HTTP Strict Transport Security (HSTS) – Tăng tốc chuyển hướng

HSTS (HTTP Strict Transport Security) là một chương trình tăng tốc độ chuyển hướng http sang https mặc định của trình duyệt, nói là chuyển hướng thì cũng chưa chính xác lắm chính xác hơn là nó bỏ qua http vào thẳng luôn https

Giúp khi người dùng truy cập vào http trình duyệt sẵn tự động nhận https.(siêu max nhanh)

Không phải qua khâu chuyển hướng từ webhost của bạn, nó làm trực tiếp chuyển hướng từ trình duyệt của người dùng.

Nên vậy tốc độ chuyển hướng siêu nhanh và tiết kiệm tài nguyên webhost so với bạn chuyển hướng bằng webhost đường nhiên là cực kì hiêụ quả so với bạn chuyển hướng bằng php cấp plugin website.

Mình chuyển hướng http sang https bằng cấp webhost chạy vps google cloud rất ngon và tối ưu litespeed các kiểu thì mất khoảng 100ms để chuyển hướng nếu bạn sử dụng share hosting với gói hosting tốc độ không ngon mà dùng chuyển hướng cấp website như plugin Really Simple SSL thì chậm không cần bàn.

HSTS sinh ra để giải quyết vấn đề đó, khi bạn kích hoạt HSTS trình duyệt sẽ lo vấn đề chuyển hướng cho bạn.

Từ phiên bản trình duyệt chrome 90 thì chrome đã quyết định truy cập mặc định HTTPS trước thay vì HTTP trước. như bạn đã biết thì Chrome là ông vua làng trình duyệt rồi, gần như một khi chrome đã làm thì các trình duyệt cũng sẽ học hỏi và làm theo

Lợi ích là thế như HSTS là rất tuyệt vời nhưng bạn cũng đừng nên vội vàng kích hoạt nhé.

Bài viết này mình sẽ phân tích ưu điểm và nhược điểm xem có nên kích hoạt hay không hay kích hoạt khi nào thì không để tránh lỗi và mình sẽ hướng dẫn các bạn kích hoạt HSTS.

Trước khi bạn muốn kích hoạt HSTS thì bạn phải đã có SSL trước, chia sẻ là mình vẫn chưa kích hoạt HSTS trên website wptangtoc.com nhé. Các website doanh nghiệp kia của mình thì kích hoạt hết rồi.

Ưu điểm và nhược điểm của HSTS

Ưu điểm HSTS:

• Tiết kiệm tài nguyên webhost.
• Tăng tốc độ cực nhanh khi chuyển hướng.
• Nâng cao bảo mật website.
• Tăng trưởng SEO tối hơn khi bạn đã kích hoạt HSTS.
• Rất có lợi khi người dùng truy cập thẳng referral url: domain-cua-ban.com

Nhược điểm HSTS:

• Một khi đã kích hoạt HSTS thì bắt buộc phải dùng SSL một ngày đẹp trời SSL của bạn có vấn đề gia hạn gì đó, hay bạn mua SSL mà bạn hết hạn SSL thì website sẽ không truy cập được. Nếu bạn không kích hoạt nó thì người dùng sẽ có khả năng https sang http dùng cũng được.
  Khả năng tương thích ngược.

Khi nào thì lên kích hoạt HSTS

1. Thích sự ổn định ít khi chuyển webhost.
2. Đang sử dụng share hosting thì bạn dùng cái này có thể bỏ được plugin chuyển hưởng và rất có nhiều điểm lợi. ( bạn đang có webhost siêu khỏe thì cũng không cần tác dụng nhiều lắm).
3. Traffic của bạn chủ yếu là direct nhập thẳng tên miền của bạn.
4. Hồ sơ backlink referral nhiều HTTP.
5. vân vân và mây mây …

Nên bật thì có rất nhiều lý do, công nhận HSTS ngon thật. không nên bật thì khá ít lý do.

