Cách sử dụng giao thức HTTPS và chứng chỉ SSL để bảo vệ cửa hàng trực tuyến của bạn

Khi khách hàng mua thứ gì đó từ cửa hàng của bạn, họ sẽ chia sẻ dữ liệu riêng tư của họ — tên, email, chi tiết thẻ tín dụng — với bạn. Là người bán, bạn muốn giữ an toàn cho dữ liệu dễ bị tổn thương này khỏi tin tặc, kẻ lừa đảo và kẻ trộm dữ liệu. Điều đó rất quan trọng để xây dựng niềm tin với khán giả của bạn.

Bạn có thể và nên bảo vệ dữ liệu khách hàng của mình cũng như tăng cường niềm tin vào doanh nghiệp của mình bằng giao thức HTTPS và chứng chỉ SSL. Những công cụ đó không chỉ có thể cải thiện tính bảo mật và tăng độ tin cậy của bạn mà còn có thể giúp cửa hàng của bạn xếp hạng tốt hơn trong các công cụ tìm kiếm.

nếu bạn bán trực tuyến với Ecwid, bạn sẽ hài lòng khi biết rằng dữ liệu khách hàng của bạn đã được bảo vệ. Tuy nhiên, việc sử dụng chứng chỉ SSL có thể mang lại một số lợi ích bổ sung.

Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách hoạt động của giao thức HTTPS và chứng chỉ SSL cũng như cách bạn có thể lấy chúng cho trang web của mình.

Hiểu chứng chỉ SSL và giao thức HTTPS

Trên internet, mọi dữ liệu được truyền từ thiết bị này sang thiết bị khác theo những quy tắc nhất định hoặc giao thức.

Đối với các trang web, giao thức này được gọi là Giao thức truyền siêu văn bản (HTTP). Nó chuyển dữ liệu mà khách hàng nhập trên trang web của bạn đến máy chủ lưu trữ trang web của bạn và sau đó giúp gửi phản hồi đến trình duyệt. Ví dụ: người dùng nhấn nút và một trang mới sẽ mở ra hoặc họ điền vào mẫu đăng ký email và xem xác nhận đăng ký thành công.

Vấn đề với HTTP là nó không bảo vệ bất kỳ dữ liệu nào được truyền từ trình duyệt đến máy chủ. Mọi dữ liệu đi qua HTTP về cơ bản là “trần trụi”.

Một sự tương tự hay là hãy nghĩ về hai học sinh chuyển các ghi chú trong lớp học. Bất kỳ bạn cùng lớp nào của họ đều có thể đọc, sao chép hoặc thậm chí thay thế ghi chú. Điều này cũng tương tự với dữ liệu khách hàng của bạn: kẻ xấu có thể đánh cắp thông tin thẻ tín dụng và tiền từ đó.

Đó là lý do tại sao một giao thức mới được tạo ra để bảo vệ dữ liệu: HTTPS (Giao thức truyền siêu văn bản Bảo mật). Với HTTPS, tất cả dữ liệu truyền giữa người dùng và máy chủ web đều được mã hóa. Mã hóa này phức tạp đến mức nó gần không thể hack và sử dụng dữ liệu.

Để sử dụng giao thức HTTPS, trước tiên trang web của bạn cần có chứng chỉ SSL (Lớp cổng bảo mật).

Chứng chỉ SSL về cơ bản là chìa khóa để mã hóa dữ liệu. Nó bảo vệ dữ liệu ở ba cấp độ:

1. Mã hóa dữ liệu. Tin tặc sẽ không thể xem thông tin người dùng đã nhập trên trang web hoặc theo dõi hành động của người dùng trên trang. Hãy coi nó như một ghi chú được viết bằng mật mã - nó chỉ có thể được đọc bởi người biết chìa khóa.
2. Toàn vẹn dữ liệu. Tin tặc không thể thay thế hoặc bóp méo dữ liệu được truyền đi. Hơn nữa, nếu không biết khóa thì không thể viết, chỉnh sửa hoặc thao tác dữ liệu, giống như trong tình huống ghi chú được mã hóa.
3. Xác thực. SSL đảm bảo rằng người dùng đang ở trên một trang web đáng tin cậy chứ không phải trên trang của hacker. Nếu chỉ có hai người tham gia biết chìa khóa, họ chắc chắn biết họ đã nhận được ghi chú từ ai. Một người lạ không thể chuyển ghi chú của chính họ và lấy thông tin bằng cách gian lận.

