Hướng dẫn cài đặt SSL trên CloudFlare

Hướng dẫn cài đặt SSL trên Cloudflare chi tiết, bao gồm giải thích 4 chế độ SSL, Origin Certificate, Always Use HTTPS, và các thiết lập bảo mật TLS nâng cao.

SSL là gì?

Chứng chỉ SSL (Secure Sockets Layer) là công nghệ bảo mật tiêu chuẩn để thiết lập liên kết mã hóa giữa máy chủ web và trình duyệt. Liên kết này đảm bảo dữ liệu được truyền đi không bị xâm nhập hay thay đổi thông tin trong quá trình truyền.

SSL giúp đảm bảo 2 nhiệm vụ chính:

• Xác thực 2 phía gồm máy chủ Server và máy khách Client, tránh giả mạo thương hiệu hay tin tặc.
• Mã hóa giúp thông tin được bảo mật ở mức độ cao nhất, chỉ có người gửi và người nhận mới có thể đọc được.

Lợi ích thực tế mà SSL mang lại:

• Bảo mật thông tin người dùng.
• Cung cấp chứng thực (tên miền, tổ chức hay cá nhân, chống giả mạo).
• Google đánh giá cao khi website có sử dụng SSL.
• Tạo sự tin tưởng cho người dùng.

Các chế độ SSL trên Cloudflare

Cloudflare hỗ trợ 4 chế độ mã hóa SSL/TLS. Mỗi chế độ có mức độ bảo mật khác nhau, và bạn cần hiểu rõ để chọn đúng cho website của mình.

Giao diện SSL/TLS Overview trên Cloudflare Dashboard:

1. Off (Tắt SSL)

Không có mã hóa nào được áp dụng. Website chỉ truy cập qua HTTP. Không khuyến nghị sử dụng vì toàn bộ dữ liệu truyền đi đều không được mã hóa.

2. Flexible SSL

Traffic từ người dùng đến Cloudflare được mã hóa (HTTPS), nhưng traffic từ Cloudflare đến máy chủ gốc không được mã hóa (HTTP).

⚠️ Cảnh báo: Chế độ Flexible không thực sự an toàn! Dữ liệu từ Cloudflare đến máy chủ gốc vẫn truyền dưới dạng text thuần. Nếu kẻ tấn công can thiệp được vào đoạn kết nối này, họ có thể đọc được toàn bộ dữ liệu. Chỉ nên dùng tạm thời khi bạn chưa thể cài SSL trên máy chủ gốc.

3. Full SSL

Traffic được mã hóa cả 2 chiều: từ người dùng đến Cloudflare (HTTPS) và từ Cloudflare đến máy chủ gốc (HTTPS). Tuy nhiên, Cloudflare không xác thực chứng chỉ SSL trên máy chủ gốc, nên bạn có thể dùng chứng chỉ tự ký (self-signed) hoặc Origin Certificate của Cloudflare.

4. Full (Strict) – Khuyến nghị sử dụng ✅

Giống như Full SSL nhưng Cloudflare sẽ xác thực chứng chỉ SSL trên máy chủ gốc. Chứng chỉ phải là:

• Chứng chỉ từ CA đáng tin cậy (ví dụ: Let’s Encrypt, Comodo, DigiCert)
• Hoặc Origin Certificate do Cloudflare cấp (miễn phí, hạn 15 năm)

Đây là chế độ bảo mật nhất và được Cloudflare khuyến nghị sử dụng. Mình cũng khuyến khích bạn luôn dùng Full (Strict) để đảm bảo end-to-end encryption cho website.

Cài đặt SSL trên Cloudflare

Sử dụng Full SSL(dễ nhất)

Với tuỳ chọn này, bạn có thể bật SSL mã hoá cả hai chiều mà không cần phải cài thêm chứng chỉ của CloudFlare vào máy chủ, sau khi bật xong là có thể sử dụng luôn được ngay.

Cài đặt Full SSL (Strict) với Origin Certificate

Mình khuyến khích bạn nên sử dụng chế độ Full (Strict) để dữ liệu được mã hóa an toàn end-to-end. Bạn có thể sử dụng Origin Certificate do Cloudflare cung cấp miễn phí.

Bước 1: Chọn chế độ SSL

Bạn truy cập vào SSL/TLS => Overview => chọn Full (strict).

Bước 2: Tạo Origin Certificate

Origin Certificate là chứng chỉ SSL do Cloudflare cấp, chỉ dùng cho kết nối giữa Cloudflare và máy chủ gốc. Chứng chỉ này có thời hạn lên đến 15 năm và hoàn toàn miễn phí.

Bạn truy cập vào SSL/TLS => Origin Server => Create Certificate

Giao diện Origin Certificate trên Cloudflare mới:

Chọn Generate private key and CSR with Cloudflare, rồi nhấn Create.

