Encrypt cung cấp các chứng chỉ đã được xác thực miền, nghĩa là họ phải kiểm tra xem yêu cầu chứng chỉ có đến từ một người thực sự kiểm soát miền hay không. Họ thực hiện điều này bằng cách gửi cho khách hàng một mã thông báo duy nhất, sau đó yêu cầu DNS để truy xuất khóa bắt nguồn từ mã thông báo đó.

Ví dụ: với một kiểm tra dựa trên HTTP, máy khách sẽ tính khóa từ mã thông báo duy nhất và mã thông báo tài khoản, sau đó đặt kết quả vào một tệp để máy chủ web cung cấp. Các máy chủ Let’s Encrypt sau đó truy xuất tệp tại. Nếu khóa chính xác, máy khách đã chứng minh rằng nó có thể kiểm soát tài nguyên và máy chủ sẽ ký và trả lại chứng chỉ SSL.

SSL mã hóa và bảo vệ thông tin nhạy cảm

Lý do chính tại sao SSL được sử dụng là để bảo vệ các thông tin nhạy cảm khi chúng được gửi qua Internet. Tất cả thông tin trên website có cài đặt SSL sẽ được mã hóa để chỉ người nhận xác thực có thể truy cập. Điều này rất quan trọng vì thông tin bạn gửi trên Internet được truyền từ máy tính này sang máy tính khác để đến máy chủ đích. Bất kỳ máy tính nào ở giữa bạn và máy chủ đều có thể thấy thông tin nhạy cảm như số thẻ tín dụng, tên người dùng và mật khẩu… nếu nó không được mã hóa bằng chứng chỉ SSL. Khi chứng chỉ SSL được sử dụng, sẽ không ai có thể đọc được thông tin ngoại trừ máy chủ bạn đang gửi thông tin. Điều này bảo vệ nó khỏi tin tặc và hacker.

SSL cung cấp xác thực

Ngoài mã hóa, chứng chỉ SSL phù hợp cũng cung cấp xác thực cho website. Điều này có nghĩa là bạn có thể chắc chắn rằng bạn đang gửi thông tin đến đúng máy chủ chứ không phải kẻ mạo danh đang cố lấy cắp thông tin của bạn. Tại sao nó lại quan trọng? Bản chất của Internet có nghĩa là khách hàng của bạn sẽ thường xuyên gửi thông tin qua một số máy tính. Bất kỳ máy tính nào trong số này có thể đóng giả là trang web của bạn và lừa người dùng của bạn gửi thông tin cá nhân cho họ. Chỉ có thể tránh điều này bằng cách lấy chứng chỉ SSL từ nhà cung cấp SSL đáng tin cậy.

Các nhà cung cấp bảo mật SSL đáng tin cậy sẽ chỉ cấp chứng chỉ SSL cho một công ty được xác minh đã trải qua một số kiểm tra nhận dạng. Một số loại chứng chỉ SSL, như chứng chỉ SSL EV , yêu cầu xác thực nhiều hơn các loại khác. 

SSL cung cấp niềm tin

Các trình duyệt web cung cấp tín hiệu trực quan, chẳng hạn như biểu tượng khóa hoặc thanh màu xanh lá cây, để đảm bảo khách truy cập biết khi nào kết nối của họ được bảo mật. Điều này có nghĩa là họ sẽ tin tưởng trang web của bạn hơn khi họ nhìn thấy những tín hiệu này và sẽ có nhiều khả năng mua hàng từ bạn. Các nhà cung cấp dịch vụ đăng ký SSL cũng sẽ cung cấp cho bạn một con dấu tin cậy giúp tăng thêm niềm tin cho khách hàng của bạn.

HTTPS cũng bảo vệ chống lại các cuộc tấn công lừa đảo. Email lừa đảo là một email được gửi bởi một tên tội phạm cố gắng mạo danh trang web của bạn. Email thường bao gồm một liên kết đến trang web của riêng họ hoặc sử dụng một cuộc tấn công trung gian để sử dụng tên miền của riêng bạn. Vì rất khó để những tên tội phạm này nhận được chứng chỉ SSL phù hợp, chúng sẽ không thể mạo danh trang web của bạn. Điều này có nghĩa là người dùng của bạn sẽ ít có khả năng rơi vào một cuộc tấn công lừa đảo vì họ sẽ tìm kiếm các chỉ số tin cậy trong trình duyệt của họ, chẳng hạn như một thanh địa chỉ màu xanh lá cây và họ sẽ không nhìn thấy nó.

SSL là bắt buộc đối với Google

Hiện nay, Google xem SSL là một trong những yếu tố bắt buộc để đánh giá tính an toàn và xếp hạng của một website. Do đó, nếu bạn muốn SEO website hiệu quả hơn, trước tiên bạn phải cài đặt SSL cho nó.

Nhược điểm của SSL

Nhìn chung, những nhược điểm của việc sử dụng chứng chỉ SSL là rất ít và những ưu điểm là rất nhiều do đó bạn không có lý do để từ chối nó.

