Chứng chỉ SSL là gì? Vì sao web nào cũng cần

Mỗi lần có khách hỏi chứng chỉ SSL là gì, mình hay mở thử web của họ ngay trên điện thoại rồi chỉ vào thanh địa chỉ. Nếu thấy chữ https với cái ổ khoá nhỏ, mình bảo "yên tâm, web anh có rồi". Còn nếu thấy dòng "Không bảo mật" màu xám, mặt khách thường tối đi một chút. Cái thứ nghe rất kỹ thuật ấy thật ra ảnh hưởng tới chuyện khách có dám ở lại web bạn hay không, và cả việc Google có chịu đưa web bạn lên cao hay không.

Bài này mình sẽ giải thích SSL theo đúng cách mình hay nói với khách ngoài đời, không thuật ngữ rối rắm. Đọc xong bạn sẽ biết cái ổ khoá đó nghĩa là gì, vì sao thiếu nó là một thiệt thòi lớn, và làm sao để web của mình có nó mà không phải đau đầu.

Cái ổ khoá nhỏ trên thanh địa chỉ nghĩa là gì

Bạn để ý mỗi lần mở một website, ở đầu thanh địa chỉ trên trình duyệt thường có một biểu tượng ổ khoá nhỏ, và địa chỉ bắt đầu bằng https chứ không phải http. Cái ổ khoá đó chính là dấu hiệu cho biết website này đang được bảo vệ bằng SSL.

SSL (Secure Sockets Layer — lớp bảo mật mã hoá dữ liệu giữa web và người dùng) là một loại chứng chỉ giúp mã hoá toàn bộ thông tin truyền qua lại giữa máy của khách và website. Nói cho dễ hình dung: khi khách gõ số điện thoại, mật khẩu hay thông tin thẻ vào web của bạn, những dữ liệu đó phải "chạy" qua rất nhiều chặng trên Internet mới tới được nơi cần đến. SSL giống như bỏ thông tin vào một phong bì niêm phong kín, khoá lại bằng một ổ khoá mà chỉ web của bạn mới mở được. Trên đường đi, ai có chặn được phong bì đó thì cũng chỉ thấy một mớ ký tự lộn xộn, không đọc ra nội dung.

Nếu không có SSL, dữ liệu chạy đi dạng "thư trần", ai đứng giữa đường cũng đọc được — số điện thoại, mật khẩu, thông tin đặt hàng, tất cả phơi ra. Trên một mạng wifi công cộng ở quán cà phê chẳng hạn, kẻ xấu hoàn toàn có thể "nghe lén" được những thứ này nếu web không mã hoá.

HTTPS và HTTP khác nhau chỗ nào

Bạn sẽ gặp hai chữ này suốt: http và https. Chúng chỉ khác nhau một chữ s ở cuối, nhưng khác biệt thì lớn. HTTP (HyperText Transfer Protocol — giao thức truyền dữ liệu web) là cách trình duyệt và website nói chuyện với nhau, nhưng nói "công khai", không che giấu gì. Còn HTTPS chính là HTTP có thêm lớp bảo mật SSL bọc bên ngoài — chữ s đó là viết tắt của "secure", nghĩa là an toàn.

Nói gọn lại cho dễ nhớ: SSL là cái chứng chỉ, còn HTTPS là kết quả khi web đã có chứng chỉ đó. Bạn cài SSL cho web, thì địa chỉ web tự động chuyển từ http sang https và cái ổ khoá xuất hiện. Hai khái niệm này gắn liền nhau tới mức trong thực tế người ta hay nói lẫn lộn, và cũng không sao — bạn chỉ cần nhớ thấy https với ổ khoá là web đang được bảo vệ.

Niêm phong, không phải tủ sắt

Có một điểm mình hay nói rõ để khách khỏi hiểu nhầm: SSL bảo vệ dữ liệu trên đường truyền, chứ không phải là một cái khoá chống hacker bẻ vào web. Nó giống niêm phong phong bì lúc gửi đi, chứ không phải tủ sắt khoá cả ngôi nhà. Web vẫn có thể bị tấn công theo những cách khác nếu không được làm cẩn thận, và đó là chuyện của bảo mật tổng thể.

