Sử dụng HTTPS cho mặt tiền cửa hàng, Trang web thương mại điện tử và hơn thế nữa
An ninh trực tuyến là một khía cạnh rất quan trọng, nhưng chưa được đánh giá thấp, là thành công của trang web.
Nếu bạn định chạy một cửa hàng trực tuyến hoặc một trang web Thương mại điện tử , rõ ràng bạn sẽ muốn đảm bảo với khách hàng rằng thông tin họ cung cấp cho bạn trên trang web đó, bao gồm số thẻ tín dụng của họ, được xử lý an toàn. Tuy nhiên, bảo mật trang web không chỉ dành cho các cửa hàng trực tuyến. Mặc dù các trang web Thương mại điện tử và bất kỳ trang web nào khác xử lý thông tin nhạy cảm (thẻ tín dụng, số an sinh xã hội, dữ liệu tài chính, v.v.) là những ứng cử viên rõ ràng cho việc truyền an toàn, sự thật là TẤT CẢ các trang web đều có thể được bảo đảm.
Để đảm bảo truyền dẫn của một trang web (cả từ trang web đến khách truy cập và từ khách truy cập quay lại máy chủ web của bạn), trang web đó sẽ cần phải sử dụng HTTPS - hoặc Giao thức truyền siêu văn bản với Lớp cổng bảo mật hoặc SSL. HTTPS là giao thức truyền dữ liệu được mã hóa qua Web. Khi ai đó gửi cho bạn dữ liệu thuộc bất kỳ loại nào, nhạy cảm khác, HTTPS sẽ giữ cho việc truyền đó an toàn.
Có hai điểm khác biệt chính giữa HTTPS và kết nối HTTP hoạt động:
- HTTPS kết nối trên cổng 443, trong khi HTTP đang ở cổng 80
- HTTPS mã hóa dữ liệu được gửi và nhận với SSL, trong khi HTTP gửi tất cả dữ liệu dưới dạng văn bản thuần túy
Hầu hết khách hàng của các cửa hàng trực tuyến đều biết rằng họ nên tìm "https" trong URL và tìm biểu tượng khóa trong trình duyệt của họ khi họ thực hiện giao dịch. Nếu mặt tiền cửa hàng của bạn không sử dụng HTTPS, bạn sẽ mất khách hàng và bạn cũng có thể mở bản thân và công ty của bạn lên đến trách nhiệm pháp lý nghiêm trọng nếu bạn thiếu bảo mật để xâm phạm dữ liệu cá nhân của ai đó. Đây là lý do tại sao hầu hết bất kỳ cửa hàng trực tuyến nào ngày nay đều sử dụng HTTPS và SSL - nhưng như chúng tôi vừa nêu, việc sử dụng trang web an toàn không chỉ dành cho các trang web Thương mại điện tử nữa.
Trên trang web ngày nay, tất cả các trang web đều có thể hưởng lợi từ việc sử dụng SSL. Google thực sự khuyến cáo điều này cho các trang web ngày hôm nay như là một cách để xác thực rằng thông tin trên trang web đó, thực sự, đến từ công ty đó và không phải là ai đó đang cố giả mạo trang web bằng cách nào đó. Như vậy, Google hiện là các trang web bổ ích sử dụng SSL, đó là một lý do khác, trên cơ sở bảo mật được cải thiện, để thêm trang web này vào trang web của bạn.
Gửi dữ liệu được mã hóa
Như đã đề cập ở trên, HTTP gửi dữ liệu được thu thập qua Internet dưới dạng văn bản thuần túy. Điều này có nghĩa là nếu bạn có một mẫu yêu cầu số thẻ tín dụng, số thẻ tín dụng đó có thể bị chặn bởi bất kỳ ai có gói sniffer. Vì có rất nhiều công cụ phần mềm sniffer miễn phí có sẵn, điều này có thể được thực hiện bất cứ ai ở tất cả với rất ít kinh nghiệm hoặc đào tạo. Bằng cách thu thập thông tin qua kết nối HTTP (không phải HTTPS), bạn đang mạo hiểm rằng dữ liệu này có thể bị chặn và, vì nó không được mã hóa, được sử dụng bởi kẻ trộm.
