SSL là gì và tại sao Chrome hiển thị cảnh báo “Không an toàn” khi website không có SSL? Từ năm 2018, Google Chrome đánh dấu tất cả website HTTP (không SSL) là “Not Secure” — và đây không chỉ là vấn đề kỹ thuật mà ảnh hưởng trực tiếp đến niềm tin khách hàng và ranking SEO. Theo khảo sát của GlobalSign (2025), 84% người dùng sẽ rời website khi thấy cảnh báo “Không an toàn”, và 77% lo ngại dữ liệu bị đánh cắp khi mua hàng trên website không có HTTPS.
SSL/TLS là gì?
SSL (Secure Sockets Layer) là giao thức mã hóa bảo mật kết nối giữa trình duyệt (browser) của người dùng và server website. Phiên bản hiện đại gọi là TLS (Transport Layer Security) — nhưng thuật ngữ “SSL” vẫn được dùng phổ biến.
SSL hoạt động như thế nào?
Không có SSL (HTTP):
User gõ "matkhau123" → Gửi qua mạng dưới dạng text thuần
→ Bất kỳ ai trên cùng mạng WiFi có thể đọc được passwordCó SSL (HTTPS):
User gõ "matkhau123" → Mã hóa thành "x7Kp9#mQ2..." → Gửi qua mạng
→ Chỉ server website mới giải mã được → "matkhau123"Hình dung đơn giản
SSL giống như phong bì kín cho thư từ:
- HTTP = gửi bưu thiếp — ai cầm cũng đọc được nội dung
- HTTPS = gửi thư trong phong bì kín — chỉ người nhận mở được
SSL Certificate là gì?
SSL Certificate là “chứng minh thư” của website, xác nhận:
- Website này thuộc sở hữu của ai
- Kết nối đến website này được mã hóa
- Được xác minh bởi tổ chức chứng nhận (CA — Certificate Authority)
Các loại SSL Certificate
Phân loại theo mức xác thực
| Loại | Xác thực | Thời gian cấp | Chi phí | Hiển thị |
|---|---|---|---|---|
| DV (Domain Validation) | Xác nhận sở hữu domain | 5 phút | Miễn phí – 500K VND/năm | 🔒 HTTPS |
| OV (Organization Validation) | Xác nhận tổ chức + domain | 1–3 ngày | 1–5 triệu VND/năm | 🔒 HTTPS + tên tổ chức |
| EV (Extended Validation) | Xác nhận pháp lý đầy đủ | 1–2 tuần | 3–15 triệu VND/năm | 🔒 HTTPS + tên tổ chức (chi tiết) |
Phân loại theo phạm vi
| Loại | Bảo vệ | Ví dụ | Chi phí |
|---|---|---|---|
| Single Domain | 1 domain duy nhất | yourdomain.com | Rẻ nhất |
| Wildcard | Domain + tất cả subdomain | *.yourdomain.com | Trung bình |
| Multi-Domain (SAN) | Nhiều domain khác nhau | domain1.com + domain2.com | Đắt nhất |
Khuyến nghị cho SME
| Loại website | SSL khuyến nghị | Chi phí |
|---|---|---|
| Blog, landing page | Let’s Encrypt DV (miễn phí) | 0 VND |
| Website doanh nghiệp | Let’s Encrypt DV hoặc Comodo DV | 0 – 500K VND/năm |
| E-commerce nhỏ | Let’s Encrypt DV + Cloudflare | 0 VND |
| E-commerce lớn | OV hoặc EV SSL | 1–5 triệu VND/năm |
| Ngân hàng, tài chính | EV SSL | 5–15 triệu VND/năm |
Let’s Encrypt miễn phí vs SSL trả phí
Let’s Encrypt là gì?
Let’s Encrypt là tổ chức chứng nhận (CA) phi lợi nhuận, cung cấp SSL certificate DV miễn phí. Được hỗ trợ bởi Google, Mozilla, Meta, Cisco. Tính đến 2025, Let’s Encrypt đã cấp hơn 4.5 tỉ certificate.
So sánh chi tiết
| Tiêu chí | Let’s Encrypt (miễn phí) | SSL trả phí (Comodo, DigiCert) |
|---|---|---|
| Chi phí | 0 VND | 500K – 15 triệu VND/năm |
| Loại xác thực | DV only | DV, OV, EV |
| Mã hóa | 256-bit (giống nhau) | 256-bit (giống nhau) |
| Hiệu lực | 90 ngày (auto-renew) | 1–2 năm |
| Wildcard | Có | Có |
| Auto-renew | Có (Certbot) | Tùy nhà cung cấp |
| Bảo hiểm | Không | $10K – $1.75M |
| Support | Cộng đồng | Email/Phone/Chat |
| Tương thích browser | 99.9% | 99.9% |
| SEO | Giống nhau | Giống nhau |
| Tốc độ | Giống nhau | Giống nhau |
Kết luận: Let’s Encrypt đủ cho 95% website
Mức mã hóa giống nhau. Let’s Encrypt sử dụng cùng thuật toán mã hóa (RSA 2048-bit hoặc ECDSA) như SSL trả phí. Không có sự khác biệt về bảo mật kỹ thuật.
SEO giống nhau. Google không phân biệt giữa Let’s Encrypt và SSL trả phí. Cả hai đều cho HTTPS ranking boost.
Khi nào cần SSL trả phí:
- Cần EV certificate (hiển thị tên tổ chức — ngân hàng, bảo hiểm)
- Cần bảo hiểm warranty (website xử lý giao dịch lớn)
- Yêu cầu compliance đặc biệt (PCI DSS level 1)
- Cần dedicated support (24/7 phone support)
Tại sao website BẮT BUỘC cần SSL?
