Tại sao các trang web nên sử dụng HSTS để cải thiện bảo mật và SEO

Nếu bạn muốn có thể bảo mật, thời gian tải nhanh hơn và SEO mạnh mẽ hơn cho trang của mình, cộng tác viên John Lincoln sẽ điểm qua lý do tại sao và bạn nên sử dụng HSTS thế nào để có trải nghiệm người dùng và thứ hạng tốt hơn.

Người dùng và các công cụ tìm kiếm không coi nhẹ bảo mật trang web, đó là lý do tại sao bạn có thể đã nghe về các biên pháp bổ sung bảo mật như HTTPS.

Nhưng một lớp bảo mật ít được biết tới hơn có tên HTTP Strict Transport Security (HSTS) cũng có mặt và có thể giúp bảo vệ trang của bạn và SEO của bạn nữa. Hãy điểm qua HSTS là gì và nó làm việc thế nào.

HSTS

HSTS là một tiêu đề phản hồi cho trình duyệt biết là nó chỉ có thể kết nối tới một trang web cụ thể sử dụng HTTPS. HSTS tăng cường cả tốc độ và bảo mật của các trang HTTPS. Để hiểu đầy đủ HSTS làm gì, bạn cần một chút hiểu biết về HTTPS.

HTTPS

HTTPS (Hyper Text Transfer Protocol Secure) là một phiên bảo bảo mật của HTTP. Khi một người dùng kết nối tới một trang sử dụng HTTPS, trang web sau đó mã hóa truy cập này với một chứng chỉ bảo mật SSL. Theo thuật ngữ, thì nó thêm một lớp bổ sung vào bảo mật trong trang và bảo vệ trang khỏi các hacker có thể đang cố để đánh cắp thông tin từ người dùng web.

Như bạn có thể hình dung, điều này thực sự hữu ích cho thương mại điện tử, ngân hàng hay các trang giao dịch khác như Paypal, với yêu cầu người dùng điền vào các thông tin nhạy cảm.

Một trang sử dụng HTTPS hiển thị rõ với người dùng. Những trang được bảo vệ sẽ hiển thị một biểu tượng bảo mật màu xanh trên đường dẫn.

Mặt khác, các trang vẫn dựa trên HTTP sẽ bị gắn nhãn “Không bảo mật” trong hộp thoại chứa đường dẫn.

HTTPS đã là một yếu tố xếp hạng Google được xác nhận từ 2014, và trong khi nó không lập tức đưa trang của bạn lên đầu trang kết quả tìm kiếm, thì nó sẽ đưa đến cho bạn sự thúc đẩy bổ sung và chỉ báo một lớp uy tín bổ sung với người ghé thăm trang. Tôi hay nghĩ rằng HTTPS đem đến cho trang web một sự thúc đẩy và sẽ luôn chuyển trang HTTPS lên đầu các trang kết quả tìm kiếm.

Trong khi HTTPS là một sự cải thiện lớn so với người tiền nhiệm, nó không phải không có lỗ hổng và đó là lúc HSTS có mặt.

Các HSTS tăng cường bảo mật trang

Một lỗ hổng đi kèm với HTTPS là nó không hoàn toàn chống được hack. Nó làm trang của bạn sơ hở với việc tấn công SSL. Điều này xảy ra khi một hacker thay đổi kết nối từ một kết nối mã hóa sang phiên bản cũ hơn.

Điều này thường xảy ra với chuyển hướng 301 – nếu một trang web dựa vào chuyển hướng 301 để chuyển từ HTTP sang HTTPS. Chuyển hướng 301 thường diễn ra như sau:

• Ai đó gõ examplesite.com (trang ví dụ) vào trình duyệt của họ.
• Vì examplesite.com sử dụng chuyển hướng 301, trình duyệt ban đầu cố gắng tải http://examplesite.com. Điều này xảy ra vì trình duyệt không thể biết trước trang đó sử dụng HTTPS.
• Khi nó gặp phải chuyển đổi và được nói thay đổi, trình duyệt sau đó sẽ đến và tải https://examplesite.com.

Trong khi điều này dường như không phải vấn đề lớn, thì vài phần triệu giây giẵ đó bạn cần phải lo lắng vì nó để trang web sơ hở với các hacker đang cố để tấn công SSL.

Khi máy chủ của bạn ban đầu gọi phiên bản HTTP, các hacker có thể đột nhập vào và tác động tới phiên bản HTTP không bảo mật, thứ sẽ chặn trang sử dụng HTTPS. Đó là lý do tại sao khi càng nhiều trang chuyển sang HTTPS, càng nhiều hacker cố gắng học cách bẻ khóa các mã lệnh bảo mật cập nhật.

Có một giải pháp cho vấn đề này, khiến trang của bạn bảo mật hơn bằng cách dùng HSTS.

HSTS buộc một trang phải tải HTTPS, mặc bất cứ yêu cầu nào về việc thử kết nối HTTP trước như trong trường hợp chuyển hướng 301. Điều này tránh được việc tải trang HTTP bằng cách buộc trình duyệt nhớ rằng trang đó hỗ trợ HTTPS. Theo cách đó, trình duyệt sẽ tải phiên bản bảo mật ngay lập tức và loại bỏ các cơ hội để các hacker chiếm quyền kiểm soát.

Các HSTS giúp ích cho tốc độ tải trang và SEO

Bên cạnh việc thêm lớp bảo mật bổ sung vào trang của bạn, sử dụng HSTS cũng có thể đem đến cho bạn sự thúc đẩy trong SEO vì khi sử dụng HSTS khiến trang của bạn tải trang nhanh hơn.

