CommunityTip - Câu hỏi thường gặp về bảo mật

Vui lòng đọc trước khi đăng bài

Vui lòng xem lại bài đăng này và những bài được liên kết và sử dụng tính năng :search: ở góc trên bên phải để tìm kiếm sự cố của bạn. Mục Lời khuyên của cộng đồng này có các câu hỏi và câu trả lời cho các câu hỏi thường gặp nhất về SSL/TLS, tính năng :search: cũng sẽ cung cấp thêm lời khuyên & thông tin chuyên sâu.

Tổng quan
Mục Câu hỏi thường gặp về bảo mật này chứa nội dung liên quan đến Cloudflare Spectrum, Cloudflare Access, Universal SSL miễn phí, chứng chỉ biên, chứng chỉ tự ký và chứng chỉ nguồn gốc, TLS, HSTS cũng như các nội dung khác về ứng dụng SSL/TLS.

Vòng lặp chuyển hướng
Nếu bạn đang sử dụng chế độ Flexible SSL trong thẻ Tổng quan trên ứng dụng SSL/TLS của Cloudflare và bạn đang buộc chuyển hướng sang HTTPS từ nguồn gốc của mình, thì đây rất có thể là nguyên nhân gây ra sự cố. Chế độ Flexible hoạt động bằng cách không mã hóa lưu lượng truy cập đến và đi từ nguồn gốc của bạn và Cloudflare. Vì nguồn gốc của bạn đang buộc chuyển hướng sang https và yêu cầu sau đó được chuyển hướng đến Cloudflare nơi Cloudflare lại cố gắng gửi cùng một yêu cầu http thì vòng lặp vô hạn sẽ xảy ra. Sự cố này được thảo luận trong phần hướng dẫn cơ sở kiến thức này -- Tại sao Flexible SSL gây ra vòng lặp chuyển hướng?

Sau đây là một số giải pháp để bạn khắc phục sự cố này:

Tìm hiểu thêm về SSL trong Hướng dẫn cộng đồng này,
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Tên miền phụ quá sâu/Chứng chỉ tùy chỉnh và Chứng chỉ xác nhận mở rộng
Khi Cloudflare đã cấp thành công dịch vụ “Universal SSL” trên vùng của bạn, xin lưu ý rằng các chứng chỉ này sẽ chỉ bao gồm một cấp tên miền phụ (*.example.com, không phải *.*.example.com):

  • Sẽ hoạt động - www.example.com
  • Sẽ hoạt động - example.com
  • Sẽ hoạt động - test.example.com
  • Sẽ KHÔNG hoạt động - www.test.example.com
  • Sẽ KHÔNG hoạt động - staging.www.example.com

Nếu cần chứng chỉ sử dụng cho các tên miền phụ nhiều cấp, bạn có thể mua Chứng chỉ SSL chuyên dụng với các tên máy chủ tùy chỉnh, tại đây bạn có thể khai báo bất kỳ tên miền phụ nhiều cấp nào trong quá trình mua.

Nếu bạn muốn sử dụng chứng chỉ của riêng mình mà không sử dụng chứng chỉ Universal SSL mà chúng tôi cung cấp, bạn sẽ cần phải nâng cấp lên gói Business Plan và tải lên Chứng chỉ tùy chỉnh.

Xin lưu ý rằng Cloudflare không cung cấp chứng chỉ “Xác nhận mở rộng” tại thời điểm này. Nếu muốn sử dụng chứng chỉ này, bạn cần phải mua riêng một chứng chỉ và tải lên tài khoản Cloudflare của mình bằng cách sử dụng tải lên SSL tùy chỉnh.

Bạn có tùy chọn để mua Trình quản lý chứng chỉ nâng cao và tạo chứng chỉ chuyên dụng với tên máy chủ tùy chỉnh.

Hiểu rõ về Trình quản lý chứng chỉ nâng cao
Quản lý Chứng chỉ SSL chuyên dụng

Hỗ trợ máy khách (chỉ SNI)

Chứng chỉ SSL của chúng tôi trong các gói trả phí (Pro, Business và Enterprise) sẽ hoạt động với tất cả các trình duyệt trên máy tính, vì vậy nếu lo lắng về khả năng tương thích hoặc có nhiều người dùng các trình duyệt cũ, bạn nên nâng cấp lên một trong các gói trả phí của chúng tôi.