Những gì bạn cần để lưu trữ các trang bảo mật
Chỉ có một vài điều bạn cần để lưu trữ các trang bảo mật trên trang web của bạn:
- Một máy chủ Web như Apache với mod_ssl hỗ trợ mã hóa SSL
- Địa chỉ IP duy nhất - đây là những gì nhà cung cấp chứng chỉ sử dụng để xác thực chứng chỉ bảo mật
- Chứng chỉ SSL từ nhà cung cấp chứng chỉ SSL
Nếu bạn không chắc chắn về hai mục đầu tiên, bạn nên liên hệ với nhà cung cấp dịch vụ lưu trữ web của mình. Họ sẽ có thể cho bạn biết nếu bạn có thể sử dụng HTTPS trên trang web của bạn. Trong một số trường hợp, nếu bạn đang sử dụng nhà cung cấp dịch vụ lưu trữ chi phí rất thấp, bạn có thể cần phải chuyển đổi công ty lưu trữ hoặc nâng cấp dịch vụ bạn sử dụng tại công ty hiện tại để nhận được bảo vệ SSL mà bạn cần. Nếu đây là trường hợp - thực hiện thay đổi! Những lợi ích của việc sử dụng SSL là đáng giá thêm chi phí của một môi trường lưu trữ được cải thiện!
Khi bạn đã nhận được chứng chỉ HTTPS của mình
Khi bạn đã mua chứng chỉ SSL từ nhà cung cấp có uy tín, nhà cung cấp dịch vụ lưu trữ của bạn sẽ cần thiết lập chứng chỉ trong máy chủ web để mỗi khi trang được truy cập qua giao thức https: //, nó sẽ truy cập máy chủ bảo mật . Khi đã thiết lập xong, bạn có thể bắt đầu xây dựng các trang web cần bảo mật. Các trang này có thể được xây dựng giống như các trang khác, bạn chỉ cần đảm bảo bạn liên kết với https thay vì http nếu bạn đang sử dụng bất kỳ đường dẫn liên kết tuyệt đối nào trên trang web của bạn đến các trang khác.
Nếu bạn đã có một trang web được xây dựng cho HTTP và bây giờ bạn đã thay đổi thành HTTPS, bạn cũng nên thiết lập tất cả. Chỉ cần kiểm tra các liên kết để đảm bảo mọi đường dẫn tuyệt đối được cập nhật, bao gồm đường dẫn đến tệp hình ảnh hoặc các tài nguyên bên ngoài khác như trang tính CSS, tệp JS hoặc các tài liệu khác.
Dưới đây là một số mẹo khác để sử dụng HTTPS:
- Trỏ tới tất cả biểu mẫu Web trên máy chủ https: //. Bất cứ khi nào bạn liên kết tới các biểu mẫu Web trên trang Web của bạn, hãy có thói quen liên kết với chúng với URL máy chủ đầy đủ bao gồm cả chỉ định https: //. Điều này sẽ đảm bảo rằng chúng luôn được bảo mật.
- Sử dụng đường dẫn tương đối cho hình ảnh trên các trang được bảo mật. Nếu bạn sử dụng đường dẫn đầy đủ (http: // www ...) cho hình ảnh của mình và những hình ảnh đó không có trên máy chủ bảo mật, khách hàng của bạn sẽ nhận được thông báo lỗi cho biết: "Dữ liệu không an toàn được tìm thấy. Tiếp tục?" Điều này có thể gây bối rối và nhiều người sẽ ngừng quá trình mua hàng khi họ thấy điều đó. Nếu bạn sử dụng đường dẫn tương đối, hình ảnh của bạn sẽ được tải từ cùng một máy chủ bảo mật như phần còn lại của trang.
Bài báo gốc của Jennifer Krynin. Biên tập bởi Jeremy Girard vào ngày 9/7/17