Bạn có thể xem liệu một trang web có được bảo vệ bằng chứng chỉ SSL thông qua giao thức HTTPS trong địa chỉ URL hay không. Hầu hết các trình duyệt đều biểu thị nó một cách trực quan dưới dạng biểu tượng khóa:

Chứng chỉ SSL được phân phối bởi các tổ chức đặc biệt - trung tâm chứng nhận.

Ai nên sử dụng SSL (và tại sao)

SSL là bắt buộc đối với các trang web nơi người dùng nhập thông tin nhạy cảm — chẳng hạn như chi tiết thẻ tín dụng. Thương mại điện tử những cửa hàng không muốn mất khách hàng đã sử dụng giao thức HTTPS được một thời gian.

Nhưng thông thường, các cửa hàng trực tuyến chỉ bảo vệ trang đăng ký và thanh toán bằng SSL, vì đó là nơi duy nhất khách hàng của họ chia sẻ dữ liệu cá nhân. Phần còn lại của trang web thường hoạt động trên HTTP không an toàn.

Hôm nay, HTTPS là điều bắt buộc đối với mọi trang web. Có một số lý do cho nó.

Trình duyệt gắn cờ các trang web không được bảo vệ

Chrome và Firefox, hai trong số những trình duyệt phổ biến nhất trên thế giới, đánh dấu trực quan các trang web không sử dụng SSL.

Hiện tại, chỉ hiển thị biểu tượng thông tin màu xám. Nhưng trong tương lai, các trình duyệt kế hoạch thay đổi chỉ báo bảo mật thành hình tam giác màu đỏ cho các trang trên HTTP. Khách hàng của bạn đã quen coi đây là một chỉ báo "cảnh báo".

Do đó, việc không sử dụng SSL có thể khiến mọi người ngại mua hàng từ trang web của bạn.

Sử dụng SSL cải thiện thứ hạng

Trở lại năm 2014, Google đã công bố rằng nó sẽ xem xét việc sử dụng SSL làm tín hiệu xếp hạng. Điều này có nghĩa là các trang web sử dụng SSL sẽ tăng lưu lượng truy cập từ công cụ tìm kiếm.

Yêu cầu dịch vụ thanh toán

Ngày càng có nhiều dịch vụ thanh toán yêu cầu HTTPS để làm việc với chúng. Ví dụ, trả của Apple công trinh có thể với HTTPS.

Nó làm tăng sự tin tưởng

Những lo ngại về bảo mật thanh toán là một trong 10 lý do hàng đầu dẫn đến việc bỏ giỏ hàng. Khi bạn thêm chứng chỉ SSL vào cửa hàng của mình, bạn truyền đạt trực quan cho người dùng rằng dữ liệu thanh toán của họ được an toàn.

Tất nhiên, sự tin cậy nhiều hơn đồng nghĩa với việc doanh số bán hàng cao hơn.

Nếu bạn muốn khách hàng dễ dàng tìm thấy cửa hàng của mình trong các công cụ tìm kiếm và tin tưởng bạn dễ dàng hơn, đừng trì hoãn việc chuyển sang HTTPS.

Cách nhận chứng chỉ SSL và chuyển sang HTTPS

Để chuyển sang HTTPS, trước tiên bạn cần mua và cài đặt chứng chỉ SSL trên trang web. Quá trình này có thể đơn giản hoặc phức tạp hơn đối với một số cửa hàng, tùy thuộc vào loại trang web bạn có.

1. Bạn đang sử dụng Trang web tức thì của Ecwid

Bất kỳ ai đã đăng ký với Ecwid đều có được một trang web có tên miền được xây dựng trong cửa hàng trực tuyến. Trang web này hoàn toàn miễn phí cho tất cả người dùng.

Bạn có thể biết đây là Trang web tức thì của Ecwid.

Nếu bạn sử dụng trang web này thì bạn đã có chứng chỉ SSL theo mặc định. Cửa hàng trực tuyến trên Trang web tức thì của Ecwid tuân thủ các tiêu chuẩn quốc tế về truyền dữ liệu an toàn.

Hãy thử ngay bây giờ — truy cập Trang web tức thì của bạn và xem kỹ thanh địa chỉ trong trình duyệt. Bạn sẽ thấy biểu tượng khóa màu xanh lục có thông báo “Bảo mật” bên cạnh URL. Hãy yên tâm rằng cửa hàng trực tuyến của bạn được an toàn.

Bạn có muốn liên kết Trang web tức thì với miền tùy chỉnh của mình không (để nó chuyển hướng đến mysite.com và không mysite.ecwid.com)?