Chúng ta biết thời gian tải trang là quan trọng khi nói tới xếp hạng tìm kiếm và trải nghiệm người dùng. Với việc sử dụng di động tăng lên và sự ưu tiên di động từ Google đang phát triển mạnh, tốc độ tải trang đang quan trọng hơn bao giờ hết.

Đầu năm trước, Google phát hành một nghiên cứu với các kết luận sau:

Thời gian trung bình để tải đầy đủ một trang đích di động trung bình là 15.3 giây.

Tuy nhiên, nghiên cứu cũng chỉ ra 53% người dùng sẽ rời trang di động nếu nó mất hơn 3 giây để tải.

Rõ ràng là người dùng web không tha thứ khi nói đến thời gian tải trang.

Và với các trang thương mại điện tử dường như có động lực để áp dụng HSTS nhiều nhất, tin tức lại xấu hơn. Hãy xem xét thống kê mua hàng từ Google:

Các trang di động thua kém các trang máy bàn trong các thông số tham gia chính như là thời gian trung bình trên trang, số lượng trang trong một lần ghé thăm, và tỷ lệ thoát trang. Rất nhiều mua sắm diễn ra trực tuyến, như các trang thua kém không phải là các trang bán được hàng. Tốc độ tải trang trực tiếp ảnh hưởng tới các thông số như thời gian trung bình trên trang, số lượng trang trong một lần ghé thăm, và tỷ lệ thoát trang. Nếu bạn thấy các thông số tham gia thấp, thì có khả năng lượng bán hàng thấp.

Các thông số tham gia cũng là yếu tố chính trong SEO của bạn. Các trang web với tín hiệu tham gia mạnh và trải nghiệm người dùng tốt với Google sẽ có kết quả là thứ hạng cao hơn. Vì tốc độ tải trang là quan trọng, việc các doanh nghiệp làm mọi điều họ có thể để đảm bảo trang web của họ tải nhanh là có ý nghĩa. Một điều trong đó họ có thể làm là sử dụng HSTS.

Hãy nhớ là nếu bạn cố tải một trang chỉ sử dụng HTTPS, đầu tiên nó sẽ cố gọi phiên bản HTTP trước khi nhận ra trang đó sử dụng HTTPS. Việc gọi HTTP đầu tiên gây ra một sự chậm trễ nhỏ trong thời gian tải trang. Trong khi nó có thể chỉ là vài phần triệu giây trong thời gian tải trang, thì mỗi phần triệu giây đều có ý nghĩa. Với việc sử dụng HSTS, trình duyệt biết để sử dụng chỉ HTTPS, khiến việc chuyển hướng ngay tức thì và loại bỏ thời gian chậm trễ.

Áp dụng HSTS thế nào?

Trước khi bạn có thể bật HSTS bạn phải có một chứng chỉ SSL phù hợp được cài đặt. Một người dùng trình duyệt phải thấy tiêu đề HSTS ít nhất một lần trước khi nó biết việc điều hướng lập tức tới trang cụ thể. Điều đó có nghĩa một người dùng đầu tiên ghé thăm tới một tên miền cụ thể sẽ vẫn phải đi theo quy trình HTTP tới HTTPS.

Để loại bỏ điều đó nhiều nhất có thể, Chrome đã tạo ra một danh sách tải trước HSTS. Đây là một danh sách các tên miền có HSTS được bật tự động, vì vậy người dùng có thể tự động kết nối sử dụng HSTS.

Chrome cho phép bất kỳ ai nộp tên miền của họ vào danh sách HSTS khi nó đáp ứng được các yêu cầu sau:

HTTPS cần phải được bật trên tên nguồn gốc và tất cả các tên miền phụ đặc biệt là www.subdomain nếu một bản ghi DNS cho nó tồn tại. Điều này bao gồm bất kỳ tên miền phụ nào chỉ được sử dụng trên hệ thống intranet. Quy tắc HSTS bao gồm tất cả các tên miền phụ, với thời gian max-age dài, và một chỉ báo “preload” cho biết chủ tên miền đồng ý cho tải trước.

Hiện tại Firefox, Safari, Opera và Edge cũng sử dụng danh sách tải trước của Chrome, vì thế tùy chọn này có mặt cho mọi tên miền trong phần lớn các trình duyệt lớn.

Để bật HSTS trên trang của bạn, bạn sẽ cần bổ sung phần tiêu đề HSTS được kích hoạt. Bạn có thể làm điều này qua trang bạn đặt máy chủ hay tự mình kích hoạt.

Kết luận

Bạn có nên sử dụng HSTS không? Tôi nghĩ bạn nên dùng trừ khi bạn là một bên xuất bản nội dung và đang gặp vấn đề khi chuyển sang HTTPS. Thật khó để đặt quảng cáo trên một trang HTTPS có nhiều bên xuất bản đã gặp vấn đề với việc chuyển sang HTTPS. Họ có thể sẽ cũng gặp khó khi đặt quảng cáo trên HSTS.

Mọi trang web có thể có lợi từ một lớp bảo mật bổ sung, không chỉ dưới góc nhìn SEO mà cũng từ góc nhìn khách hàng nữa. Nếu bạn vận hành một trang thương mại điện tử hay một trang giao dịch, HSTS sẽ nhanh chóng trở thành một điều cần thiết bắt buộc. Hãy nghĩ theo cách như sau: bổ sung bảo mật và thời gian tải trang nhanh hơn tương đồng với SEO tốt hơn và cuối cùng là một trải nghiệm người dùng tốt hơn.

Nguồn: https://searchengineland.com/