Khi truy cập vào một website, thực tế người sử dụng phải kết nối qua rất nhiều mạng lưới, thông tin được gửi qua lại trên nhiều máy chủ. Hơn nữa, với nhu cầu làm việc di động, người dùng có thể truy cập vào các dịch vụ trên máy chủ từ bất kỳ nơi nào: văn phòng chính, tại nhà, từ quán cafe, hay với thiết bị mobile trên đường. Và tại bất kỳ một điểm nào trên các kết nối đó, thông tin đều có thể bị thất thoát. Với yêu cầu bảo mật trọn vẹn thông tin, chứng chỉ số SSL được tạo ra nhằm đảm bảo an toàn giao dịch thông tin cho khách hàng cũng như cho uy tín của doanh nghiệp kinh doanh trực tuyến.

Chứng chỉ số SSL tạo kết nối mã hoá giữa người sử dụng và các dịch vụ trực tuyến trên máy chủ

Chứng chỉ số là gì?

Về định nghĩa kỹ thuật, chứng chỉ số là một tệp tin điện tử, được tạo ra bởi một số công ty (gọi là Certificate Authority, gọi tắt là CA, trong tiếng Anh) được chứng nhận trên thế giới. Mỗi tệp tin này được dùng để xác thực một thông tin nhất định. Ví dụ như thông tin về một cá nhân, hay một tên miền, hay các tên miền con của một tên miền… Chứng chỉ số được tạo ra với các giao thức mã hoá SSL – Secure Sockets Layer và TLS – Transport Layer Security.

Chứng chỉ số làm việc thế nào?

Hiểu một cách cơ bản nhất, với máy chủ hosting được cài đặt chứng chỉ số, mỗi khi người dùng truy cập vào tên miền tương ứng với chứng chỉ số đó, hệ thống sẽ tạo ra một kết nối “đường hầm” giữa máy chủ và thiết bị của người dùng. Dữ liệu được mã hóa, lưu chuyển trong đường hầm này. Sự mã hóa là quá trình thay đổi dữ liệu thành một định dạng không thể giải mã được và chỉ có thể đọc lại được với chìa khóa giải mã chính xác. Do vậy, kết nối giữa người dùng và máy chủ là kết nối an toàn, người dùng có thể tin tưởng gửi các thông tin cá nhân, mang tính nhạy cảm qua Internet.

Lưu ý rằng thông tin được lưu chuyển an toàn qua mạng Internet với kết nối SSL. Nhưng khi thông tin được lưu trữ trên máy chủ, tùy thuộc vào người quản trị máy chủ lưu trữ thông tin thế nào, bảo mật ra sao, thông tin có bị lộ hay không. Hai vấn đề đó hoàn toàn khác nhau, người dùng nên lưu ý. Đó cũng là lý do mà có một số quy định, điều luật về bảo vệ thông tin người dùng, như Ủy ban Châu Âu đưa ra các tiêu chuẩn GDPR, hay tại Mỹ có các tiêu chuẩn CPA, CCPA, CCRA… Tại Việt Nam, chính phủ cũng đã có nghị định 13/2023/NĐ-CP quy định về việc bảo vệ dữ liệu cá nhân người dùng, được áp dụng ở cả các giao dịch trực tiếp cũng như trên mạng.

Chứng chỉ số có thể được cài đặt cho website, cho email cũng như các dịch vụ khác như FTP, webmail…

Tại sao doanh nghiệp nên mua chứng chỉ số?

Trước hết, bàn về độ tin cậy.

Những websites có dùng chứng chỉ số SSL, truy cập qua https, có độ tin cậy cao hơn. Từ ngày 01/01/2017, các phần mềm duyệt web thông dụng như Chrome, Firefox đã bắt đầu hiển thị icon riêng cho các websites có hoặc không dùng SSL. Với các sites không có SSL, hoặc có SSL mà không đầy đủ, sẽ có icon không bảo mật ở cạnh ô địa chỉ.

Lưu ý rằng, kể cả các websites có cài đặt SSL, mà dữ liệu truy cập không hoàn toàn qua https, sẽ vẫn bị cảnh báo. Nguyên nhân là do một phần dữ liệu được gọi tới qua giao thức http thường. Trong trường hợp này, bạn cần kiểm tra lại mã nguồn đang sử dụng, hoặc các bài viết trên website để cập nhật hoàn toàn về https.