Bạn nhận được chứng chỉ SSL miễn phí cho hành động này cũng vậy. Chỉ cần làm theo các bước sau:

1. Đăng nhập vào cửa hàng Ecwid của bạn, sau đó đi tới Cài đặt → Trang web tức thì và nhấp vào nút “Thay đổi địa chỉ”.
2. Nhấp vào trường “Sử dụng tên miền của bạn” và làm theo hướng dẫn xuất hiện trên màn hình.

2. Bạn đã thêm Ecwid trên trang web của riêng bạn

Bạn có thể thiết lập một cửa hàng Ecwid trên bất kì trang web và hãy bình tĩnh với bảo mật dữ liệu khách hàng. Ví dụ, đây có thể là blog WordPress, trang web Adobe Muse hoặc trang HTML tĩnh của riêng bạn.

Trong trường hợp bạn đã đi theo con đường này, bạn không cần phải lo lắng về sự an toàn cho dữ liệu của khách hàng. Vì dữ liệu được truyền qua các máy chủ được bảo vệ nghiêm ngặt của chúng tôi nên tất cả dữ liệu đều được lưu giữ và xử lý bởi chính Ecwid Được bảo vệ SSL máy chủ.

Nếu bạn đã thêm Ecwid vào trang web không có chứng chỉ SSL của riêng mình, khách hàng của bạn sẽ không nhìn thấy biểu tượng “khóa” an toàn ở bất kỳ đâu ngoại trừ khi thanh toán, điều này có thể khiến họ khó chịu.

Dưới đây là một số cách bạn có thể mua và sử dụng chứng chỉ SSL cho các nhà xây dựng trang web khác nhau:

wix: Bạn có thể sử dụng chứng chỉ SSL miễn phí với Wix. Trước tiên, bạn phải kích hoạt chứng chỉ này bằng cách vào cài đặt, sau đó làm theo hướng dẫn.

Weebly: bạn có thể tự động thêm mộtn Chứng chỉ SSL cho trang Weebly của bạn.

Joomla, WordPress, Drupal: bạn sẽ cần mua chứng chỉ SSL từ công ty đăng ký tên miền hoặc nhà cung cấp dịch vụ lưu trữ và cài đặt chứng chỉ đó trên trang web của mình theo hướng dẫn (có thể bạn sẽ cần nhà phát triển):

• Dành cho Joomla
• Dành cho Drupal
• Đối với WordPress

Tự xây dựng các trang web: mua chứng chỉ SSL từ nhà cung cấp dịch vụ lưu trữ/tên miền của bạn và tự cài đặt nó hoặc với sự trợ giúp của nhân viên CNTT của bạn.

Hãy làm theo hướng dẫn bên dưới để tìm hiểu về các loại chứng chỉ SSL khác nhau và nơi mua chúng.

Các loại chứng chỉ SSL

Về cơ bản, có 3 loại chứng chỉ. Chúng khác nhau về tốc độ phát hành và mức độ kiểm tra của người bán.

1. Chứng chỉ xác thực tên miền (DV)

Tùy chọn đơn giản nhất. Sau khi mua chứng chỉ DV SSL, bạn sẽ nhận được liên kết để xác minh quyền sở hữu miền trên địa chỉ email được liệt kê của bạn.

DV được phát hành gần như ngay lập tức. Đây cũng là lựa chọn rẻ nhất, thậm chí một số người bán còn cung cấp miễn phí.

2. Chứng chỉ có xác nhận của tổ chức (OV)

Để có được chứng chỉ SSL OV, bạn cần xác nhận sự tồn tại của công ty hoặc LLC của mình bằng cách cung cấp cấp giấy chứng nhận thẩm quyền các giấy tờ cần thiết.

Chứng chỉ SSL OV có thể mất 1-3 ngày để có được. Chứng chỉ này luôn cần phải được thanh toán.

3. Chứng chỉ có xác thực mở rộng (EV)

Chứng chỉ EV có thể được nhận dạng bằng tên công ty trên nền màu xanh lá cây gần địa chỉ trang web. Bạn có thể đã nhìn thấy chúng trên các trang web tài chính:

Trước khi có thể cấp EV SSL, cơ quan chứng nhận sẽ tiến hành kiểm tra kỹ lưỡng. Nó có thể mất 3-10 ngày, và hơn thế nữa, để có được chứng chỉ EV.

Chứng chỉ này phù hợp nhất cho các ngân hàng và hệ thống thanh toán.

