Bỏ qua tới nội dung chính

SSL & Security Headers Checker

Kiểm tra chứng chỉ SSL và các header bảo mật quan trọng cho website

Vì sao cần kiểm tra SSL & security headers?

Chứng chỉ SSL hết hạn hoặc thiếu security headers khiến website dễ bị tấn công và mất niềm tin từ khách truy cập. Công cụ kiểm tra cả hai chỉ trong một lần quét.

Một website an toàn cần nhiều hơn chỉ ổ khóa HTTPS trên thanh địa chỉ. Chứng chỉ SSL hết hạn sẽ khiến trình duyệt cảnh báo "Không an toàn" và chặn truy cập; thiếu các security header quan trọng lại mở ra lỗ hổng cho tấn công clickjacking, XSS hay rò rỉ thông tin referrer. SSL & Security Headers Checker kiểm tra chứng chỉ SSL của bạn (đơn vị cấp, hạn sử dụng, còn bao nhiêu ngày) và đối chiếu 6 header bảo mật quan trọng nhất: Strict-Transport-Security (HSTS), X-Frame-Options, Content-Security-Policy (CSP), X-Content-Type-Options, Referrer-Policy và Permissions-Policy. Mỗi mục hiển thị rõ có/thiếu để bạn biết cần cấu hình thêm gì trên server.

  • Hạn sử dụng chứng chỉ SSL, còn bao nhiêu ngày
  • Checklist 6 security header quan trọng nhất
  • Cảnh báo sớm trước khi chứng chỉ hết hạn
Dùng miễn phí
Quảng cáo

Cách dùng trong 3 bước

  1. 1Nhập URL website cần kiểm tra (phải là HTTPS để đọc được chứng chỉ).
  2. 2Bấm "Kiểm tra bảo mật" — công cụ bắt tay TLS và đọc response headers.
  3. 3Xem hạn chứng chỉ SSL và checklist 6 security header.

Câu hỏi thường gặp

Chứng chỉ SSL nên gia hạn trước bao lâu?
Nên gia hạn trước ít nhất 14 ngày. Nếu dùng Let's Encrypt (90 ngày/lần), nên bật auto-renew để tránh quên gia hạn.
HSTS header dùng để làm gì?
Strict-Transport-Security buộc trình duyệt luôn kết nối qua HTTPS, ngăn kẻ tấn công hạ cấp kết nối xuống HTTP không mã hóa (downgrade attack).
Thiếu X-Frame-Options có nguy hiểm không?
Có. Thiếu header này (hoặc CSP frame-ancestors) khiến trang dễ bị nhúng vào iframe ẩn để lừa người dùng click (clickjacking).
Công cụ có kiểm tra được site HTTP (không SSL) không?
Có, công cụ vẫn quét được nhưng sẽ báo thiếu HTTPS và bỏ qua phần kiểm tra chứng chỉ vì không có SSL để đọc.