Lúc này Cloudflare sẽ cung cấp cho bạn 2 nội dung Origin Certificate và Private Key. Bạn tiến hành copy và lưu lại nội dung 2 file này (rất quan trọng), sau khi đã lưu xong bạn chọn OK.

Tiếp đó bạn cần chờ vài phút để Cloudflare duyệt chứng chỉ. Nếu hiển thị như hình bên dưới là chứng chỉ đã được cấp phát và có thể sử dụng.

Bước 3: Cài đặt chứng chỉ lên máy chủ

Ở đây mình sẽ làm mẫu với Host/VPS sử dụng cPanel. Với các control panel khác, bạn cũng tìm đến phần cấu hình SSL và làm theo tương tự.

Tại giao diện cPanel, bạn tìm đến phần SSL/TLS

Chọn tiếp vào Manage SSL sites

Tiếp đó tại mục Install an SSL Website, bạn chọn đúng tên website cần cài đặt và điền các chứng chỉ Origin Certificate, Private Key (ở Bước 2). Cách cài đặt các bạn làm theo Video hướng dẫn bên dưới.

Với phần Certificate Authority Bundle (CABUNDLE) hay CA root, bạn có thể dùng tính năng Autofill by Certificate để scan tự động, hoặc sử dụng nội dung bên dưới. Tham khảo thêm tại đây.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Bước 4: Kiểm tra chứng chỉ

Cách 1: Kiểm tra trực tiếp chứng chỉ bằng cách truy cập website => click chọn vào ổ khóa trên thanh địa chỉ.

Cách 2: Kiểm tra chứng chỉ thông qua công cụ SSL Shopper

Truy cập https://www.sslshopper.com/ssl-checker.html, điền tên website và nhấn Check SSL.

Edge Certificates

Ngoài Origin Certificate, Cloudflare còn tự động cấp Edge Certificate (Universal SSL) miễn phí cho mọi website trên Cloudflare. Đây là chứng chỉ SSL mà người dùng nhìn thấy khi truy cập website của bạn.

Edge Certificate được Cloudflare tự động gia hạn, bạn không cần thao tác gì thêm.

Các thiết lập SSL/TLS nâng cao

Always Use HTTPS

Tính năng này tự động chuyển hướng (redirect) tất cả request HTTP sang HTTPS. Bạn nên bật tính năng này để đảm bảo mọi truy cập đều qua kết nối mã hóa.

Truy cập SSL/TLS => Edge Certificates => bật Always Use HTTPS.

Automatic HTTPS Rewrites

Tính năng này giúp tự động sửa các URL http:// trong nội dung website thành https://, giải quyết vấn đề mixed content (khi trang HTTPS load tài nguyên qua HTTP). Bạn nên bật tính năng này.

HSTS (HTTP Strict Transport Security)

HSTS yêu cầu trình duyệt chỉ sử dụng HTTPS khi truy cập website. Sau khi bật, trình duyệt sẽ tự động dùng HTTPS cho mọi lần truy cập tiếp theo mà không cần redirect.

Lưu ý: Chỉ bật HSTS khi bạn chắc chắn website sẽ luôn sử dụng HTTPS. Nếu tắt SSL sau khi đã bật HSTS, người dùng sẽ không thể truy cập website cho đến khi hết thời gian max-age.

Minimum TLS Version

Thiết lập này cho phép bạn chọn phiên bản TLS tối thiểu mà Cloudflare chấp nhận. Mình khuyến nghị đặt tối thiểu TLS 1.2 vì:

• TLS 1.0 và 1.1 đã bị coi là không an toàn và deprecated.
• Tất cả trình duyệt hiện đại đều hỗ trợ TLS 1.2 trở lên.
• PCI DSS yêu cầu tối thiểu TLS 1.2 cho các website xử lý thanh toán.

Truy cập SSL/TLS => Edge Certificates => chọn Minimum TLS Version là TLS 1.2.

Tổng kết

Trên đây là bài viết hướng dẫn chi tiết về cách cài đặt SSL trên Cloudflare. Tóm tắt các điểm quan trọng:

• Luôn sử dụng chế độ Full (Strict) để đảm bảo mã hóa end-to-end.
• Tạo Origin Certificate miễn phí từ Cloudflare để cài trên máy chủ gốc.
• Bật Always Use HTTPS và Automatic HTTPS Rewrites.
• Đặt Minimum TLS Version là 1.2 trở lên.
• Cân nhắc bật HSTS khi đã chắc chắn dùng HTTPS lâu dài.

Việc sử dụng SSL sẽ mang lại nhiều lợi ích cho website, đáng chú ý là tính bảo mật và được Google đánh giá cao, giúp ích nhiều cho SEO. Hẹn gặp lại các bạn ở các bài hướng dẫn tiếp theo!