Bỏ qua tới nội dung chính
SEO & Audit kỹ thuật

SSL & Security Headers Checker: kiểm tra bảo mật website

SSL & Security Headers Checker: kiểm tra bảo mật website

SSL & Security Headers Checker kiểm tra hai thứ trong một lần quét: chứng chỉ HTTPS của bạn còn hạn hay sắp hết, và 6 header bảo mật quan trọng nhất có được cấu hình đúng không. Thiếu một trong hai, website vừa mất niềm tin từ khách vừa mở lỗ hổng cho vài kiểu tấn công phổ biến.

Dòng chữ "Not Secure" đang âm thầm đuổi khách

Từ Chrome 68 (2018), Google gắn cờ "Not Secure" ngay trên thanh địa chỉ cho mọi trang HTTP. Với site thương mại điện tử hay có form nhập liệu, dòng chữ đỏ đó là lý do nhiều người bỏ giỏ hàng giữa chừng mà không đọc thêm gì khác. HTTPS giờ không còn là "nên có" mà là điều kiện tối thiểu.

Chứng chỉ SSL hết hạn kiểu gì mà không ai để ý

Let's Encrypt — chứng chỉ miễn phí phổ biến nhất — chỉ có hạn 90 ngày. Nếu server không bật auto-renew, hoặc cron job renew bị lỗi âm thầm suốt vài tháng, bạn sẽ không biết cho tới ngày chứng chỉ hết hạn và toàn bộ site hiện cảnh báo đỏ chói trên mọi trình duyệt. Đây là kiểu sự cố hay xảy ra vào lúc ít ngờ tới nhất — thường là cuối tuần hoặc kỳ nghỉ lễ.

6 header bảo mật ít người để ý, nhưng hacker thì có

  • Strict-Transport-Security (HSTS) — ép trình duyệt luôn dùng HTTPS, chặn kiểu tấn công hạ cấp kết nối xuống HTTP.
  • X-Frame-Options — ngăn trang bị nhúng vào iframe ẩn để lừa click (clickjacking).
  • Content-Security-Policy (CSP) — giới hạn nguồn script/style được phép chạy, giảm rủi ro XSS.
  • X-Content-Type-Options — chặn trình duyệt tự đoán loại file, tránh bị lợi dụng chạy mã độc.
  • Referrer-Policy — kiểm soát thông tin URL bị rò rỉ sang site khác khi người dùng click link ra ngoài.
  • Permissions-Policy — giới hạn trang được phép dùng camera, mic, vị trí, kể cả qua iframe bên thứ ba.

Phần lớn các header này chỉ cần thêm một dòng cấu hình trên Nginx hoặc Apache, nhưng vì không ảnh hưởng giao diện nên rất dễ bị quên.

HTTPS có thật sự ảnh hưởng SEO?

Google xác nhận HTTPS là tín hiệu xếp hạng từ 2014, dù trọng số không lớn bằng nội dung hay backlink. Tác động gián tiếp mới lớn hơn: trang không an toàn có tỷ lệ thoát cao hơn, thời gian ở lại thấp hơn — những tín hiệu hành vi ảnh hưởng thứ hạng nhiều hơn bản thân yếu tố HTTPS.

Kiểm tra trong một lần quét

Nhập URL vào SSL & Security Headers Checker miễn phí để xem hạn chứng chỉ còn bao nhiêu ngày và checklist đủ 6 header ở trên. Không cần đăng nhập, không cần cài gì lên server.

Khắc phục nhanh

Nếu thiếu HSTS hay CSP, đa số hosting và CDN (Cloudflare, Nginx) đều cho thêm header này chỉ bằng vài dòng cấu hình có sẵn mẫu — không cần code phức tạp. Ưu tiên bật auto-renew SSL trước, vì chứng chỉ hết hạn là sự cố nghiêm trọng nhất trong danh sách này.

Quảng cáo

Câu hỏi thường gặp

Chứng chỉ SSL miễn phí (Let's Encrypt) có an toàn bằng loại trả phí không?
Có, về mặt mã hóa hoàn toàn tương đương. Khác biệt chủ yếu ở thời hạn (90 ngày so với 1 năm) và một số tính năng hỗ trợ doanh nghiệp.
Thiếu HSTS có nguy hiểm ngay lập tức không?
Không gây sự cố tức thì, nhưng để ngỏ khả năng bị tấn công hạ cấp kết nối xuống HTTP không mã hóa trong một số tình huống mạng không an toàn.
Làm sao biết chứng chỉ SSL sắp hết hạn?
Dùng công cụ kiểm tra để xem số ngày còn lại, hoặc bật cảnh báo email từ nhà cung cấp chứng chỉ/hosting.
Công cụ này có kiểm tra được site chưa có HTTPS không?
Có, công cụ vẫn quét được nhưng sẽ báo rõ site chưa dùng HTTPS và bỏ qua phần đọc chứng chỉ.
#Technical SEO #Công cụ miễn phí

Nhận bản tóm tắt SEO checklist qua email

Đăng ký để nhận bản tóm tắt các bước tối ưu SEO quan trọng nhất từ bài viết này.

Kiểm tra website của bạn miễn phí

Chạy SEO audit hoặc kiểm tra chất lượng traffic ngay — không cần đăng ký.