Những câu hỏi thường gặp liên quan đến chứng thư SSL

Đánh giá bài viết

1. Tôi phải lựa chọn gói SSL nào cho phù hợp?
Tuỳ theo nhu cầu của bạn. Gợi ý cho bạn cụ thể như sau:
• Nếu bạn chỉ đăng ký SSL cho mục đích cá nhân, bạn chọn gói DV SSL (Domain Validation SSL). Với gói DV SSL, các nhà cấp phát SSL chỉ yêu cầu xác minh quyền sở hữu tên miền.
• Nếu bạn đăng ký SSL để sử dụng cho Doanh nghiệp/ Tổ chức, bạn có thể chọn gói OV SSL (Organization Validation SSL) hoặc EV SSL (Extended Validation SSL). Với gói SSL này, các nhà cấp phát SSL sẽ phải xác minh thông tin Doanh nghiệp/ Tổ chức của bạn và thông tin này phải đúng với thông tin đã đăng ký trên giấy phép kinh doanh.

Các gói SSL tại Mắt Bão: GeoTrust SSL, Comodo SSL, Symantec.
Lưu ý: Symantec chỉ cấp phát chứng thư SSL loại OV (Organization Validation SSL) và EV (Extended Validation SSL), không cấp phát chứng thư SSL loại DV (Domain Validated).

2. Khi đăng ký SSL, việc đầu tiên tôi cần phải làm gì?
Bạn nên dành một vài phút để đọc kỹ Những lưu ý khi đăng ký sử dụng chứng thư SSL để hiểu rỏ quy trình và khai báo thông tin đăng ký chính xác. Bởi chỉ một sai sót nhỏ thôi cũng có thể dẫn đến việc đăng ký (hoặc cài đặt sau này) thất bại và sẽ mất rất nhiều thời gian của bạn.

3. Làm sao tôi có thể tạo được mã CSR/ Private Key trước khi đăng ký SSL?
Có nhiều cách để tạo tập tin CSR, bạn có thể tạo CSR từ IIS, chạy lệnh (command line) thông qua openSSL, keytool,… hoặc tạo CSR từ các Control Panel (cPanel, Plesk, DirectAdmin, VestaCP, …) hay đơn giản hơn bạn có thể sử dụng công cụ CSR Generate của Mắt Bão tại đây để thực hiện nhanh chóng (và dễ dàng hơn, vì có hướng dẫn cụ thể trong lúc nhập thông tin).

4. Wildcard SSL là gì?
Là loại chứng thư được cấp phát để sử dụng SSL được cho cả domain.tld (tên miền chính) và tất cả những tên miền con (subdomain) theo tên miền chính domain.tld. Ví dụ: forum.domain.tld, blog.domain.tld, shop.domain.tld, …
Wildcard SSL có thể bảo mật cho không giới hạn tên miền con với chỉ một chứng thư SSL duy nhất.
Lưu ý: Khi tạo mã CSR/ Private Key, bạn phải khai báo tên miền là: *.domain.tld. Wildcard chỉ được cấp phát cho DV SSL và OV SSL. Không có Wildcard cho EV SSL, đây là quy định của tổ chức CAB (CA/Browser Forum).

5. UCC/SAN SSL là gì?
Là mua thêm tên miền để tích hợp vào chứng chỉ SSL có sẵn.
Có nhiều cách gọi như: UCC SSL, SAN SSL, Mutil-Domain SSL, UC Certificate, UC/SAN SSL hay UCC/SAN SSL.
Với UCC/SAN SSL, bạn hiểu rằng có thể sử dụng nhiều tên miền khác nhau trong cùng 1 chứng thư SSL duy nhất.
Ví dụ: Khi bạn mua SSL có bảo mật thêm website (SANs) thì mặc định bạn đã có sẵn 4 SAN và như vậy bạn sẽ được bảo mật cho 5 tên miền khác nhau (bao gồm 4 tên miền theo 4 SAN + tên miền chính) chỉ trong một chứng thư SSL duy nhất.
Lưu ý: Khi tạo mã CSR/ Private Key, bạn phải khai báo tên miền là: domain.tld,domain1.tld,domain2.tld,domain3.tld,domain4.tld. Tối đa nhập 25 tên miền (bao gồm tên miền chính và các tên miền theo SANs), số lượng tên miền tuỳ vào gói SAN SSL mà bạn đã đăng ký. Tên miền chính phải được nhập đầu tiên, sau đó mới đến các tên miền theo SANs. Giữa các tên miền phải là dấu “,” và không có khoảng trống.

