• Hỏi đáp
  • Lý do sử dụng HSTS để cải thiện bảo mật và SEO

Lý do sử dụng HSTS để cải thiện bảo mật và SEO

Nếu bạn muốn tăng cường bảo mật, thời gian tải nhanh hơn và SEO website mạnh mẽ, bạn nên sử dụng HSTS để có trải nghiệm người dùng và xếp hạng tốt hơn.

Lý do sử dụng HSTS để cải thiện bảo mật và SEO

Người dùng trang web và công cụ tìm kiếm không xem nhẹ bảo mật trang web, đó có thể là lý do tại sao bạn có thể đã nghe nói về các biện pháp bảo mật bổ sung như HTTPS. Nhưng một lớp bảo mật ít được biết đến hơn được gọi là Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) cũng có sẵn và có thể giúp bảo vệ trang web của bạn và tối ưu hóa công cụ tìm kiếm (SEO). Hãy xem HSTS là gì và nó hoạt động như thế nào.

HSTS là gì?

HSTS là một tiêu đề phản hồi thông báo cho trình duyệt rằng nó chỉ có thể kết nối với một trang web nhất định bằng HTTPS. HSTS tăng cả tốc độ và bảo mật của các trang web HTTPS. Để hiểu đầy đủ những gì HSTS làm, bạn cần có một chút kiến ​​thức về HTTPS.

HTTPS (Hyper Text Transfer Protocol Secure) là một phiên bản bảo mật của HTTP. Khi người dùng kết nối với một trang web qua HTTPS, trang web sau đó sẽ mã hóa phiên bằng chứng chỉ Lớp cổng bảo mật (SSL). Nói một cách đơn giản, nó bổ sung thêm một lớp bảo mật cho phiên của trang web và bảo vệ chống lại các tin tặc có thể cố gắng lấy cắp thông tin từ người dùng web.

Như bạn có thể tưởng tượng, điều này đặc biệt hữu ích cho các trang web thương mại điện tử, ngân hàng hoặc các trang web giao dịch khác như Paypal, nơi yêu cầu người dùng nhập thông tin nhạy cảm. Người dùng có thể thấy rõ một trang web có sử dụng HTTPS hay không. Những trang được bảo mật sẽ có biểu tượng an toàn màu xanh lá cây bên cạnh URL.

Mặt khác, các trang web vẫn chỉ dựa vào HTTP sẽ được gắn nhãn "Không an toàn" trong hộp Bộ định vị tài nguyên thống nhất (URL).

HTTPS đã được xác nhận là một yếu tố xếp hạng của Google kể từ năm 2014 và mặc dù nó sẽ không đưa trang web của bạn lên đầu các trang kết quả của công cụ tìm kiếm (SERPs) ngay lập tức, nhưng nó sẽ giúp bạn tăng cường thêm và báo hiệu thêm một lớp đáng tin cậy cho trang web. Tôi thích nghĩ rằng HTTPS giúp một trang web tăng cường và nói chung sẽ chuyển trang HTTPS về phía trước trong SERPs.

Mặc dù HTTPS là một cải tiến lớn so với người tiền nhiệm của nó, nhưng nó không hoàn toàn hoàn hảo và đó là nơi HSTS xuất hiện.

Cách HSTS tăng cường bảo mật trang web

Một trong những thiếu sót liên quan đến HTTPS là nó không hoàn toàn chống hack. Điều này khiến trang web của bạn có thể bị tước SSL. Điều này xảy ra khi tin tặc thay đổi kết nối từ kết nối được mã hóa sang phiên bản cũ hơn. Điều này thường xảy ra với chuyển hướng 301 - nếu một trang web dựa vào chuyển hướng 301 để chuyển từ HTTP sang HTTPS. Chuyển hướng 301 thường như sau:

+ Ai đó đang gõ exampleite.com trong trình duyệt của họ.