Mình nói vậy không phải để hạ thấp SSL — nó vẫn là lớp nền bắt buộc, web nào cũng phải có. Chỉ là bạn nên hiểu đúng vai trò của nó để không tưởng rằng "có ổ khoá là web tuyệt đối an toàn rồi, khỏi lo gì nữa". An toàn của một website là tổng của nhiều thứ, SSL là viên gạch đầu tiên không thể thiếu.

Ba lý do web nào cũng phải có SSL

Hồi xưa, SSL chỉ thật sự quan trọng với web ngân hàng hay web thanh toán online. Bây giờ thì khác hẳn: dù bạn chỉ làm một web giới thiệu công ty đơn giản, không thu thập gì của khách, mình vẫn khuyên bắt buộc phải có SSL. Có ba lý do rất thực tế.

Lý do thứ nhất: bảo mật thông tin khách

Đây là công dụng gốc của SSL. Bất cứ khi nào khách nhập gì đó vào web của bạn — một số điện thoại để được tư vấn, một địa chỉ giao hàng, một mật khẩu đăng nhập — SSL đảm bảo thông tin đó được mã hoá, không bị lộ giữa đường. Web bán hàng có giỏ hàng và thanh toán thì khỏi phải bàn, bắt buộc phải có. Nhưng ngay cả web giới thiệu chỉ có mỗi ô "để lại số điện thoại nhận tư vấn" cũng nên có, vì số điện thoại khách cũng là thông tin cá nhân cần được bảo vệ.

Khách bây giờ cũng tinh ý hơn xưa. Nhiều người, nhất là người trẻ, có thói quen liếc lên thanh địa chỉ trước khi điền thông tin. Thấy chữ "Không bảo mật" là họ ngần ngại, không dám nhập. Một web mất khách chỉ vì khách không yên tâm bấm nút thì quá uổng.

Lý do thứ hai: Google ưu ái web có SSL

Đây là phần mà người làm kinh doanh online cần để ý. Google đã công khai từ lâu rằng HTTPS là một trong những yếu tố giúp xếp hạng tìm kiếm. Nói cách khác, giữa hai web na ná nhau, web nào có SSL sẽ được Google ưu ái hơn một chút khi quyết định đưa lên cao trong kết quả tìm kiếm.

Mình không nói chỉ cần có SSL là lên top — chuyện lên top phụ thuộc rất nhiều thứ, từ nội dung, tốc độ tới trải nghiệm người dùng. Nhưng SSL là một trong những điều kiện nền tảng. Thiếu nó là bạn tự đặt mình vào thế bất lợi ngay từ vạch xuất phát, trong khi đối thủ thì gần như ai cũng đã có. Nếu bạn muốn web lên Google đàng hoàng, đây là một viên gạch không được phép thiếu. Mình có nói kỹ hơn về chuyện này trong bài website chuẩn SEO là gì, bạn nào quan tâm đường lên Google thì nên đọc thêm.

Lý do thứ ba: niềm tin và hình ảnh thương hiệu

Cái này khó đo bằng con số nhưng lại quan trọng bậc nhất. Cái ổ khoá nhỏ trên thanh địa chỉ là một tín hiệu thầm lặng nói với khách rằng "chỗ này làm ăn nghiêm túc, an toàn". Ngược lại, dòng chữ "Không bảo mật" màu xám đỏ khiến khách lạ vừa vào đã có cảm giác bất an, dù họ không hiểu kỹ thuật là gì.

Hãy đặt mình vào vị trí khách: bạn tìm thấy hai shop bán cùng một món, một web hiện ổ khoá gọn gàng, một web báo "Không bảo mật". Bạn sẽ tin shop nào hơn? Phần lớn người ta chọn cái trông an toàn, kể cả khi món hàng y hệt. Trong kinh doanh online, nơi khách không gặp mặt bạn trực tiếp, mọi tín hiệu tạo niềm tin đều đáng giá — và cái ổ khoá này gần như miễn phí mà lại có sức nặng đáng kể.

Coi chừng cảnh báo "Không bảo mật" của trình duyệt

Phần này mình muốn nhấn mạnh riêng, vì nó là hậu quả thấy được ngay khi web thiếu SSL. Các trình duyệt phổ biến như Chrome, Cốc Cốc, Safari giờ đều chủ động cảnh báo người dùng khi vào một web không có SSL. Nhẹ thì là dòng chữ "Không bảo mật" xám xịt cạnh địa chỉ. Nặng hơn, nếu web có ô nhập thông tin, trình duyệt có thể bung ra cả một trang đỏ chắn ngang, khuyên khách quay lại để an toàn.