Nhược điểm lớn nhất là chi phí, khi mà bạn phải gia hạn chứng chỉ SSL hàng năm với giá còn cao hơn cả chi phí tên miền và hosting. Tuy nhiên, nếu website của bạn không yêu cầu bảo mật quá cao, vẫn có những gói SSL giá rẻ hoặc thạm chí miễn phí cho bạn sử dụng.

Hiệu suất là một bất lợi khác cho SSL. Bởi vì thông tin mà bạn gửi phải được mã hóa bởi máy chủ, nó sẽ chiếm nhiều tài nguyên máy chủ hơn so với thông tin không được mã hóa. Tuy nhiên, sự khác biệt về hiệu suất chỉ rõ ràng đối với các trang web có số lượng khách truy cập rất lớn.

SSL là một loại bảo mật rất cần thiết cho website, nó vừa mang lại sự an toàn cho dữ liệu của website, vừa mang đến sự an tâm cho khách hàng. Đặc biệt đối với những website lớn và chuyên về thanh toán thì rất cần đến SSL. Website có thể không cần đến SSL, nhưng SSL là rất cần thiết cho tất cả website dù lớn hay nhỏ. 

Dù cho website của bạn chỉ là web cá nhân, hay web bán hàng đơn giản, việc đăng ký SSL cũng vô cùng cần thiết. Nó mang lại sự an tâm cho người truy cập website, và mang lại sự chuyên nghiệp cho website của bạn. Hơn nữa, hiện nay SSL là một trong các tiêu chí để các bộ máy tìm kiếm như google đánh giá và xếp hạng website.

Với những Website không đăng ký và bảo mật SSL, các trình duyệt như Google Chrome và Firefox sẽ thông báo website đó là KHÔNG AN TOÀN khi khách truy cập vào những website này. Vì thế, đăng ký và sử dụng SSL để có giao thức HTTPS và tăng độ uy tín website của bạn với khách hàng, đồng thời tăng tỷ lệ chuyển đổi.

Lựa chọn gói SSL nào cho phù hợp?

Có nhiều gói SSL với mức độ bảo mật và đi cùng giá tiền khác nhau, tuỳ vào độ lớn và mục tiêu của website mà lựa chọn cho phù hợp, tiết kiệm.

• Nếu bạn chỉ cần đăng ký chứng chỉ SSL cho các website, blog cá nhân, bạn nên chọn gói Positive SSL. Gói Positive SSL chỉ yêu cầu xác minh quyền sở hữu tên miền, và tất nhiên nó có giá rẻ nhất.
• Với các website bán hàng, thương mại (không sử dụng cổng thanh toán trực tiếp trên website) bạn có thể dùng gói Essential SSL. Gói này cũng chỉ cần xác minh chủ sở hữu tên miền là có thể đăng ký được. Mức độ bảo mật của gói này cũng không cao, tuy nhiên cũng không quá quan trọng vì những website này rất ít khi bị mất cắp dữ liệu.
• Nếu bạn muốn đăng ký SSL để sử dụng cho Doanh nghiệp/ Tổ chức lớn và chuyên nghiệp cần sự bảo mật thông tin cao, bạn có thể chọn gói hoặc IV SSL (Instant Validation SSL) EV SSL (Extended Validation SSL). Khi lựa chọn các gói SSL này, các nhà cấp phát SSL sẽ yêu cầu xác minh thông tin doanh nghiệp đăng ký bảo mật SSL. Thông tin này phải chính xác với thông tin đã đăng ký trên giấy phép kinh doanh của doanh nghiệp. Hai gói này chủ yếu khác nhau giá tiền đăng ký, và chi phí bảo hiểm khi xảy ra sự cố với website được bảo mật.
• Ngoài ra còn có gói Positive SSL Wildcard, sử dụng cho website có nhiều subdomain (tên miền phụ). Nghĩa là bạn có thể đăng ký một lần cho domain chính và được sử dụng cho nhiều domain phụ (chạy nhiều website). Chẳng hạn bạn mua chứng chỉ SSL Wildcard cho tên miền halink.vn, thì bạn có thể được bảo mật cho các website con như wiki.halink.vn, blog.halink.vn, host.halink.vn,…

Như vậy, tuỳ vào loại website, cũng như mức độ quan trọng của nội dung website mà bạn nên lựa chọn gói SSL phù hợp, vừa đảm bảo bảo mật thông tin tốt nhất, vừa có thể tiết kiệm chi phí cho doanh nghiệp.

Có thể đăng ký Wildcard cho gói EV SSL không?

Chứng chỉ SSL xác thực mở rộng EV SSL cung cấp dịch vụ bảo mật ở mức độ bảo đảm cao hơn các loại chứng chỉ SSL khác. Do đó, để đảm bảo rằng chứng chỉ EV SSL không được phát hành một cách gian lận hoặc tránh lạm dụng sau khi phát hành, tất cả các nhà cấp phát SSL (CA) phải xác nhận tính hợp pháp của tất cả địa chỉ Web (URL) có chứng chỉ EV SSL được chỉ định, bao gồm xác minh thông tin doanh nghiệp đăng ký. Đây là quy định của tổ chức CAB (CA/Browser Forum). Do đó, bạn không thể đăng ký ssl Wildcard (dùng cho nhiều subdomain) với gói EV SSL.