6. Gói EV SSL (Extended Validation SSL) có gì khác biệt so với gói OV SSL (Organization Validation SSL)?
EV (Extended Validation SSL) là chứng chỉ SSL xác thực mở rộng cung cấp ở mức độ bảo đảm cao hơn. Bạn phải tuân thủ theo các bước xác minh thông tin Doanh nghiệp/ Tổ chức rất nghiêm ngặt từ nhà cấp phát SSL (CA). Cũng chính điều này làm tăng độ uy tín của Doanh nghiệp/ Tổ chức khi sử dụng SSL. Bạn dễ dàng nhận thấy 2 điều khác biệt của gói EV SSL so với gói OV SSL như sau:

  • EV SSL có thanh địa chỉ màu xanh trên trình duyệt và hiển thị thông tin Doanh nghiệp/ Tổ chức đã được đảm bảo độ tin cậy.
  • Gói EV SSL không có Wildcard Certificate.

7. Tại sao khi tôi truy cập website với https://domain.tld thì SSL được xác thực, còn nếu truy cập https://www.domain.tld (có www) thì SSL không được xác thực trên trình duyệt?
SSL có phân biệt tên miền rỏ ràng: domain.tld và www.domain.tld là 2 tên miền khác nhau.
• Nếu tên miền bạn khai báo sử dụng khi đăng ký SSL là domain.tld thì không sử dụng SSL được cho www.domain.tld.
• Nhưng nếu tên miền bạn khai báo sử dụng khi đăng ký SSL là www.domain.tld thì cả www.domain.tlddomain.tld đều sử dụng được SSL. Do đó, chúng tôi khuyên bạn nên khai báo www.domain.tld khi đăng ký SSL.

8. Tôi có thể đăng ký Wildcard cho gói EV SSL không?
Thưa không. Chứng chỉ SSL xác thực mở rộng (EV SSL) cung cấp ở mức độ bảo đảm cao hơn các loại chứng chỉ SSL khác (DV SSL, OV SSL). Để đảm bảo rằng chứng chỉ EV SSL không được phát hành gian lận hoặc tránh lạm dụng sau khi phát hành, tổ chức CAB (CA/Browser Forum) đưa ra quy định và yêu cầu tất cả các nhà cấp phát SSL (CA) phải xác nhận tính hợp pháp của tất cả địa chỉ Web (URL) có chứng chỉ EV SSL được chỉ định. Do đó, việc cấp chứng chỉ EV SSL Wildcard cho các địa chỉ web như “*.domain.tld” không được cấp phát.

9. Tôi có thể đăng ký thêm tên miền cho gói SSL có SANs đã có sẵn không?
Thưa không. Bạn không thể nâng cấp một UCC/SAN SSL để có được thêm nhiều tên miền cho một chứng chỉ SSL đã được cấp phát. Nếu bạn muốn thêm tên miền, bạn có thể mua thêm một chứng chỉ SSL mới hoặc phải huỷ SSL hiện tại, sau đó khai báo lại thông tin và đăng ký SSL lại từ đầu.

10. Sau khi hoàn tất các bước kích hoạt đăng ký dịch vụ SSL trên id.matbao.net, tôi sẽ tiếp tục làm gì?
Sau khi hoàn tất các bước kích hoạt đăng ký dịch vụ SSL trên id.matbao.net, trạng thái của dịch vụ sẽ chuyển sang PENDING. Kể từ lúc này, bạn thường xuyên kiểm tra Email xác thực của mình để nhận mail Approve từ nhà cung cấp SSL (CA) gửi về cho bạn (trong vòng 48h).

11. Tôi cần lưu ý những gì tại bước CA xác minh thông tin?
Sau khi hoàn tất các bước kích hoạt đăng ký dịch vụ SSL trên id.matbao.net, bạn cần lưu ý những việc sau đây (rất quan trọng):
• Bạn phải chắc chắn rằng địa chỉ Email xác thực phải tồn tại và đang sử dụng để Gửi/ Nhận được tốt. Đây là Email dùng để xác minh thông tin mà nhà cấp phát SSL (CA) gửi đến bạn và cũng là Email để bạn nhận tập tin CRT sau khi xác minh hoàn tất.
• Nếu SSL mà bạn đăng ký là OV SSL hoặc EV SSL, bạn phải chắc chắn rằng thông tin Doanh nghiệp/ Tổ chức đã được khai báo chính xác theo giấy phép kinh doanh.