Bạn thử nghĩ xem: một khách hàng lạ, lần đầu vào web của bạn, vừa bấm vào đã thấy màn hình đỏ cảnh báo. Họ đâu có biết web bạn tử tế hay không, họ chỉ thấy trình duyệt — thứ họ tin tưởng — đang bảo "chỗ này không an toàn". Phản xạ tự nhiên là thoát ra ngay. Bao công sức chạy quảng cáo, làm nội dung để kéo khách tới, đổ sông đổ biển chỉ vì cái nhãn cảnh báo này.

Mình từng gặp một anh khách làm web bán đặc sản, web đẹp, hàng ngon, nhưng quên không gắn SSL. Anh chạy quảng cáo kéo khách về đều đặn mà đơn hàng chẳng bao nhiêu. Tới lúc mình mở web anh trên điện thoại, thấy ngay dòng "Không bảo mật" ở ô đặt hàng. Khách bấm vào đặt hàng là gặp cảnh báo, ai mà dám điền địa chỉ với số điện thoại. Gắn SSL xong, cảnh báo biến mất, mọi thứ trơn tru trở lại. Một chuyện nhỏ mà ảnh hưởng lớn tới túi tiền.

Cài SSL có tốn kém và phức tạp không

Đây là câu mình hay được hỏi nhất sau khi khách hiểu SSL là gì. Tin tốt là chuyện này dễ hơn ngày xưa rất nhiều. Hồi trước SSL khá đắt, phải mua riêng theo năm, mỗi loại một giá, rồi còn phải tự cài đặt — một mớ thao tác kỹ thuật khiến người không rành phát hoảng. Bây giờ có những loại SSL miễn phí được dùng phổ biến và đủ tốt cho hầu hết website thông thường, và việc cài đặt cũng đã được tự động hoá nhiều.

Có nhiều cấp độ SSL khác nhau, nhưng với phần lớn web giới thiệu, web bán hàng nhỏ và vừa, loại cơ bản (mã hoá đầy đủ, hiện ổ khoá, không cảnh báo) là quá đủ. Bạn chưa cần lo tới những loại cao cấp đắt tiền dành cho ngân hàng hay sàn lớn. Đừng để ai vẽ vời bắt bạn mua loại đắt nếu nhu cầu chỉ là một web kinh doanh bình thường.

Về thao tác, nếu bạn tự làm web thì việc cài SSL ngày nay thường chỉ là vài cú bấm trong trang quản trị hosting, đôi khi hosting tự bật sẵn cho bạn. Còn nếu làm web qua một đơn vị, thì SSL gần như luôn nằm sẵn trong gói, bạn không phải đụng tay vào gì cả. Để biết thêm về mối liên hệ giữa hosting và SSL, bạn có thể đọc bài tên miền và hosting là gì — mình giải thích chỗ này khá kỹ.

Một lưu ý nhỏ về mặt kỹ thuật: khi gắn SSL, cần đảm bảo toàn bộ các trang của web đều chuyển sang HTTPS, không để sót trang nào còn chạy HTTP. Nếu sót, trình duyệt vẫn báo lỗi "nội dung hỗn hợp" và cái ổ khoá có thể không hiện hoàn chỉnh. Đây là chỗ người mới hay vướng, nên nếu không rành thì để người có chuyên môn kiểm tra giúp cho chắc.

SSL có phải gia hạn không

Có, và đây là điểm dễ bị quên. Giống như tên miền và hosting, chứng chỉ SSL cũng có thời hạn và cần được làm mới theo chu kỳ. Loại miễn phí thường có hạn ngắn nhưng được gia hạn tự động nếu được cấu hình đúng. Loại trả phí thì thường theo năm, tới hạn phải đóng tiền làm mới.

Nếu SSL hết hạn mà không được gia hạn, web của bạn sẽ quay lại tình trạng bị cảnh báo "Không bảo mật", thậm chí trình duyệt chặn hẳn với màn hình đỏ to đùng. Khách vào thấy vậy là thoát ngay, y như chưa từng có SSL. Cái đáng tiếc là web vẫn chạy bình thường, hàng vẫn còn, chỉ vì quên gia hạn một chứng chỉ mà mất khách oan.