Cả Chứng chỉ chuyên dụng và Universal SSL đều sử dụng chứng chỉ Chỉ thị tên máy chủ (SNI) bằng Thuật toán chữ ký số dựa trên đường cong Elliptic (ECDSA). Chứng chỉ SNI và ECDSA hoạt động với các trình duyệt đương đại dưới đây:

Các trình duyệt trên máy tính được cài đặt trên Windows Vista hoặc OS X 10.6 trở lên:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (được bật TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Trình duyệt trên thiết bị di động

  • Safari cho iOS 4.0 trên thiết bị di động
  • Android 3.0 (Honeycomb) trở lên
  • Windows Phone 7

Lưu ý rằng bất kỳ dịch vụ API hoặc cổng thanh toán nào giao tiếp với trang web của bạn cũng phải hỗ trợ SNI và ECDSA để kết nối với trang web của bạn thông qua Cloudflare.

Chế độ SSL - SSL đến nguồn gốc

Cloudflare cung cấp các chế độ SSL sau:

  1. Flexible SSL: SSL bị chấm dứt tại các máy chủ biên của Cloudflare. Toàn bộ dữ liệu giữa máy khách của bạn và Cloudflare đều được mã hóa, còn mọi dữ liệu giữa Cloudflare và nguồn gốc của bạn không được mã hóa. Bạn sẽ không cần chứng chỉ cho khâu này.
  2. Full SSL: SSL bị chấm dứt ở máy chủ biên của Cloudflare. Sau đó, chứng chỉ này sẽ được mã hóa một lần nữa và được gửi trở lại máy chủ của bạn, toàn bộ dữ liệu đều đã được mã hóa. Bạn sẽ cần một chứng chỉ SSL được cài đặt trên máy chủ của mình. Bạn có thể sử dụng chứng chỉ tự ký trên tùy chọn này.
  3. Full SSL (Strict): Tương tự như SSL Full, nhưng bạn phải có chứng chỉ do một Đơn vị cấp chứng chỉ ký, ví dụ như GlobalSign. Nếu muốn bật Full Strict, bạn có thể cài đặt chứng chỉ nguồn gốc miễn phí của Cloudflaretại máy chủ của mình.

Bạn có thể tìm thấy thông tin tổng quan đầy đủ về cài đặt SSL của chúng tôi [tại đây] (https://support.cloudflare.com/hc/en-us/articles/200170416).

Nếu muốn sử dụng các tùy chọn cấu hình Full hoặc Full (Strict), bạn sẽ cần phải có chứng chỉ trên máy chủ web nguồn gốc của mình.

Nếu bạn sử dụng tùy chọn Full (Strict) thì chứng chỉ SSL này phải hợp lệ và được Đơn vị cấp chứng chỉ ký hoặc đang sử dụng dịch vụ Origin CA của chúng tôi.

Lỗi nội dung hỗn hợp và vòng lặp chuyển hướng

Nếu bạn không thấy ổ khóa màu xanh lá cây trên trình duyệt của mình khi kết nối qua HTTPS thì đó có thể là sự cố nội dung hỗn hợp. Lỗi nội dung hỗn hợp có nghĩa là trang web của bạn đang được tải qua HTTPS nhưng một số tài nguyên đang được tải qua HTTP. Để khắc phục sự cố này, bạn sẽ cần phải chỉnh sửa mã nguồn của mình và thay đổi tất cả các tài nguyên để tải qua một đường dẫn tương đối hoặc trực tiếp qua HTTPS.

Ví dụ: nếu bạn tải ảnh của mình thông qua một URL đầy đủ:

<img src="http://example.com/image.jpg" />

Bạn sẽ muốn thay đổi thành:

<img src="//example.com/image.jpg" />

Bằng cách xóa http:, trình duyệt sẽ sử dụng bất kỳ giao thức nào mà người truy cập đã sử dụng. Xem bài viết này để biết thêm thông tin. Ngoài ra, bạn có thể cài đặt tiện ích Mixed-Content Fixer để tự động thay thế http bằng https trong các phần này. Đối với Wordpress, chúng tôi đã thành công với tiện ích SSL Insecure Content Fixer.

