Vào ngày 30/9/2021 cho đến nay, hàng loạt website trên khắp thế giới bị cảnh báo bảo mật ssl, dẫn đến việc không thể truy cập. Vậy nguyên nhân do đâu và làm sao để khắc phục? Dưới đây tôi sẽ nói về nguyên nhân của lỗi này và cách khắc phục chỉ trong 5 phút, Let’s go !
Lỗi cảnh báo bảo mật của SSL Let’s Encrypt
Ngày 30/9/2021 là ngày mà chứng chỉ gốc DST Root CA X3 của Let’s Encrypt hết hạn và cần được thay bằng chứng chỉ mới. Chứng chỉ mới họ dùng là ISRG Root X1, điều này là bình thường vì ISRG Root X1 cũng đã khá phổ biến, nhưng vấn đề là nhiều thiết bị cũ, nhất là iOs sẽ không thể truy cập, điều này làm rớt 1 lượng traffic nhất định.
Khi vào website dùng ssl của let’sencrypt rất có thể bạn sẽ gặp thông báo như dưới đây:
Theo như Let’s Encypt mô tả thì hệ thống của bạn sẽ tự chuyển sang chuỗi xác thực mới, điều bạn cần làm là cập nhật chứng chỉ, cập nhật hệ điều hành cho máy để việc truy cập diễn ra bình thường. Nhưng không may là chúng ta không thể yêu cầu người dùng update hệ điều hành của họ chỉ để có thể vào website của mình.
Dĩ nhiên, hẳn là phải có 1 cách khác ở đây.
Cách sửa lỗi ssl của let’s encrypt trong 5 phút
Trước khi nói về cách sửa chứng chỉ SSL của Let’s Encrypt mình cũng đánh giá về nó 1 chút. Let’s Encrypt ưu điểm đầu tiên là MIỄN PHÍ, bạn có thể cài đặt ngay lập tức và không tốn 1 khoản chi phí nào, quá là hợp lý với đại đa số webmaster. Chỉ có 1 điều mình không ưng lắm, đó là thỉnh thoảng xảy ra lỗi khi renew chứng chỉ, nguyên nhân thì vô vàn sửa thì nhanh nhưng cũng hơi khó chịu nếu bạn đang quản lý nhiều website.
Do đó nhân tiện gặp “lỗi” này của Let’encrypt, mình sẽ hướng dẫn các bạn cách sửa lỗi đó là dùng chứng chỉ CÓ PHÍ của các nhà cung cấp khác.
như đã nói ở phần trên, lỗi truy cập do Let’s Encrypt chuyển chứng chỉ gốc từ DST Root CA X3 sang ISRG Root X1 nên hàng triệu thiết bị sẽ bị ảnh hưởng, để khiến website chúng ta có thể truy cập bình thường mà không cần người dùng update hệ điều hành thì hiện tại mình thấy có 2 cách, 1 là dùng ssl qua Cloudflare, 2 là mua ssl tại nhà cung cấp khác. Dùng ssl qua cloudflare thì có 1 số bất cập nên trong khuôn khổ bài này mình sẽ viết về cách thay chứng chỉ SSL của Let’s Encypt sang nhà cung cấp khác
Với tiêu chí là RẺ bền đẹp, nên ssl tại https://www.ssls.com/ sẽ là nơi mình chọn, mức phí hiện tại là 5.55$/năm – có vẻ là rẻ nhất trong số nhà cung cấp mình biết. Giờ bắt đầu quá trình sửa lỗi ssl của Let’s Encrypt từ A-Z nào !!
Bước 1, vào Website mình vừa gửi ở bên trên, click Buynow như hình bên dưới
Bước 2: Chọn số thời hạn SSL muốn mua và số lượng mua, sau đó click CHECKOUT
Bước 3: đây là bước điền email. lập tài khoản rồi thanh toán, cũng như khi các bạn mua domain hay hosting thôi nên bước này mình bỏ qua. Sau khi mua xong thì các bạn vào MY SSL sẽ thấy giao diện như hình dưới, mình mua ssl cho nhiều domain nên sẽ có nhiều PositiveSSL như này:
Bước 4: Bấm Active sau đó điền domain của bạn vào như hình bên dưới rồi ấn ONWARDS
Bước 5: Sau khi click vào ONWARDS nó sẽ hiện ra giao diện như sau:
Bạn bấm vào SAVE KEY để tải về file chứa thông tin PRIVATE KEY, sau này sẽ sử dụng, tiếp đó bấm ONWARDS
Bước 6: Ở đây sẽ hiện thông tin domain bạn muốn cài ssl và email liên kết, nếu thấy đúng thì bấm SUBMIT
Bước 7: Sau khi bấm submit chúng ta sẽ thấy giao diện như thế này
Lúc này chúng ta cần upload 1 file txt lên hosting để xác thực domain, trước tiên bạn bấm vào phần TEXT FILE để tải về file xác nhận. sau đó tạo thư mục .well-known/pki-validation trong thư mục gốc của website (thường là public_html hoặc www). Rồi upload file txt vừa tải về lên thư mục mới tạo này.
Bước 8: Sau khi làm xong bước 7, các bạn vào MY SSL (https://www.ssls.com/user/bundles), sẽ thấy trạng thái xác thực SSL, Pending có nghĩa là đang đợi xác thực, nếu bạn làm chính xác các bước trên thì đợi một lát sẽ thấy trạng thái được chuyển. trong khi chờ hãy đảm bảo rằng bạn có thể truy cập vào file txt đã upload ở bước 7 một cách bình thường.
Sau khi đợi một vài phút ta sẽ thấy trạng thái chuyển thành như ảnh bên dưới đây, bạn hãy bấm vào DOWNLOAD
Bước 9: Sau khi download file ở bước 8, hãy giải nén ra, bạn sẽ thấy có 3 file, bạn chỉ cần mở file .CRT bằng notepad, sau đó tiếp tục mở file đã tải về ở bước 5 . File tải về ở bước 5 là PRIVATE KEY , file tải về ở bước 8 là CERTIFICATE , hãy nhớ điều này.
Sau khi đã mở thì hãy truy cập vào trình quản lý hosting của bạn, nếu bạn đang đi thuê hosting thì thường trình quản lý sẽ là CPANEL hoặc DIRECT ADMIN (ngoài 2 trình quản lý này ra thì còn rất nhiều trình quản lý khác, nếu để viết chi tiết thì rất dài. Nếu các bạn quan tâm thì comment và share bài, mình sẽ viết chi tiết hơn). sau khi truy cập vào trình quản lý hãy tìm phần chức năng quản lý SSL, hầu hết các trình quản lý đều cho bạn sử dụng SSL riêng. sau khi các bạn tìm thấy thì thường nó sẽ có dạng như thế này:
Hãy điền nội dung 2 file bạn vừa mở vào các ô tương ứng, sau đó SAVE lại.
Sau khi save hãy thử truy cập vào website, bạn sẽ thấy chứng chỉ SSL đã được thay đổi và không còn lỗi ở trên bất kỳ thiết bị nào nữa. Việc setup trình bày thì lâu nhưng thao tác ~5 phút là xong thôi.
Trên đây là toàn bộ hướng dẫn của mình về cách thay SSL cho website, Chúc các bạn thao tác thành công !