Với các chứng chỉ số SSL loại OV hay EV, doanh nghiệp cần phải chứng minh hoạt động qua một số giấy tờ như đăng ký kinh doanh, liên hệ xác nhận qua điện thoại. Chúng được xem như một “hộ chiếu” điện tử để xác nhận cho khách hàng về sự tồn tại thực của doanh nghiệp đó. Khi website của doanh nghiệp có khả năng dẫn người truy cập đến bước đăng ký mua sản phẩm, dịch vụ thì đó là một thành công. Tuy nhiên, có nhiều doanh nghiệp Việt Nam “quên mất” việc bảo mật thông tin của người đăng ký qua trang web của mình. Với trình độ dân trí ngày càng cao, người sử dụng Internet đã hiểu biết hơn khi đặt mua hàng qua mạng. Với bất kỳ trang web nào có yêu cầu đăng ký thông tin, nếu không có chứng chỉ số SSL thì người truy cập sẽ không cảm thấy an toàn khi khai báo thông tin cá nhân để mua bán sản phẩm/dịch vụ, tạo một tài khoản sử dụng hay đơn giản nhất là đăng ký nhận các bản tin từ website đó.

Từ các website không có mục đích thương mại có yêu cầu khách đăng nhập tài khoản, tới các website có lượng giao dịch lớn như website của ngân hàng, việc cần có một chứng chỉ số SSL là vô cùng quan trọng trong việc xác nhận sự bảo mật thông tin của tổ chức, doanh nghiệp cho người sử dụng. Với mục đích đó, website có chứng chỉ số SSL sẽ làm tăng sự tin tưởng của khách hàng đối với công ty bạn và dẫn đến khả năng mua sản phẩm, dịch vụ của doanh nghiệp cao hơn.

Về mặt kỹ thuật

Google coi https là một trong những yếu tố hàng đầu để ghi nhận nội dung và hiển thị trong bảng kết quả khi người dùng tìm kiếm. Bên cạnh đó, phần mềm duyệt web Chrome từ phiên bản 62 sẽ hiển thị icon insecure với các website không sử dụng SSL. Chắc chắn bạn không muốn website doanh nghiệp của mình bị đánh giá như vậy! Các websites có độ tin cậy cao sẽ dễ dàng hơn trong việc được Google ghi nhận các bài viết, đưa vào hiển thị trong các trang kết quả tìm kiếm. Với các bạn làm SEO, cần lưu ý vấn đề này.

Đối với các dịch vụ như email, việc kết nối với giao thức bảo mật giúp tránh các thông tin nhạy cảm bị nhòm ngó trên đường gửi email. Cho dù hiện nay, các doanh nghiệp khai thác nhiều phương thức giao tiếp khác nhau, nhưng email vẫn là một trong những công cụ phổ biến nhất, nên việc tăng cường bảo mật trên đường truyền dữ liệu email là rất quan trọng.

Khách hàng nhận biết thế nào là website có dùng chứng chỉ số?

Bạn sẽ thấy hình ổ khóa trên thanh status của trình duyệt hoặc thanh address (tùy loại trình duyệt) và thanh address được bắt đầu bằng cụm https:// chứ không phải là http://. Đây là các chỉ số hiện hữu duy nhất bảo đảm cho một phiên kết nối an toàn trong quá trình giao dịch.

Nếu người sử dụng khai thông tin cá nhân cho một trang web không an toàn (nói cách khác là trang web không được bảo vệ với một chứng chỉ SSL còn giá trị) thì cơ chế bảo mật gắn liền với trình duyệt sẽ hiện cảnh báo cho người sủ dụng, thông báo rằng trang đó không an toàn và các dữ liệu nhạy cảm có thể bị đánh cắp. Trước cảnh báo đó thì chắc chắn phần lớn người sử dụng Internet sẽ tìm kiếm một trang khác để tiếp tục việc shopping của họ.

Mua chứng chỉ số ở đâu?

Mặc dù bạn có thể mua chứng chỉ số trực tiếp từ các Certificate Authority, nhưng thường chi phí sẽ khá lớn. Các công ty này thiết lập hệ thống đại lý khắp thế giới, và phân phối chứng chỉ số qua các đại lý này. Các reseller được chiết khấu chi phí, và bạn có thể đăng ký mua chứng chỉ số với giá rẻ hơn.

VietNAP là đại lý phân phối chứng chỉ số cho Sectigo với đa dạng các sản phẩm Sectigo SSL, từ việc chứng nhận cho tên miền đơn lẻ, đến wildcard SSL; các chứng chỉ số OV, EV dành riêng cho doanh nghiệp. Bạn có thể tham khảo tại đây.