  • Đối với GeoTrust SSLSymantec SSL: Bạn khai báo thông tin doanh nghiệp trên: Trang Vàng.
  • Đối với Comodo SSL: Bạn khai báo thông tin doanh nghiệp trên trang: Dun & Bradstreet.
  • Vui lòng xem hướng dẫn cách khai báo thông tin Doanh nghiệp tại đây.

• Trong quá trình xác minh thông tin Doanh nghiệp/ Tổ chức, rất có khả năng một số nhà cung cấp SSL sẽ liên hệ trực tiếp đến bạn qua số điện thoại của Doanh nghiệp đã khai báo và trao đổi bằng tiếng Anh. Bạn lưu ý đừng bỏ qua những cuộc gọi quan trọng này.
• Do khác múi giờ nên rất có thể bạn sẽ phải trao đổi vào ban đêm. Các tổ chức cấp phát SSL (CA) không làm việc vào các ngày Thứ Bảy, Chủ nhật trong tuần.

12. Tại sao tôi không nhận được mail xác thực (mail Approve) của nhà cấp phát SSL (CA) sau khi tôi đã tiến hành đăng ký SSL?
Nhà cấp phát SSL (CA) sẽ chỉ gửi mail Approve về 1 trong 5 địa chỉ email theo tên miền chính đăng ký SSL sau đây:
admin@domain.tld (mặc định – thường dùng)
administrator@domain.tld
postmaster@domain.tld
hostmaster@domain.tld
webmaster@domain.tld
Đây là địa chỉ Email dùng để xác minh thông tin chủ thể đăng ký SSL và cũng là Email để bạn nhận chứng chỉ SSL (tập tin CRT) sau khi xác minh thành công. Do đó, bạn chắc chắn rằng địa chỉ Email xác thực này phải là địa chỉ có thật và đang được sử dụng Gửi/ Nhận mail tốt.

13. Trong trường hợp nếu không nhận được mail Approve của CA, tôi phải làm sao?
Trong vòng 48h kể từ sau khi bạn kích hoạt dịch vụ SSL trên trang https://id.matbao.net, vì một lý do gì đó, nếu Email xác thực của bạn không nhận được mail xác minh từ nhà cung cấp SSL (CA) gửi về. Bạn cần phải kiểm tra lại địa chỉ Email đã được tạo ra hay chưa và có Gửi/ Nhận được mail hay không. Nếu không, bạn vui lòng gửi yêu cầu đến Mắt Bão để chúng tôi kiểm tra cho bạn, trong yêu cầu bạn vui lòng nêu rỏ tên miền đăng ký SSL, địa chỉ Email xác thực không nhận được mail từ nhà cung cấp SSL.

14. Để cài đặt SSL, tôi cần những gì?
Để cài đặt SSL trên máy chủ, bạn bắt buộc phải có đủ 3 tập tin mã CRT, CA, Private Key. Trong đó, Private Key là mã mà bạn đã tạo ra ngay từ bước tạo CSR, còn CRT, CA là những mã được nhà cung cấp SSL gửi cho bạn sau khi đã hoàn tất việc xác minh thông tin.
Lưu ý: Mỗi nhà cung cấp SSL đều có mã CA (CA root) khác nhau. Nếu không nhận được tập tin CA, bạn có thể tải về ngay trên trang web chính thức của nhà cung cấp SSL mà bạn đã đăng ký.

15. Tôi đã cài đặt SSL thành công, nhưng tại sao một số phiên bản trình duyệt/ hệ điều hành không xác thực SSL của tôi?
Có thể bạn chỉ mới cài đặt CRT và Private Key, thiếu mã CA. Một số khách hàng sau khi nhận tập tin CRT chỉ cài đặt CRT, Private Key mà không cài đặt mã CA. Điều này dẫn đến việc một số phiên bản trình duyệt, ứng dụng hoặc Hệ điều hành không chứng thực SSL được. Do vậy, khi cài đặt SSL trên máy chủ bạn phải import đủ 3 mã: CRT, Private Key và cả mã CA nữa nhé. Mã CA có thể được nhà cung cấp SSL gửi về cho bạn cùng với tập tin CRT hoặc bạn cũng có thể tải về tại website chính thức của nhà cung cấp SSL. Mã CA của mỗi nhà cung cấp SSL là khác nhau.