Bảo vệ trang web HTTPS

Tác giả NetworkEngineer, Tháng năm 05, 2020, 03:44:27 PM

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo vệ trang web httpsS


1. httpsS là gì?

httpsS (Hypertext Transfer Protocol Secure) là một giao thức giao tiếp internet bảo vệ tính toàn vẹn và bảo mật của dữ liệu giữa máy tính của người dùng và trang web. Người dùng mong đợi trải nghiệm truy cập trực tuyến an toàn và riêng tư khi sử dụng trang web. Chúng tôi khuyến khích bạn sử dụng httpsS để bảo mật các kết nối của người dùng với trang web của bạn, bất kể nội dung trên trang web là gì.

Dữ liệu được gửi bằng httpsS được bảo mật thông qua giao thức ransport Layer Security ( TLS ), cung cấp ba lớp bảo vệ chính:

    Encryption: Mã hóa dữ liệu trao đổi để giữ an toàn từ những kẻ nghe trộm. Điều đó có nghĩa là trong khi người dùng đang duyệt một trang web, không ai có thể "lắng nghe" các cuộc hội thoại của họ, theo dõi các hoạt động của họ trên nhiều trang hoặc đánh cắp thông tin của họ.
    Data integrity: Toàn vẹn dữ liệu có thể được sửa đổi hoặc hỏng trong quá trình truyền, cố ý hoặc cách khác, mà không bị phát hiện.
    Authentication: Xác thực xác nhận rằng người dùng của bạn giao tiếp với trang web dự định. Nó bảo vệ chống lại các cuộc tấn công trung gian và xây dựng lòng tin của người dùng, điều này chuyển thành các lợi ích kinh doanh khác.

2. Thực tiễn tốt nhất khi triển khai httpsS
2.1. Sử dụng chứng chỉ bảo mật mạnh mẽ


Bạn phải có được chứng chỉ bảo mật như một phần của việc sử dụng httpsS cho trang web của mình. Chứng chỉ được cấp bởi đơn vị cấp chứng chỉ (CA), thực hiện các bước để xác định rằng địa chỉ web của bạn thực sự thuộc về tổ chức của bạn, do đó bảo vệ khách hàng của bạn khỏi các cuộc tấn công trung gian. Khi thiết lập chứng chỉ của bạn, đảm bảo mức độ bảo mật cao bằng cách chọn loại mã hóa khóa 2048 bit. Nếu bạn đã có chứng chỉ có khóa yếu hơn (1024 bit), hãy nâng cấp nó lên 2048 bit. Khi chọn chứng chỉ trang web của bạn, hãy ghi nhớ những điều sau:

    Nhận chứng chỉ của bạn từ một CA đáng tin cậy với việc cung cấp hỗ trợ kỹ thuật.
    Quyết định loại chứng chỉ bạn cần:
        Chứng chỉ duy nhất cho nguồn gốc an toàn duy nhất (ví dụ To view link, please Register or Login).
        Chứng chỉ đa tên miền cho nhiều nguồn gốc an toàn nổi tiếng (ví dụ To view link, please Register or Login, To view link, please Register or Login, To view link, please Register or Login).
        Chứng chỉ ký tự đại diện wildard cho nguồn gốc an toàn với nhiều tên miền phụ động (ví dụ To view link, please Register or Login, To view link, please Register or Login).

2.2. Sử dụng chuyển hướng 301 phía máy chủ

Chuyển hướng người dùng và công cụ tìm kiếm của bạn đến trang hoặc tài nguyên httpsS với các chuyển hướng https phía máy chủ.
Xác định rằng các trang httpsS của bạn có thể được Google thu thập và lập chỉ mục

    Không chặn các trang httpsS của bạn bằng các tập tin robot.txt.
    Không bao gồm noindex trong các thẻ meta trong các trang httpsS của bạn.
    Sử dụng công cụ Kiểm tra URL để kiểm tra xem Googlebot có thể truy cập các trang của bạn hay không.

2.3. Hỗ trợ HSTS

Chúng tôi khuyên các trang web httpsS hỗ trợ HSTS ( https Strict Transport Security ). HSTS yêu cầu trình duyệt tự động yêu cầu các trang httpsS, ngay cả khi người dùng nhập vào https trên thanh vị trí trình duyệt. Nó cũng cho Google biết để phục vụ các URL an toàn trong kết quả tìm kiếm. Tất cả điều này giảm thiểu rủi ro phục vụ nội dung không bảo mật cho người dùng của bạn.

Để hỗ trợ HSTS, hãy sử dụng máy chủ web có hỗ trợ và kích hoạt chức năng này.
Mặc dù an toàn hơn, HSTS thêm sự phức tạp vào chiến lược rollback của bạn. Chúng tôi khuyên bạn nên kích hoạt HSTS theo cách này:

    Ra mắt các trang httpsS của bạn mà không có HSTS trước.
    Bắt đầu gửi các header HSTS với độ tuổi tối đa ngắn. Giám sát lưu lượng truy cập của bạn cả từ người dùng và khách hàng khác, cũng như hiệu suất của người phụ thuộc, chẳng hạn như quảng cáo.
    Tăng từ từ tuổi tối đa HSTS.
    Nếu HSTS không ảnh hưởng tiêu cực đến người dùng và công cụ tìm kiếm của bạn, nếu bạn muốn, hãy yêu cầu trang web của bạn được thêm vào  danh sách tải trước HSTS  được sử dụng bởi hầu hết các trình duyệt chính.

Cân nhắc sử dụng tải trước HSTS

Nếu bạn bật HSTS, bạn có thể tùy chọn hỗ trợ tải trước HSTS để bảo mật hơn và cải thiện hiệu suất. Để kích hoạt tải trước, bạn phải truy cập To view link, please Register or Login và làm theo các yêu cầu gửi cho trang web của bạn.

2.4. Tránh những cạm bẫy phổ biến

Trong suốt quá trình làm cho trang web của bạn an toàn với TLS, tránh các lỗi sau:


2.5. Chuyển hướng từ https sang httpsS

Nếu bạn di chuyển trang web của mình từ https sang httpsS, Google sẽ xử lý việc này đơn giản như một  trang web di chuyển với các thay đổi URL . Điều này có thể tạm thời ảnh hưởng đến một số số lưu lượng truy cập của bạn.

Thêm thuộc tính httpsS mới vào Search Console:  Search Console xử lý riêng https và httpsS: dữ liệu không được chia sẻ giữa các thuộc tính trong Search Console.