Nếu bạn là webmaster / webdev, có lẽ bạn đã biết vụ chứng chỉ gốc DST Root CA X3 của Let’s Encrypt hết hạn vào ngày 30/09/2021 và được thay thế bằng chứng chỉ gốc mới ISRG Root X1 (hết hạn vào 2035).
Sự thay đổi này khiến các thiết bị cũ sẽ không thể truy cập được các website sử dụng SSL của Let’s Encrypt (hàng triệu website). Khi truy cập sẽ bị báo lỗi: “Your connection isn’t private / Kết nối của bạn không phải là kết nối riêng tư” như dưới đây
Các hệ điều hành gặp lỗi bao gồm:
- iOS 10 hoặc cũ hơn
- Ubuntu 16.04 hoặc cũ hơn
- Debian 8 hoặc cũ hơn
- Windows 7 hoặc cũ hơn
Nếu bạn không muốn mất lượt truy cập website từ các khách hàng sử dụng các hệ điều hành cũ này, cách duy nhất là chuyển qua sử dụng các chứng chỉ SSL trả phí.
Mục Lục
I. Có cần phải chuyển qua SSL trả phí?
Câu trả lời tuỳ thuộc vào đối tượng khách hàng mà website của bạn hướng đến và mục đích hoạt động của website (blog hay trang bán hàng).
- Nếu website hướng đến nhóm đối tượng trẻ, yêu thích công nghệ, bạn không phải bận tâm chuyển qua SSL trả phí vì nhóm này đa số đều sử dụng các thiết bị đời mới, không lo bị lỗi khi truy cập website
- Ngược lại, nếu đối tượng khách hàng là trung niên, không rành công nghệ, nhiều khả năng nhóm này vẫn còn dùng các máy tính đời cũ để truy cập website. Lúc này bạn nên chuyển qua SSL trả phí để không mất nhóm khách này.
- Nếu website là blog cá nhân, chẳng cần phải tốn tiền mua SSL, mất chút lượt truy cập chẳng đáng là bao.
- Nếu website là trang bán hàng e-commerce, bạn nên cân nhắc chuyển qua dùng SSL trả phí để không mất lượt truy cập (= mất đơn hàng)
Trong số rất nhiều website dưới quyền quản lý, mình chỉ cập nhật SSL trả phí cho 1 tên miền duy nhất: https://ycb.vn. Vì đây là trang e-commerce, cần câu cơm của mình. Mình không muốn bỏ lỡ bất kỳ cơ hội nào để chốt thêm đơn hàng từ khách truy cập.
Còn lại các website khác mình vẫn tiếp tục sử dụng chứng chỉ SSL miễn phí của Let’s Encrypt hoặc ZeroSSL. Chẳng hạn như blog thuanbui.me này mình vẫn giữ SSL của Let’s Encrypt.
Khó khăn phải đối mặt khi chuyển qua dùng SSL trả phí là mình chưa biết mua SSL và cấu hình ra sao. Trước giờ toàn dùng hàng miễn phí của Let’s Encrypt, chứng chỉ được cấp tự động khi tạo website, nên mù tịt về khoản SSL này.
Dưới đây là chia sẻ lại quá trình mình đặt mua SSL trả phí và cách cấu hình SSL cho tên miền. Hy vọng nó sẽ giúp ích cho các bạn nào đang mò mẫm chuyển qua SSL trả phí.
II. Đặt mua chứng chỉ tại SSLs.com
Mình chọn đặt mua chứng chỉ SSL tại SSLs.com, vì giá ở đây rẻ nhất: $3.44/năm (áp dụng khi mua 5 năm).
Mình đặt mua luôn 5 năm, chỉ tốn $17.20. Quá rẻ!
III. Kích hoạt chứng chỉ SSL
Sau khi đặt mua xong, mình bấm vào nút Activate để kích hoạt chứng chỉ SSL.
Chứng chỉ có thời hạn 396 ngày. Khi hết hạn, bạn sẽ nhận được email thông báo để kích hoạt lại.
Nhập vào tên miền cần dùng chứng chỉ SSL này. Mình nhập vào website ycb.vn
Chọn Create CSR in-browser và bấm nút SAVE KEY.ZIP để lưu Private key về máy
Bạn cần lưu kỹ file Private key này trên máy vì nó không được lưu trên máy chủ của SSLs.com. Nếu mất Private key, bạn phải yêu cầu cấp lại.
Sau khi lưu Private Key về máy, bấm tiếp ONWARDS để qua bước xác nhậ tên miền
IV. Xác nhận tên miền
Bạn có thể xác nhận tên miền bằng 3 cách:
- Xác nhậ qua file
- Xác nhận qua email
- Xác nhận qua DNS
Mình chọn các xác nhận bằng DNS để đỡ phải upload file phiền phức.