Một tùy chọn thay thế sẽ là bật Tự động viết lại HTTPS có khả năng tự động sửa những lỗi này cho bạn. Xin lưu ý rằng các tài nguyên được tải bởi JavaScript hoặc CSS sẽ không được tự động viết lại và các cảnh báo về nội dung hỗn hợp vẫn sẽ xuất hiện.

Những sự cố này thường liên quan đến người dùng dịch vụ Flexible SSL của Cloudflare. Bạn có thể kiểm tra xem mình đang sử dụng dịch vụ SSL của Cloudflare ở chế độ Full hay Flexible bằng cách đăng nhập vào Bảng điều khiển chính và nhấn vào thẻ Tổng quan của ứng dụng SSL/TLS, sau đó đi xuống mục cài đặt SSL.

Người dùng Flexible SSL

Chế độ Flexible hoạt động bằng cách không mã hóa lưu lượng truy cập đến và đi từ nguồn gốc của bạn và Cloudflare. Vì nguồn gốc của bạn đang buộc chuyển hướng sang https và yêu cầu sau đó được chuyển hướng đến Cloudflare nơi Cloudflare lại cố gắng gửi cùng một yêu cầu http thì vòng lặp vô hạn sẽ xảy ra. Tôi có thể xác nhận rằng trang web của bạn thực sự đang thực thi chuyển hướng HTTPS.

Sau đây là một số giải pháp để bạn khắc phục sự cố này:

Cloudflare còn thêm một tiêu đề X-Forwarded-Proto, có thể là http hoặc https, tùy thuộc vào giao thức mà người dùng sử dụng để truy cập trang web, như sau:

X-Forwarded-Proto: https

Khi Flexible SSL được thiết lập và người truy cập yêu cầu Cloudflare qua HTTPS - Cloudflare yêu cầu nguồn gốc qua HTTP. Trong trường hợp đó, máy chủ nguồn gốc có thể cho biết rằng người truy cập đang sử dụng HTTPS bằng cách kiểm tra tiêu đề này.

Chứng chỉ không được cấp
Xem bản ghi ứng dụng DNS để đảm bảo (example.com) và www.example.com hoặc example.com được tạo đám mây màu cam.

Để chứng chỉ Universal SSL của Cloudflare được cấp, bạn phải tạo đám mây màu cam cho bất kỳ bản ghi bắt buộc nào. Khi bản ghi DNS đã được tạo đám mây màu cam, chứng chỉ Cloudflare Universal SSL của bạn sẽ bắt đầu được cấp.

Bạn có thể tìm hiểu thông tin về cách thực hiện việc này trong hướng dẫn thiết lập nhanh bên dưới:

Các lỗi SSL/TLS khác

Khắc phục lỗi 520: Máy chủ web trả về một lỗi không xác định
Khắc phục lỗi 521: Máy chủ web không hoạt động
Khắc phục lỗi 525: Không thể thực hiện quá trình xác nhận và giao tiếp SSL
Khắc phục lỗi 526: Các chứng chỉ SSL không hợp lệ

Nếu bạn cần trợ giúp thêm,
Cộng đồng này luôn có những người dùng Cloudflare khác có thể hỗ trợ bạn, hãy đăng nhập vào Cloudflare và đăng câu hỏi của bạn lên Cộng đồng. Khi bạn đăng trên Cộng đồng, đừng quên thêm những thông tin sau đây chi tiết nhất có thể: thông báo lỗi cụ thể mà bạn đang thấy, các URL mà lỗi này đang xảy ra, ảnh chụp màn hình của lỗi và các bước tái tạo lỗi. Vui lòng cho biết các bước khắc phục sự cố bạn đã thử để chúng tôi có thể trợ giúp bạn.

Chúng tôi đánh giá cao nhận xét của các chuyên gia
Mục Lời khuyên của cộng đồng này sẽ vẫn mở để các chuyên gia trong Cộng đồng và những người quen thuộc với vấn đề này đóng góp ý kiến. Chúng tôi thực sự đánh giá cao những bình luận như: “Ba điều luôn luôn nên thử”, “Hãy thực hiện điều này trước tiên” hoặc “Theo kinh nghiệm của tôi”.

Đây là một Lời khuyên của cộng đồng của Cloudflare, để xem lại các lời khuyên khác, hãy nhấn vào đây.

Çevirmek…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: Translate this Tip

AQSECT 030321