HSTS là gì? HTTPS là chuẩn kết nối bảo mật thiết yếu cho mọi website. Để nâng cao bảo mật và tối ưu tốc độ truy cập, HTTP Strict Transport Security (HSTS) là một chính sách quan trọng giúp bảo vệ website. Bài viết này sẽ giới thiệu về HSTS, cách thức hoạt động và hướng dẫn cách áp dụng hiệu quả chính sách này khi sử dụng công cụ SEO Spider.
Chính Sách Bảo Mật Strict Transport Security (HSTS) là gì?
HTTP Strict Transport Security (HSTS) là một tiêu chuẩn bảo mật, theo [RFC 6797], cho phép máy chủ web thông báo với trình duyệt hoặc công cụ crawl rằng trang web này chỉ nên được truy cập qua giao thức HTTPS an toàn.
Khi trình duyệt hoặc crawler nhận được thông báo này, tất cả các yêu cầu sau đó đến trang dù có là liên kết HTTP cũng sẽ tự động chuyển thành HTTPS. Trong công cụ SEO Spider từ phiên bản 8.0, khi gặp trường hợp này, nó sẽ hiển thị mã trạng thái 307 kèm trạng thái “HSTS Policy” cùng loại chuyển hướng “HSTS Policy”.
Do trang thử nghiệm HSTS trước đây không còn hoạt động, bạn có thể tự kiểm tra trên website của mình hoặc các trang hỗ trợ HSTS để quan sát hiện tượng mã trạng thái 307 Trên Screaming Frog.
Chrome cũng xử lý tương tự (bạn cần bật tùy chọn ‘Preserve Log‘ để không mất mã 307).
Khác với chuyển hướng 301 hay 302 do máy chủ gửi, mã chuyển hướng 307 do HSTS không phải được gửi ra bên ngoài mà là xử lý nội bộ trong trình duyệt hoặc SEO Spider. Điều này có nghĩa là không có yêu cầu mới nào được gửi lại máy chủ, mà mọi việc được xử lý “ngầm” trong trình duyệt.
Khi máy chủ web đặt chính sách chỉ cho phép truy cập HTTPS, nó cũng đưa ra thời hạn hiệu lực (expiry) cho chính sách đó. Vì vậy, dùng mã 307 — tức chuyển hướng tạm thời — là hợp lý để biểu thị điều này.
Cách hoạt động và cấu hình chính sách HSTS
Header Strict-Transport-Security chỉ được gửi qua giao thức HTTPS, nếu gửi qua HTTP sẽ bị bỏ qua. Header này có 2 tham số chính:
- max-age: Số giây xác định thời gian trình duyệt phải chỉ truy cập qua HTTPS.
- includeSubDomains: Nếu có, chính sách sẽ được áp dụng cho tất cả các tên miền phụ.
Ví dụ:
- Bật HSTS cho cả năm: Strict-Transport-Security: max-age=31536000
- Tắt HSTS: Strict-Transport-Security: max-age=0
- Bật HSTS cho 1 tháng và tất cả subdomain: Strict-Transport-Security: max-age=2592000; includeSubDomains
Lợi ích khi sử dụng HSTS
HSTS là cơ chế giúp trình duyệt tự động chuyển tất cả các yêu cầu HTTP sang HTTPS mà không cần gửi lại yêu cầu chuyển hướng đến máy chủ, mang lại nhiều lợi ích vượt trội hơn so với việc dùng chuyển hướng HTTP -> HTTPS toàn trang:
- Giảm lưu lượng truyền tải qua các kết nối không an toàn, bảo vệ dữ liệu khỏi nguy cơ nghe lén hoặc giả mạo.
- Tăng tốc độ truy cập nhờ tránh được bước chuyển hướng thừa mỗi khi gặp liên kết HTTP.
- Giảm tải cho máy chủ vì không phải xử lý nhiều yêu cầu chuyển hướng.
Tuy nhiên, để chính sách HSTS phát huy tác dụng, bạn vẫn cần có một chuyển hướng HTTP -> HTTPS ban đầu. Bởi vì header Strict-Transport-Security chỉ có hiệu lực khi được gửi qua kết nối an toàn HTTPS. Nếu lần truy cập đầu tiên không qua HTTPS thì trình duyệt chưa biết để yêu cầu dùng HTTPS cho những lần sau.
Vì thế, trong công cụ SEO Spider, bạn có thể không thấy mã phản hồi 307 ngay cho URL đầu tiên, nhưng điều đó vẫn có thể xảy ra nếu SEO Spider gọi file robots.txt qua HTTP, nhận chuyển hướng 301 sang HTTPS, rồi mới nhận header HSTS, và lúc đó báo 307 cho URL đầu tiên crawl được. Nếu tắt kiểm tra robots.txt, SEO Spider sẽ báo 301 cho lần crawl đầu.
Cấu hình bật/tắt chính sách HSTS trong SEO Spider
Theo mặc định, chính sách HSTS trong SEO Spider được tắt. Nếu bạn muốn bật tính năng này, hãy vào phần cài đặt: Configuration > Spider > Advanced rồi chọn tích vào mục “Respect HSTS Policy”.
Khi bật, SEO Spider sẽ tuân theo chính sách HSTS và hiển thị mã trạng thái 307 cùng với ghi chú “HSTS Policy” khi gặp các URL chỉ được truy cập qua HTTPS.
Nếu không bật tính năng này, SEO Spider sẽ bỏ qua chính sách HSTS và báo cáo các chuyển hướng thật sự do máy chủ gửi, ví dụ như 301 hoặc 302.
Điều này giúp bạn có thể chọn cách hiển thị báo cáo phù hợp với nhu cầu, tùy thuộc vào việc bạn muốn phân tích dựa trên các chính sách bảo mật nội bộ hay các chuyển hướng thật sự từ máy chủ.
Cài đặt và áp dụng HSTS đúng cách là rất quan trọng để bảo vệ trang web của bạn khỏi các rủi ro về bảo mật và tăng hiệu suất truy cập. Bên cạnh việc cấu hình đúng trên máy chủ, bạn cũng nên bật tính năng nhận biết HSTS trên các công cụ crawl như SEO Spider để có kết quả phân tích chính xác. Nhớ luôn kiểm tra kỹ các chuyển hướng ban đầu để đảm bảo không làm gián đoạn trải nghiệm người dùng cũng như hiệu quả SEO. Hãy luôn kiểm tra kỹ các chuyển hướng ban đầu để đảm bảo trải nghiệm người dùng mượt mà cũng như tối ưu hiệu quả SEO. Bật chính sách HSTS trong SEO Spider sẽ giúp bạn phân tích website chính xác hơn và bảo vệ trang web tốt hơn trước các rủi ro bảo mật.
Tác giả: Trọng Lễ – Nhân sự Technical SEO LENART