DV, OV, EV - bất kể về loại chứng chỉ SSL bạn chọn, hãy hiểu rằng tất cả chúng đều bảo vệ dữ liệu của bạn cùng một cách. Đây là lý do tại sao bạn có thể sử dụng tùy chọn rẻ nhất — SSL cơ bản có xác minh miền — mà không cần lo lắng về bảo mật của mình. Bạn sẽ cần gia hạn chứng chỉ SSL của mình thường xuyên — nếu chứng chỉ không được gia hạn vào năm tới, bạn không chỉ mất đi sự bảo vệ mà trang web thậm chí có thể không mở cho hầu hết người dùng.

Chứng chỉ SSL sẽ có giá khoảng $50/năm. Một số nhà cung cấp bán các biến thể đắt tiền hơn, nhưng bạn nên tránh chi tiêu quá mức. Bảo mật dữ liệu cơ bản được cung cấp vẫn giữ nguyên, bất kể bạn mua SSL $50 hay $150.

Mặc dù một số nhà cung cấp cung cấp chứng chỉ SSL miễn phí, nhưng chúng là những biến thể bị “pha loãng” nghiêm trọng mà không mang lại bất kỳ lợi ích nào. Bạn không nên mua cái đầu tiên bạn nhìn thấy.

Chứng chỉ SSL được cấp bởi “trung tâm tin cậy”. Một số trung tâm tin cậy phổ biến hơn là:

• Comodo
• Symantec
• Digicert
• geotrust

Bạn có thể mua chứng chỉ do các trung tâm này cấp từ các nhà đăng ký tên miền, trang web lưu trữ và đại lý SSL. Ngoài ra còn có chứng chỉ miễn phí.

Dưới đây, chúng tôi sẽ giúp bạn hiểu rõ hơn về các lựa chọn.

1. Mua chứng chỉ SSL từ nhà đăng ký tên miền hoặc dịch vụ lưu trữ

Hầu hết các nhà đăng ký tên miền và dịch vụ lưu trữ cũng bán chứng chỉ SSL. Trong một số trường hợp, nhà đăng ký thậm chí có thể cấp chứng chỉ miễn phí dưới dạng quà tặng hoặc mua hàng.

Mua từ công ty đăng ký tên miền hoặc dịch vụ lưu trữ sẽ hoạt động hiệu quả vì nó giúp bạn dễ dàng chuyển từ HTTP sang HTTPS.

Dưới đây là một số tùy chọn phổ biến:

• GoDaddy – $57/năm cho mỗi trang web
• Bluehost – miễn phí tới $49,9/năm
• namecheap – bắt đầu từ $9/năm
• eNom – $ 12,95 / năm
• Siteground – SSL miễn phí khi mua hosting

Nếu công ty đăng ký tên miền hoặc công ty lưu trữ web của bạn cũng cung cấp chứng chỉ SSL, chúng tôi khuyên bạn nên mua một chứng chỉ từ họ, ngay cả khi nó đắt hơn một chút. Điều này sẽ giúp bạn tiết kiệm hàng giờ khi cài đặt chứng chỉ và chuyển sang HTTPS.

2. Nhận chứng chỉ SSL miễn phí

Nếu máy chủ/nhà đăng ký web của bạn không bán chứng chỉ SSL hoặc nếu ngân sách của bạn bị hạn chế, bạn có thể chọn chứng chỉ miễn phí. Chứng chỉ miễn phí chỉ có một loại - Xác thực tên miền (DV). Thế là đủ để bảo vệ dữ liệu.

Chúng tôi đề xuất các dịch vụ sau:

CloudFlare

CloudFlare cung cấp chứng chỉ SSL miễn phí với thời hạn đăng ký lên tới 15 năm. Ngoài việc bảo vệ dữ liệu, nó còn có các lợi ích khác như bảo vệ cơ bản khỏi các cuộc tấn công DDoS và tự động tăng tốc trang web của bạn.

Cũng có những nhược điểm:

• Nó chỉ hoạt động trong các trình duyệt mới. Nếu khách hàng của bạn sử dụng các trình duyệt cũ hơn (cũ hơn Internet Explorer 11, Firefox 2, Opera 8, Google Chrome v5.0.342.0, Safari 2.1, Mobile Safari cho iOS 4.0, Android 3.0 (Honeycomb), Windows Phone 7), họ sẽ thắng' không thấy “https” trên trang web của bạn.
• Một chứng chỉ chung bảo vệ một số trang web cùng một lúc. Tuy nhiên, nó sẽ bảo vệ trang web của bạn giống như một trang web cá nhân.
• Cloudflare sẽ yêu cầu bạn sử dụng dữ liệu máy chủ của riêng họ và lưu lượng truy cập trang web của bạn sẽ đi qua máy chủ Cloudflare, điều này có thể làm giảm tốc độ tải (mặc dù không nhất thiết phải như vậy).

