Bảo vệ trang web HTTPS

Tác giả Network Engineer, T.Năm 05, 2020, 03:44:27 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo vệ trang web https


1. https là gì?

httpsS (Hypertext Transfer Protocol Secure) là một giao thức giao tiếp internet bảo vệ tính toàn vẹn và bảo mật của dữ liệu giữa máy tính của người dùng và trang web. Người dùng mong đợi trải nghiệm truy cập trực tuyến an toàn và riêng tư khi sử dụng trang web. Chúng tôi khuyến khích bạn sử dụng httpsS để bảo mật các kết nối của người dùng với trang web của bạn, bất kể nội dung trên trang web là gì.

Dữ liệu được gửi bằng https được bảo mật thông qua giao thức ransport Layer Security ( TLS ), cung cấp ba lớp bảo vệ chính:

  • Encryption: Mã hóa dữ liệu trao đổi để giữ an toàn từ những kẻ nghe trộm. Điều đó có nghĩa là trong khi người dùng đang duyệt một trang web, không ai có thể "lắng nghe" các cuộc hội thoại của họ, theo dõi các hoạt động của họ trên nhiều trang hoặc đánh cắp thông tin của họ.
  • Data integrity: Toàn vẹn dữ liệu có thể được sửa đổi hoặc hỏng trong quá trình truyền, cố ý hoặc cách khác, mà không bị phát hiện.
  • Authentication: Xác thực xác nhận rằng người dùng của bạn giao tiếp với trang web dự định. Nó bảo vệ chống lại các cuộc tấn công trung gian và xây dựng lòng tin của người dùng, điều này chuyển thành các lợi ích kinh doanh khác.

2. Thực tiễn tốt nhất khi triển khai httpsS

2.1. Sử dụng chứng chỉ bảo mật mạnh mẽ


Bạn phải có được chứng chỉ bảo mật như một phần của việc sử dụng https cho trang web của mình. Chứng chỉ được cấp bởi đơn vị cấp chứng chỉ (CA), thực hiện các bước để xác định rằng địa chỉ web của bạn thực sự thuộc về tổ chức của bạn, do đó bảo vệ khách hàng của bạn khỏi các cuộc tấn công trung gian. Khi thiết lập chứng chỉ của bạn, đảm bảo mức độ bảo mật cao bằng cách chọn loại mã hóa khóa 2048 bit. Nếu bạn đã có chứng chỉ có khóa yếu hơn (1024 bit), hãy nâng cấp nó lên 2048 bit. Khi chọn chứng chỉ trang web của bạn, hãy ghi nhớ những điều sau:


2.2. Sử dụng chuyển hướng 301 phía máy chủ

Chuyển hướng người dùng và công cụ tìm kiếm của bạn đến trang hoặc tài nguyên httpsS với các chuyển hướng https phía máy chủ.
Xác định rằng các trang https của bạn có thể được Google thu thập và lập chỉ mục

  • Không chặn các trang httpsS của bạn bằng các tập tin robot.txt.
  • Không bao gồm noindex trong các thẻ meta trong các trang httpsS của bạn.
  • Sử dụng công cụ Kiểm tra URL để kiểm tra xem Googlebot có thể truy cập các trang của bạn hay không.

2.3. Hỗ trợ HSTS

Chúng tôi khuyên các trang web https hỗ trợ HSTS ( https Strict Transport Security ). HSTS yêu cầu trình duyệt tự động yêu cầu các trang https, ngay cả khi người dùng nhập vào https trên thanh vị trí trình duyệt. Nó cũng cho Google biết để phục vụ các URL an toàn trong kết quả tìm kiếm. Tất cả điều này giảm thiểu rủi ro phục vụ nội dung không bảo mật cho người dùng của bạn.

Để hỗ trợ HSTS, hãy sử dụng máy chủ web có hỗ trợ và kích hoạt chức năng này.
Mặc dù an toàn hơn, HSTS thêm sự phức tạp vào chiến lược rollback của bạn. Chúng tôi khuyên bạn nên kích hoạt HSTS theo cách này:

  • Ra mắt các trang httpsS của bạn mà không có HSTS trước.
  • Bắt đầu gửi các header HSTS với độ tuổi tối đa ngắn. Giám sát lưu lượng truy cập của bạn cả từ người dùng và khách hàng khác, cũng như hiệu suất của người phụ thuộc, chẳng hạn như quảng cáo.
  • Tăng từ từ tuổi tối đa HSTS.
  • Nếu HSTS không ảnh hưởng tiêu cực đến người dùng và công cụ tìm kiếm của bạn, nếu bạn muốn, hãy yêu cầu trang web của bạn được thêm vào  danh sách tải trước HSTS  được sử dụng bởi hầu hết các trình duyệt chính.

Cân nhắc sử dụng tải trước HSTS

Nếu bạn bật HSTS, bạn có thể tùy chọn hỗ trợ tải trước HSTS để bảo mật hơn và cải thiện hiệu suất. Để kích hoạt tải trước, bạn phải truy cập   Đăng nhập để xem liên kết và làm theo các yêu cầu gửi cho trang web của bạn.

2.4. Tránh những cạm bẫy phổ biến

Trong suốt quá trình làm cho trang web của bạn an toàn với TLS, tránh các lỗi sau:


2.5. Chuyển hướng từ https sang https

Nếu bạn di chuyển trang web của mình từ http sang https, Google sẽ xử lý việc này đơn giản như một  trang web di chuyển với các thay đổi URL . Điều này có thể tạm thời ảnh hưởng đến một số số lưu lượng truy cập của bạn.

Thêm thuộc tính httpsS mới vào Search Console: Search Console xử lý riêng http và https: dữ liệu không được chia sẻ giữa các thuộc tính trong Search Console.