{ freetool24 }
Network Tools

Chứng Chỉ SSL/TLS Giải Thích Đơn Giản (Không Thuật Ngữ Khó Hiểu)

Chứng chỉ HTTPS hoạt động như thế nào, tại sao trình duyệt cảnh báo bạn, và cách kiểm tra ngày hết hạn cũng như vấn đề chuỗi chứng chỉ trên tên miền của bạn.

7 phút đọc

Security lock concept

Khi bạn thấy biểu tượng ổ khóa trên trình duyệt, TLS (thường vẫn được gọi là SSL) đang mã hóa lưu lượng truy cập giữa bạn và máy chủ. Một chứng chỉ gắn kết khóa công khai với tên miền (và đôi khi là danh tính công ty) để trình duyệt của bạn có thể xác minh rằng bạn đang kết nối với trang web thật, chứ không phải kẻ mạo danh trên cùng mạng Wi‑Fi.

Chứng chỉ thực sự chứng minh điều gì

  • Domain Validation (DV) — Bạn kiểm soát tên miền; người truy cập được mã hóa nhưng chứng minh danh tính còn hạn chế.
  • Organization Validation (OV) / Extended Validation (EV) — Kiểm tra chặt chẽ hơn về pháp nhân; EV từng hiển thị thanh xanh nổi bật nhưng ít được chú ý hơn trong các trình duyệt hiện đại.

Với hầu hết các trang web, chứng chỉ DV miễn phí từ Let's Encrypt là đủ: mã hóa + tự động gia hạn.

Chuỗi chứng chỉ

Trình duyệt tin tưởng các root CA được tích hợp sẵn trong hệ điều hành. Máy chủ của bạn gửi leaf cert + intermediates; trình duyệt truy ngược chuỗi lên đến root được tin cậy. Nếu thiếu một intermediate, một số client sẽ hiển thị "certificate not trusted" dù OpenSSL trên máy tính của bạn vẫn trông bình thường.

Luôn cấu hình máy chủ để phục vụ full chain theo tài liệu hướng dẫn của CA của bạn.

Hết hạn và gia hạn

Chứng chỉ có ngày hết hạn. Let's Encrypt cấp chứng chỉ ngắn hạn (90 ngày) để khuyến khích tự động hóa. Hãy thiết lập ACME renewal (Certbot, Caddy, Traefik, hoặc bảng điều khiển của nhà cung cấp hosting) và theo dõi các lỗi gia hạn.

Chứng chỉ hết hạn sẽ làm gián đoạn:

  • HTTPS đối với người dùng
  • Các API sử dụng TLS pinning hoặc client nghiêm ngặt
  • Webhooks nếu đầu nhận của bạn kiểm tra TLS đầu ra kém

Tên miền không khớp

Chứng chỉ cho www.example.com có thể không bao phủ example.com trừ khi các mục SAN bao gồm cả hai—hoặc bạn dùng wildcard *.example.com (vốn không bao phủ apex trần).

Hãy dùng công cụ SSL Checker của chúng tôi để xem ngày hết hạn, nhà cấp phát và phạm vi bao phủ tên miền từ góc nhìn của internet công cộng.

DNS trước TLS

TLS phụ thuộc vào việc client kết nối đúng IP. Sau khi di chuyển, hãy xác nhận các bản ghi A/AAAA/CNAME bằng DNS Lookup trước khi dành thời gian gỡ lỗi cipher suite.

Nếu chuyển hướng HTTP hoạt động không đúng, công cụ HTTP Status Checker giúp bạn kiểm tra chuỗi 301/302 từ httphttps.

Danh sách kiểm tra thực tế

  • Bật HTTPS ở mọi nơi; chuyển hướng HTTP bằng 301
  • Chỉ bật HSTS khi bạn chắc chắn tất cả subdomain đều hỗ trợ HTTPS
  • Tự động hóa việc gia hạn và cảnh báo khi còn < 14 ngày đến hết hạn
  • Kiểm tra từ mạng di động và proxy doanh nghiệp, không chỉ từ văn phòng của bạn

HTTPS là yêu cầu tối thiểu cho SEO, bảo mật và sự tin tưởng của người dùng—và việc khắc phục các vấn đề về chuỗi chứng chỉ hay tên miền thường nhanh hơn bạn nghĩ khi đã biết cần tìm gì.

Quay lại tất cả bài viếtDuyệt công cụ