+ Vì exampleite.com sử dụng chuyển hướng 301 nên trước tiên trình duyệt sẽ cố gắng tải http://examplesite.com. Điều này xảy ra vì trình duyệt không thể biết trước rằng một trang web cụ thể đang sử dụng HTTPS.

+ Khi nó gặp phải chuyển hướng và được thông báo ngược lại, trình duyệt sẽ bật đèn xanh để tải https://examplesite.com.

Mặc dù điều đó có vẻ không phải là vấn đề lớn, nhưng đó là khoảng thời gian vài mili giây mà bạn thực sự cần phải lo lắng vì nó khiến trang web dễ bị tin tặc cố gắng xóa chứng chỉ SSL của bạn.

Khi máy chủ ban đầu gọi phiên bản HTTP, tin tặc có thể lẻn vào và chặn yêu cầu thông qua HTTP không an toàn, điều này sẽ ngăn trang web sử dụng HTTPS. Đó là lý do vì ngày càng có nhiều trang web chuyển sang HTTPS, ngày càng nhiều tin tặc học cách bẻ khóa các mã bảo mật cập nhật.

Có một giải pháp cho điều này, hãy làm cho trang web của bạn an toàn hơn bằng cách áp dụng HSTS.

HSTS buộc một trang web tải qua HTTPS, bỏ qua các lệnh gọi để thử kết nối HTTP trước, như trong trường hợp chuyển hướng 301. Điều này về cơ bản tránh tải HTTP ban đầu bằng cách buộc trình duyệt nhớ rằng trang web này thực sự hỗ trợ HTTPS. Bằng cách này, trình duyệt sẽ ngay lập tức tải phiên bản an toàn và loại bỏ khả năng tin tặc chiếm đoạt kết nối.

HSTS giúp tốc độ tải trang và SEO như thế nào

Bên cạnh việc thêm một lớp bảo mật bổ sung cho trang web của bạn, sử dụng HSTS cũng có thể giúp bạn tăng SEO vì sử dụng HSTS làm cho các trang web của bạn tải nhanh hơn.

Chúng tôi biết thời gian tải là một vấn đề lớn khi nói đến thứ hạng tìm kiếm và trải nghiệm người dùng. Với sự gia tăng sử dụng thiết bị di động và sáng kiến ​​tập trung vào thiết bị di động của Google đang hoạt động mạnh mẽ, tốc độ tải trang quan trọng hơn bao giờ hết.

Vào đầu năm ngoái, Google đã công bố một nghiên cứu với những kết luận sau:

+ Thời gian trung bình cần để tải đầy đủ trang đích trên thiết bị di động trung bình là 15,3 giây: Tuy nhiên, nghiên cứu cũng chỉ ra rằng 53% mọi người sẽ rời khỏi trang trên thiết bị di động nếu thời gian tải lâu hơn ba giây. Rõ ràng, mọi người không chính xác tha thứ khi nói đến thời gian tải.

Và đối với các trang thương mại điện tử dường như có những ưu đãi lớn nhất để áp dụng HSTS, tin tức thậm chí còn tồi tệ hơn. Hãy xem xét thống kê mua hàng của Google này:

Các trang web dành cho thiết bị di động tụt hậu so với các trang dành cho máy tính để bàn về các chỉ số tương tác chính như thời gian trung bình trên trang web, số trang trên mỗi lượt truy cập và tỷ lệ thoát. Nhiều giao dịch mua được thực hiện trực tuyến, nhưng các trang web chậm trễ không phải là trang tạo ra doanh số. Tốc độ tải trang ảnh hưởng trực tiếp đến các số liệu như thời gian trung bình dành cho trang web, số trang trên mỗi lượt truy cập và tỷ lệ thoát. Nếu bạn thấy chỉ số tương tác thấp, có thể bạn đang thấy doanh số bán hàng thấp.

