SSL & Security Headers Checker: kiểm tra bảo mật website
SSL & Security Headers Checker kiểm tra hai thứ trong một lần quét: chứng chỉ HTTPS của bạn còn hạn hay sắp hết, và 6 header bảo mật quan trọng nhất có được cấu hình đúng không. Thiếu một trong hai, website vừa mất niềm tin từ khách vừa mở lỗ hổng cho vài kiểu tấn công phổ biến.
Dòng chữ "Not Secure" đang âm thầm đuổi khách
Từ Chrome 68 (2018), Google gắn cờ "Not Secure" ngay trên thanh địa chỉ cho mọi trang HTTP. Với site thương mại điện tử hay có form nhập liệu, dòng chữ đỏ đó là lý do nhiều người bỏ giỏ hàng giữa chừng mà không đọc thêm gì khác. HTTPS giờ không còn là "nên có" mà là điều kiện tối thiểu.
Chứng chỉ SSL hết hạn kiểu gì mà không ai để ý
Let's Encrypt — chứng chỉ miễn phí phổ biến nhất — chỉ có hạn 90 ngày. Nếu server không bật auto-renew, hoặc cron job renew bị lỗi âm thầm suốt vài tháng, bạn sẽ không biết cho tới ngày chứng chỉ hết hạn và toàn bộ site hiện cảnh báo đỏ chói trên mọi trình duyệt. Đây là kiểu sự cố hay xảy ra vào lúc ít ngờ tới nhất — thường là cuối tuần hoặc kỳ nghỉ lễ.
6 header bảo mật ít người để ý, nhưng hacker thì có
- Strict-Transport-Security (HSTS) — ép trình duyệt luôn dùng HTTPS, chặn kiểu tấn công hạ cấp kết nối xuống HTTP.
- X-Frame-Options — ngăn trang bị nhúng vào iframe ẩn để lừa click (clickjacking).
- Content-Security-Policy (CSP) — giới hạn nguồn script/style được phép chạy, giảm rủi ro XSS.
- X-Content-Type-Options — chặn trình duyệt tự đoán loại file, tránh bị lợi dụng chạy mã độc.
- Referrer-Policy — kiểm soát thông tin URL bị rò rỉ sang site khác khi người dùng click link ra ngoài.
- Permissions-Policy — giới hạn trang được phép dùng camera, mic, vị trí, kể cả qua iframe bên thứ ba.
Phần lớn các header này chỉ cần thêm một dòng cấu hình trên Nginx hoặc Apache, nhưng vì không ảnh hưởng giao diện nên rất dễ bị quên.
HTTPS có thật sự ảnh hưởng SEO?
Google xác nhận HTTPS là tín hiệu xếp hạng từ 2014, dù trọng số không lớn bằng nội dung hay backlink. Tác động gián tiếp mới lớn hơn: trang không an toàn có tỷ lệ thoát cao hơn, thời gian ở lại thấp hơn — những tín hiệu hành vi ảnh hưởng thứ hạng nhiều hơn bản thân yếu tố HTTPS.
Kiểm tra trong một lần quét
Nhập URL vào SSL & Security Headers Checker miễn phí để xem hạn chứng chỉ còn bao nhiêu ngày và checklist đủ 6 header ở trên. Không cần đăng nhập, không cần cài gì lên server.
Khắc phục nhanh
Nếu thiếu HSTS hay CSP, đa số hosting và CDN (Cloudflare, Nginx) đều cho thêm header này chỉ bằng vài dòng cấu hình có sẵn mẫu — không cần code phức tạp. Ưu tiên bật auto-renew SSL trước, vì chứng chỉ hết hạn là sự cố nghiêm trọng nhất trong danh sách này.
Câu hỏi thường gặp
Chứng chỉ SSL miễn phí (Let's Encrypt) có an toàn bằng loại trả phí không?
Thiếu HSTS có nguy hiểm ngay lập tức không?
Làm sao biết chứng chỉ SSL sắp hết hạn?
Công cụ này có kiểm tra được site chưa có HTTPS không?
Nhận bản tóm tắt SEO checklist qua email
Đăng ký để nhận bản tóm tắt các bước tối ưu SEO quan trọng nhất từ bài viết này.
Nhập email để tải template audit SEO 1 trang, dùng ngay cho website của bạn.
Kiểm tra website của bạn miễn phí
Chạy SEO audit hoặc kiểm tra chất lượng traffic ngay — không cần đăng ký.