1. Chrome cảnh báo “Không an toàn”
Từ Chrome 68 (2018), tất cả website HTTP hiển thị cảnh báo “Not Secure” trên thanh địa chỉ. Tại Việt Nam, Chrome chiếm ~65% thị phần browser → 65% khách hàng nhìn thấy cảnh báo.
2. SEO ranking factor
Google xác nhận HTTPS là ranking factor từ 2014. Website HTTPS được ưu tiên hơn HTTP trong kết quả tìm kiếm. Không có HTTPS = bất lợi SEO so với đối thủ có HTTPS.
3. Bảo vệ dữ liệu khách hàng
Khi khách hàng nhập:
- Thông tin đăng nhập (email, password)
- Thông tin thanh toán (số thẻ, CVV)
- Thông tin cá nhân (tên, SĐT, địa chỉ)
Không có SSL → tất cả gửi dưới dạng text thuần → bất kỳ ai trên cùng mạng WiFi (quán cà phê, sân bay) có thể đánh cắp.
4. Trust và Conversion
| Có SSL | Không SSL |
|---|---|
| 🔒 kèm “https://“ | ⚠️ “Not Secure” |
| Khách hàng tin tưởng mua hàng | 84% rời website |
| Conversion rate bình thường | Conversion giảm 40–60% |
5. Yêu cầu pháp lý
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân yêu cầu tổ chức phải có biện pháp bảo vệ khi thu thập, xử lý dữ liệu cá nhân. SSL là biện pháp tối thiểu.
Cách kiểm tra SSL website
Kiểm tra nhanh
- Thanh địa chỉ browser: Có biểu tượng 🔒 = OK
- URL bắt đầu bằng https:// = OK
- Click vào 🔒: Xem chi tiết certificate (issuer, expiry date)
Công cụ kiểm tra chi tiết
| Tool | URL | Kiểm tra |
|---|---|---|
| SSL Labs | ssllabs.com/ssltest | Grade A–F, chi tiết cấu hình |
| Why No Padlock | whynopadlock.com | Tìm mixed content |
| SSL Checker | sslshopper.com/ssl-checker | Expiry, chain, compatibility |
| Mozilla Observatory | observatory.mozilla.org | Security headers + SSL |
Điểm SSL Labs
| Grade | Ý nghĩa | Cần fix? |
|---|---|---|
| A+ | Xuất sắc | Không |
| A | Tốt | Không, nhưng có thể cải thiện |
| B | Chấp nhận | Nên cải thiện |
| C–F | Không an toàn | Cần fix ngay |
| T | Certificate không tin cậy | Cần thay certificate |
Mixed Content: Lỗi phổ biến nhất sau khi cài SSL
Mixed content là gì?
Website HTTPS nhưng load một số resources qua HTTP (ảnh, CSS, JS). Browser cảnh báo hoặc block resources HTTP → website hiển thị sai.
Cách phát hiện
Chrome DevTools → Console → Mixed Content warningsCách fix
<!-- Sai: HTTP resource trên HTTPS page -->
<img src="http://yourdomain.com/image.jpg">
<!-- Đúng: Dùng HTTPS hoặc protocol-relative -->
<img src="https://yourdomain.com/image.jpg">
<img src="//yourdomain.com/image.jpg">Cho WordPress:
- Settings → General → Đổi WordPress URL và Site URL sang
https:// - Dùng plugin “Better Search Replace” → thay
http://yourdomain.com→https://yourdomain.com - Bật “Automatic HTTPS Rewrites” trên Cloudflare
FAQ — Câu hỏi thường gặp
SSL có làm website chậm hơn không?
Không đáng kể. SSL/TLS handshake thêm ~50ms (lần đầu). Với HTTP/2 (yêu cầu HTTPS), website HTTPS thực tế nhanh hơn HTTP nhờ multiplexing, header compression, và server push. HTTPS + HTTP/2 nhanh hơn HTTP/1.1 khoảng 15–20%.
Let’s Encrypt certificate hết hạn sau 90 ngày, có phiền không?
Không, nếu dùng Certbot. Certbot tự động gia hạn (auto-renew) khi certificate còn 30 ngày. Bạn không cần làm gì — hoàn toàn tự động. Chỉ cần verify certbot.timer đang chạy: sudo systemctl status certbot.timer.
Website không thu thập dữ liệu, có cần SSL không?
Có. Ngay cả website tĩnh không có form cũng cần SSL vì: (1) Chrome vẫn cảnh báo “Not Secure”, (2) SEO bị ảnh hưởng, (3) Let’s Encrypt miễn phí nên không có lý do không dùng.
SSL có bảo vệ 100% khỏi hack không?
Không. SSL chỉ mã hóa dữ liệu trong quá trình truyền tải (in transit). SSL không bảo vệ khỏi: SQL injection, XSS, server bị hack, password yếu, phishing. SSL là 1 lớp trong nhiều lớp bảo mật cần thiết.
Chuyển từ HTTP sang HTTPS có ảnh hưởng SEO không?
Ngắn hạn: có thể giảm ranking nhẹ (1–2 tuần) do Google re-index. Dài hạn: ranking tăng vì HTTPS là ranking factor. Quan trọng: setup redirect 301 từ HTTP → HTTPS, update sitemap, update Google Search Console. Hoặc nhờ Trinh Digital thực hiện chuyển đổi an toàn.
Kết luận
SSL không phải option mà là requirement cho mọi website năm 2026. Let’s Encrypt cung cấp SSL miễn phí với mức bảo mật tương đương SSL trả phí — không có lý do gì để website doanh nghiệp không có HTTPS.
Nếu bạn cần hỗ trợ cài SSL, fix mixed content, hoặc xây dựng hệ thống website an toàn cho doanh nghiệp, hãy liên hệ Trinh Digital.