Ở bước đầu tiên, bạn chỉ cần bấm SUBMIT. Chúng ta sẽ thiết lập xác nhận bằng DNS ở bước sau.
Ở bước này, SSLs.com yêu cầu upload file lên máy chủ của website để xác nhận qua file. Mình muốn xác nhận qua DNS nên sẽ truy cập vào trang quản lý My SSL để làm tiếp
Bấm vào nút DETAILS
Bấm vào STATUS CHECKER
Bạn sẽ được chuển qua website Sectigo. Đăng nhập theo thông tin sau
- Sectigo Order Number: mã đơn hàng của bạn trên SSLs.com
- Domain Name: tên miền
- Email Address: để trống
Bấm vào Change Method để thay đổi cách xác nhận tên miền.
Bấm vào Show Alternative DCV Information
Chọn qua mục CNAME CRS Hash. Bạn sẽ thấy thông tin CNAME cần thiết lập trên DNS của tên miền. Chọn tiếp mục CNAME CSR Hash . Sau đó bấm Change and Resend / Retry
Tiếp theo bạn cần truy cập vào trang quản lý tên miền và tạo thêm CNAME Record như thông tin ở trên.
- CNAME: _AED….3
- Content: BF97….sectigo.com (chú ý nhớ gom 2 dòng lại làm 1 nếu không sẽ báo lỗi khi tạo CNAME Record)
Sau khi tạo CNAME thành công, chờ vài phút để hệ thống xác nhận. Sau khi xác nhận thành công, trang quản lý SSL sẽ hiện thông tin Status: Issued.
Bấm vào nút Download để tải chứng chỉ SSL về máy, chuẩn bị cho bước cấu hình SSL cho tên miền.
V. Cấu hình SSL trên CyberPanel
Sau khi đã tải chứng chỉ SSL về máy và unzip, bạn sẽ có 3 file:
- ycb.vn.ca-bundle
- ycb.vn.cert
- ycb.vn.p7b
Ngoài ra chúng ta còn có 1 file chứa Private Key đã tải về ở bước trước đó với tên gọi ycb_vn_key.txt. Tổng cộng sẽ có 4 file chứa thông tin của chứng chỉ SSL như dưới đây.
Tuỳ theo bạn dang sử dụng Web Server hay Web Panel nào mà cách cấu hình SSL cho tên miền sẽ khác nhau. Tham khảo cách cấu hình cho các web panel phổ biến (cPanel, DirectAdmin, Webmin,…) ở đây: Where can I find instructions on how to install my SSL certificate? – HelpDesk | SSLs.com
Tuy nhiên, trong số đó không có hướng dẫn cấu hình cho CyberPanel. Bạn nào đang dùng CyberPanel giống mình thì tham khảo cách cấu hình SSL dưới đây.
1. Thêm chứng chỉ SSL
Truy cập vào Cyberpanel, truy cập tiếp vào trang quản lý của tên miền cần cấu hình SSL. Sau đó kéo xuống mục Configuration và bấm vào nút Add SSL
Bên ô Paste Your Cert, bạn điền vào nội dung của cả 2 file *.cert và *.ca-bundle. Lưu ý: file cert cần nhập vào trước, file ca-bundle nhập sau. Nội dung của mục Paste Your Cert sẽ tương tự như dưới đây
-----BEGIN CERTIFICATE-----
aaaaaaaaaaaaaaaaaaaa
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
yyyyyyyyyyyyyy
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
zzzzzzzzzzzzzzzzzzzzz
-----END CERTIFICATE-----
Code language: Markdown (markdown)
Bên ô Paste Your Key, bạn điền vào nội dung của file Private Key (ycb-vn-key.txt), nội dung tương tự như sau.
-----BEGIN PRIVATE KEY-----
aaaaaaa
bbbbbbb
cccccc
-----END PRIVATE KEY-----
Code language: PHP (php)
Sau khi hoàn tất bấm Save.
2. Khởi động lại LiteSpeed
Tiếp theo truy cập vào mục LiteSpeed Status nằm trong menu Server Status ở cột bên trái. Bấm vào nút Reboot LiteSpeed để khởi động lại LiteSpeed Server.
3. Kiểm tra chứng chỉ SSL mới
Bạn có thể kiểm tra chứng chỉ SSL của tên miền bằng website này: www.sslshopper.com
Tên miền ycb.vn khi còn sử dụng SSL miễn phí của Let’s Encrypt
Sau khi cấu hình SSL trả phí, thông tin đã được cập nhật: The certificate was issued by Sectigo.
Lưu ý: Nếu bạn cần hỗ trợ kỹ thuật, vui lòng gửi câu hỏi trực tiếp ở phần Thảo luận bên dưới, mình sẽ trả lời sớm. Đừng vào hỏi trong fanpage Yêu Chạy Bộ, sẽ không có phản hồi đâu!