Với các khách hàng sử dụng dịch vụ hosting tại VietNAP, chúng tôi tích hợp và cung cấp chứng chỉ số miễn phí Let’s Encrypt. VietNAP sẵn sàng tư vấn chi tiết trong mỗi trường hợp cụ thể. Vui lòng liên hệ VietNAP tại đây.

Chi phí sử dụng chứng chỉ số là bao nhiêu?

Tất nhiên, với mỗi doanh nghiệp, chi phí luôn là vấn đề cần cân nhắc. Tuy nhiên, hiện nay, chi phí cho SSL đã giảm xuống rất nhiều. Trừ phi doanh nghiệp của bạn hoạt động trong lĩnh vực tài chính, ngân hàng, cần EV SSL, thông thường, giá SSL cho một website chỉ trên dưới một triệu đồng / năm. Chi phí đó là rất nhỏ so với các chi phí khác của một doanh nghiệp, để mang lại sự tin cậy cho website, bộ mặt doanh nghiệp trên Internet.

Thời gian sử dụng chứng chỉ số

Chứng chỉ số được đặt hàng theo từng năm. Bạn có thể đặt mua nhiều năm, có thể được hưởng giá tốt hơn, nhưng do yêu cầu về bảo mật, hiệp hội CAB của các nhà cung cấp dịch vụ chứng chỉ số SSL và trình duyệt Internet đã quyết định thu ngắn thời gian xác thực các chứng chỉ số. Sau thời gian đó, người dùng phải tải lên chứng chỉ số mới.

Từ trước tháng 3 năm 2018, bạn có thể đăng ký và sử dụng chứng chỉ số với thời gian dài.
Sau tháng 3 năm 2018, một chứng chỉ số chỉ được xác thực tối đa hai năm.
Từ tháng 9 năm 2020, Apple khởi đầu với trình duyệt Safari, và Google tiếp theo với trình duyệt Chrome, cũng như các công ty khác như Mozilla Firefox, chỉ xác thực chứng chỉ số trong vòng 398 ngày.
Tháng 4 năm 2025, hiệp hội CAB đã phê duyệt tiến trình rút ngắn, chỉ xác thực chứng chỉ số tối đa 47 ngày, tuy rằng lần này được chia nhiều giai đoạn
- Giai đoạn một, bắt đầu từ 15 tháng 3 năm 2026: thời gian xác thực chứng chỉ số là 200 ngày.
- Giai đoạn hai, bắt đầu từ 15 tháng 3 năm 2027: thời gian xác thực chứng chỉ số rút xuống, còn 100 ngày.
- Giai đoạn ba, từ ngày 15 tháng 3 năm 2029: thời gian xác thực chứng chỉ số chỉ còn 47 ngày.

Lý do được hiệp hội đưa ra là sự phát triển nhanh chóng về công nghệ, đồng thời giảm bớt rủi ro bảo mật. Việc xác thực một chứng chỉ số trong thời gian quá dài sẽ tăng rủi ro khi chứng chỉ số bị lộ thông tin, lợi dụng khai thác lỗi bảo mật. Việc phải cài đặt lại chứng chỉ số với tần suất cao hơn sẽ làm giảm rủi ro đó. Do vậy, chứng chỉ số khi được phát hành, cũng sẽ chỉ có tác dụng trong khoảng thời gian như trên. Trước khi hết hạn, chứng chỉ số sẽ được khởi tạo lại, và chứng chỉ số mới sẽ cần được tải lên máy chủ, thay thế cho chứng chỉ số cũ.

Có ảnh hưởng tốc độ truy cập website?

Do dữ liệu cần được mã hoá, website của bạn sẽ tiêu tốn nhiều tài nguyên hệ thống hơn. Tuy nhiên, với hệ thống phần cứng máy chủ hiện nay, kết hợp với giao thức HTTP/2, HTTP/3, điều đó không cần đáng lo ngại. Bạn sẽ gần như không nhận thấy sự khác biệt nào giữa tốc độ xử lý khi truy cập qua http và https. Tất nhiên, đừng chọn hosting giá quá rẻ. Họ sẽ oversell máy chủ, và giới hạn khả năng xử lý website.

Nếu bạn vẫn còn các thắc mắc khác, hãy liên hệ với VietNAP để được giải đáp và phương án sử dụng cho hợp lý.