Những nhược điểm này không nghiêm trọng và nhìn chung, Cloudflare là lựa chọn tối ưu cho những ai chưa sẵn sàng chi tiền cho chứng chỉ SSL nhưng muốn bắt đầu bảo vệ dữ liệu khách hàng của mình. Nếu bạn chọn giữa việc duy trì HTTP hoặc nhận chứng chỉ SSL từ Cloudflare, chúng tôi khuyên bạn nên chọn tùy chọn thứ hai.

Để nhận chứng chỉ SSL từ Cloudflare, đăng ký và làm theo hướng dẫn.

Hãy mã hóa

Đây là dịch vụ miễn phí không có nhược điểm của Cloudflare nhưng nó cũng có những hạn chế riêng.

Hãy mã hóa cung cấp chứng chỉ chỉ trong ba tháng, do đó bạn sẽ phải thiết lập gia hạn tự động, điều này sẽ yêu cầu quyền truy cập vào cài đặt máy chủ trang web của bạn (có sẵn trên VPS lưu trữ như Amazon AWS, Linode, Digital Ocean). Điều đó có nghĩa là bạn có thể sẽ cần một quản trị viên hệ thống.

Có hai tùy chọn để nhận chứng chỉ SSL từ Let's Encrypt:

1. Bật thủ công letencrypt.org thông qua Phần “Chế độ thủ công”
2. Bán tự động hoặc tự động (tùy thuộc vào phần mềm máy chủ của cửa hàng trực tuyến của bạn) thông qua certbot.

3. Mua chứng chỉ SSL từ đại lý

Nếu bạn không muốn mất thời gian điều chỉnh chứng chỉ Let's Encrypt và không thích sử dụng Cloudflare, bạn có thể mua chứng chỉ SSL từ một trong những người bán lại:

• DigiCert
• RapidSSL
• SSLS
• Toàn cầu

Chọn bất kỳ đại lý nào bạn thích và hãy nhớ rằng không có nhiều ý nghĩa khi mua tùy chọn đắt nhất vì tất cả họ đều sẽ bảo vệ tốt trang web của bạn.

Làm thế nào để không bị mất lưu lượng truy cập khi bạn chuyển sang HTTPS

Khi bạn chuyển từ HTTP sang HTTPS, địa chỉ trang web sẽ thay đổi đối với rô-bốt tìm kiếm (từ  → https://yoursite.com). This can negatively affect your rankings in search engines.

Đọc Khuyến nghị của Google để duy trì thứ hạng của bạn và thậm chí làm cho nó tốt hơn. Chúng tôi thực sự khuyên bạn nên đọc chúng để tránh mất khách hàng nếu bạn tự cài đặt chứng chỉ SSL. Bạn cũng có thể hỏi nhóm hỗ trợ của người xây dựng trang web của mình xem những điều kiện này có được đáp ứng khi di chuyển HTTP → HTTPS của họ hay không.

***

Hãy tóm tắt các khuyến nghị của chúng tôi:

• Nếu bạn sử dụng Ecwid Instant Site thì không sao cả: toàn bộ trang web đều sử dụng HTTPS.
• Đối với các trang web Wix và Weebly, hãy bật chứng chỉ SSL của bạn trong cài đặt.
• Nếu bạn bán hàng trên trang web của riêng mình, hãy kiểm tra với nhà cung cấp tên miền/máy chủ lưu trữ xem bạn có chứng chỉ SSL hay không. Nếu không, hãy yêu cầu nó.
• Nếu nhà cung cấp tên miền/dịch vụ lưu trữ của bạn không bán chứng chỉ SSL, hãy nhận chứng chỉ SSL miễn phí trên Cloudflare hoặc mua từ người bán lại.

• Quyền riêng tư dữ liệu trong thương mại điện tử: Xu hướng mới nổi và các phương pháp hay nhất cho năm 2024
• Trạng thái bảo mật thanh toán thương mại điện tử
• Cách sử dụng giao thức HTTPS và chứng chỉ SSL để bảo vệ cửa hàng trực tuyến của bạn
• Gian lận thương mại điện tử: Cách bảo vệ cửa hàng của bạn khỏi những trò lừa đảo mua sắm trực tuyến
• Cách bảo vệ cửa hàng trực tuyến của bạn khỏi các mối đe dọa mạng