Cách phòng tránh cũng giống như với tên miền và hosting: ưu tiên loại tự động gia hạn, hoặc chọn nơi làm web chủ động nhắc bạn trước khi tới hạn. Một đơn vị làm web tử tế sẽ theo dõi giúp bạn cả ba thứ — tên miền, hosting và SSL — để bạn không phải tự canh từng cái. Đây là một trong những giá trị thầm lặng mà người ta hay quên tính khi so giá.

Web mới làm cần lưu ý gì về SSL

Nếu bạn đang chuẩn bị làm web mới, mình gói lại vài điều thực tế để bạn không bị thiệt. Trước hết, khi nhận báo giá, hãy hỏi thẳng một câu: "Web có SSL chưa, năm đầu tính tiền riêng không?". Câu trả lời cho bạn biết khá nhiều về độ tử tế của bên làm web. Đơn vị đàng hoàng sẽ tặng sẵn SSL năm đầu trong gói, không bắt bạn trả thêm khoản lắt nhắt.

Thứ hai, đừng để ai dọa bạn phải mua loại SSL đắt tiền nếu bạn chỉ làm web kinh doanh bình thường. Loại cơ bản đã đủ để có ổ khoá, mã hoá đầy đủ và tránh cảnh báo. Tiền nên dành cho nội dung và hình ảnh đẹp, những thứ trực tiếp giúp bán hàng, hơn là cho một chứng chỉ cao cấp mà nhu cầu chưa tới.

Thứ ba, hãy chọn nơi lo trọn gói cả tên miền, hosting lẫn SSL, để một đầu mối chịu trách nhiệm và nhắc bạn gia hạn. Với người không rành kỹ thuật, đây là cách nhẹ đầu nhất. Bên mình làm theo hướng này: ở bảng giá bên mình, cả ba gói — Cơ bản từ 1.990.000đ, Pro 3.990.000đ và VIP từ 7.990.000đ — đều đã tặng sẵn tên miền, hosting và SSL cho năm đầu. Web bàn giao trong khoảng 3 đến 7 ngày, gắn SSL sẵn, hiện ổ khoá đầy đủ, bạn nhận về là dùng được ngay, không phải đụng tới khâu kỹ thuật nào.

Mấy câu hỏi nhanh hay gặp

Có vài thắc mắc quay đi quay lại trong các buổi tư vấn, mình gom nhanh ở đây.

Web không bán hàng, chỉ giới thiệu thì có cần SSL không? Cần. Dù không thu thập gì, web không SSL vẫn bị trình duyệt gắn nhãn "Không bảo mật" và bị Google đánh giá thấp hơn. Đây là chuyện hình ảnh và xếp hạng, không chỉ riêng bảo mật thanh toán.

SSL miễn phí có kém hơn loại trả tiền không? Về khả năng mã hoá thì loại miễn phí phổ biến không hề thua kém, cũng hiện ổ khoá và tránh cảnh báo như thường. Loại trả phí khác ở một số tính năng phụ và cam kết hỗ trợ, nhưng với web kinh doanh bình thường thì loại miễn phí đã thừa đủ.

Có ổ khoá là web tuyệt đối an toàn rồi đúng không? Không hẳn. SSL bảo vệ dữ liệu trên đường truyền, là lớp nền bắt buộc, nhưng an toàn tổng thể của web còn phụ thuộc nhiều yếu tố khác. Cứ coi ổ khoá là điều kiện cần, không phải điều kiện đủ.

Hiểu được SSL rồi, bạn đã nắm thêm một mảnh quan trọng trong bức tranh làm web. Nếu muốn web mới có sẵn ổ khoá an toàn mà không phải lo khâu kỹ thuật, bạn cứ ghé trang chủ xem bên mình làm web giá rẻ ra sao, hoặc để lại lời nhắn — gọi hoặc nhắn Zalo 0777 716 863, email lienhe@thietkewebgiare.dev, tư vấn hoàn toàn miễn phí. Phần kỹ thuật để bên mình lo, bạn chỉ cần tập trung vào việc mình giỏi nhất là bán hàng và chăm khách.