Khi nào thì không nên kích hoạt HSTS

Bạn hay chuyển webhost nha cung cấp này bay qua nhà cung cấp khác, test đủ thứ (như mình thì không nên kích hoạt HSTS)

Chắc chỉ có một số lý đó, khiến wp tăng tốc vẫn chưa kích hoạt HSTS vì khả năng tương thích ngược, trong tương lai mình nghĩ là có thể sẽ kích hoạt.

Hướng dẫn kích hoạt HSTS

Để kích hoạt HSTS rất đơn giản bạn chỉ cần khai báo một đoạn code nhỏ vào response header xong báo công cụ.

response header là cần khai báo trong cấp webhost, chứ không phải là file header.php gì nhé.

Giờ mình sẽ chia sẻ khai báo response header để kích hoạt HSTS nhé. nó tùy thuộc theo websever của bạn đang sử dụng.

Điểm mấu chốt để cài HSTS:

• response header khai báo.
• Cài SSL toàn bộ cả website chính và cả subdomain của bạn.

response header hướng dẫn khai báo

Mình sẽ chia sẻ tất cả các websever phổ biến nhất dành cho WordPress: như apache, nginx, litespeed doanh nghiệp, openlitespeed.

Kích hoạt trên websever apache và litespeed bản doanh nghiệp

Bạn cho đoạn code này bạn .htaccess

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

Kích hoạt trên websever nginx

Tìm để cấu file câu hình Vhost nginx domain của bạn.

đường dẫn mẫu: /etc/nginx/conf.d/wptangtoc.com.conf wptangtoc thay bằng của bạn đang sử dụng

server {
    listen 443 ssl;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

Kích hoạt trên websever Openlitespeed

Header Operations bạn điền:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

khi nào xong nhớ reset lại nhé. openlitespeed khi tác động lên websever mà muốn có hiệu lực thì phải reset lại hơi bất tiện tí nhưng không sao.

Khi các bạn đã khai báo hoàn tất xong giờ đến công đoạn cuối cùng và tận hưởng thành quả nhé.

Khai báo HSTS

Bây giờ bạn truy cập vào website này https://hstspreload.org/ để khai báo hsts bạn nhập tên miền của bạn vào. trang này kiếm tra sẽ xem bạn có đủ điều kiện sử dụng hsts hay không đã khai báo đúng hay chưa.

Nếu đủ điều kiện thì bạn summit lên thế là xong.

Để kiểm tra xem website bạn đã kích hoạt hsts thành công hay chưa bạn vẫn sử dụng https://hstspreload.org/ để kiểm tra.

Đợi một thời gian sau bạn hãy kiểm tra lại xem tên miền của bạn đã được kích hoạt hsts chưa nhé.

Một số lỗi thường xảy ra khi kích hoạt hsts

mình khai báo là includeSubDomains tức là toàn bộ subdomain, bạn cần phải kích hoạt ssl luôn cho cả subdomain cho bạn.

Nếu không kích hoạt ssl của subdomain thì bạn không thể kích hoạt được.

Chúc bạn thành công!!

Hướng dẫn hủy kích hoạt HSTS

Khi bạn không muốn sử dụng HSTS nữa muốn hủy bỏ nó bằng một lý do nào đó.

nó do cơ bản nhất đơn giản nhất thì từ bản chrome 90 trở đi đã mặc định HTTPS rồi thì HSTS không còn là một gì đó thực sự hiệu quả lắm như trước nữa.

response header khai báo

Hãy chuyển đổi giá trị về 0 những phần bên trên mình có chia sẻ:

max-age=31536000 chuyển thành max-age=0

Hủy kích hoạt khai báo hủy bỏ HSTS

Bây giờ bạn truy cập vào website này khai báo hủy kích hoạt HSTS để khai báo hủy bỏ hsts bạn nhập tên miền của bạn vào.

Và rồi ngồi đợi HSTS xác nhận thời gian hủy bỏ cũng gần bằng với thời gian đợi kích hoạt.

Chúc bạn thành công !