Các chỉ số tương tác này cũng là những yếu tố chính trong SEO website tổng thể của bạn. Các trang web có chất lượng báo cáo tương tác cao và trải nghiệm người dùng tốt với Google, có thể dẫn đến thứ hạng cao hơn. Vì tốc độ tải trang rất quan trọng, nên các doanh nghiệp nên cố gắng đảm bảo trang web của họ tải nhanh như chớp. Một trong những điều họ có thể làm là bật HSTS.

Hãy nhớ rằng nếu bạn cố gắng tải một trang web chỉ sử dụng HTTPS, nó sẽ cố gắng gọi phiên bản HTTP trước khi nhận ra rằng một trang hỗ trợ HTTPS. Lần thử HTTP ban đầu này sẽ gây ra sự chậm trễ nhỏ trong thời gian tải trang web của bạn. Mặc dù chỉ vài mili giây khi nói đến tốc độ tải trang, nhưng mỗi mili giây đều có giá trị. Với HSTS được bật, trình duyệt biết cách chỉ sử dụng HTTPS, giúp chuyển hướng tức thời và loại bỏ mọi độ trễ.

Làm thế nào để áp dụng HSTS?

Trước khi có thể bật HSTS, bạn phải cài đặt chứng chỉ SSL hợp lệ. Trình duyệt của người dùng sẽ cần phải xem tiêu đề HSTS ít nhất một lần trước khi nó có thể chuyển hướng ngay đến một trang nhất định. Điều này có nghĩa là lần truy cập đầu tiên của người dùng vào một miền nhất định sẽ luôn phải trải qua quy trình HTTP đến HTTPS.

Để loại bỏ điều này nhiều nhất có thể, Chrome đã tạo danh sách tải trước HSTS. Đây là danh sách các miền mà HSTS sẽ được tự động bật để người dùng có thể tự động đăng nhập bằng HSTS.

Chrome cho phép mọi người gửi miền của họ vào danh sách HSTS miễn là họ đáp ứng các yêu cầu sau:

+ HTTPS phải được bật trên miền gốc và tất cả các miền phụ, đặc biệt là www.domain nếu có bản ghi DNS cho nó. Điều này bao gồm tất cả các tên miền phụ chỉ được sử dụng trên mạng nội bộ. Chính sách HSTS bao gồm tất cả các miền phụ, với tuổi tối đa dài và cờ "tải trước" để cho biết rằng chủ sở hữu miền đồng ý với tải trước.

+ Hiện tại, Firefox, Safari, Opera và Edge cũng sử dụng danh sách tải trước của Chrome, vì vậy tùy chọn này có sẵn cho các miền trong hầu hết các trình duyệt chính.

+ Để bật HSTS trên trang web của bạn, bạn sẽ cần thêm tiêu đề Đã bật HSTS. Bạn có thể thực hiện việc này thông qua trang web lưu trữ của mình hoặc tự kích hoạt.

Phần kết luận

Tôi có nên sử dụng HSTS không? Tôi nghĩ bạn nên làm vậy, trừ khi bạn là nhà xuất bản nội dung và gặp sự cố khi chuyển sang HTTPS. Thật khó để phân phát quảng cáo trên trang HTTPS, vì vậy nhiều nhà xuất bản đã phải vật lộn để chuyển sang HTTPS. Họ cũng có thể sẽ gặp khó khăn trong việc phân phát quảng cáo bằng HSTS.

Mọi trang web đều có thể được hưởng lợi từ một lớp bảo mật bổ sung, không chỉ từ quan điểm SEO mà còn từ quan điểm của khách hàng. Nếu bạn vận hành một trang web thương mại điện tử hoặc giao dịch, HSTS sẽ nhanh chóng trở thành điều bắt buộc.

Hãy nghĩ theo cách này: bảo mật tăng lên và thời gian tải nhanh hơn có nghĩa là SEO tốt hơn và cuối cùng là trải nghiệm người dùng tốt hơn.