Giới thiệu các chế độ và cách cấu hình mã hóa SSL Cloudflare

Bảo mật website là một yếu tố quan trọng, và SSL/TLS đóng vai trò không thể thiếu trong việc mã hóa dữ liệu giữa người dùng và máy chủ. Cloudflare cung cấp nhiều chế độ SSL khác nhau, giúp chủ website linh hoạt trong việc thiết lập bảo mật theo nhu cầu. Từ chế độ Flexible dành cho những ai chưa có chứng chỉ SSL, đến Full (Strict) đảm bảo an toàn tối đa với chứng chỉ hợp lệ, mỗi chế độ có ưu điểm và nhược điểm riêng. Để hiểu rõ các chế độ này thì hôm nay Zhost sẽ giới thiệu và giúp bạn tối ưu hóa bảo mật mà vẫn đảm bảo hiệu suất cho website.

Các chế độ SSL của Cloudflare

Off (Không mã hóa).

Ở chế độ này, Cloudflare không cung cấp mã hóa SSL. Toàn bộ dữ liệu giữa người dùng và máy chủ đều truyền tải qua HTTP không bảo mật.

• Khi nào nên dùng:
  • Chỉ sử dụng nếu bạn không cần HTTPS và chấp nhận rủi ro bảo mật.
  • Không khuyến khích vì trình duyệt sẽ cảnh bảo “Không an toàn“.

Flexible SSL – Mã hóa một nửa.

Chế độ này giúp bạn sử dụng HTTPS mà không cần chứng chỉ SSL trên máy chủ gốc. Cloudflare sẽ mã hóa dữ liệu giữa người dùng và Cloudflare, nhưng từ Cloudflare đến máy chủ gốc vẫn là HTTP.

• Cách hoạt động:
  • Trình duyệt -> Cloudflare: HTTPS (mã hóa).
  • Cloudflare -> Máy chủ gốc: HTTP (không mã hóa).
• Ưu điểm:
  • Không cần cài SSL trên máy chủ gốc.
  • Người dùng vẫn thấy website có HTTPS.
• Nhược điểm:
  • Dữ liệu từ Cloudflare đến máy chủ gốc không được mã hóa, tiềm ẩn rủi ro bảo mật.
  • Không phù hợp với các website yêu cầu bảo mật cao như thanh toán, tài chỉnh.
• Khi nào nên dùng:
  • Khi bạn không thể hoặc không muốn cài đặt chứng chỉ SSL trên máy chủ gốc.
  • Dành cho các trang web không xử lý dữ liệu nhạy cảm.

Full SLL – Mã hóa hai chiều nhưng chấp nhận chứng chỉ tự ký.

Chế độ này giúp mã hóa dữ liệu từ đầu đến cuối, nhưng Cloudflare không kiểm tra tính hợp lệ của chứng chỉ SSL trên máy chủ gốc.

• Cách hoạt động:
  • Trình duyệt -> Cloudflare: HTTPS (mã hóa).
  • Cloudflare -> Máy chủ gốc: HTTPS (mã hóa).
• Ưu điểm:
  • Dữ liệu luôn được mã hóa trên toàn bộ đường truyền.
  • Cho phép sử dụng chứng chỉ tự ký (Self-signed SSL).
• Nhược điểm:
  • Chứng chỉ tự ký có thể không đảm bảo tính toàn vẹn của dữ liệu.
  • Nếu máy chủ gốc bị tấn công MITM (Man-in-the-Middle), dữ liệu vẫn có thể bị giả mạo.
• Khi nào nên dùng:
  • Khi bạn muốn có mã hóa toàn bộ nhưng chưa có chứng chỉ SSL hợp lệ.
  • Khi sử dụng chứng chỉ tự ký hoặc chứng chỉ miễn phí của Cloudflare Origin CA.

Full (Strict) SSL – Mã hóa toàn bộ và bảo mật cao nhất.

Đây là chế độ SSL an toàn nhất của Cloudflare, yêu cầu máy chủ gốc phải có chứng chỉ SSL hợp lệ từ CA đáng tin cậy (Let’s Encrypt, DigiCert, v.v).

• Cách hoạt đông: 
  • Trình duyệt -> Cloudflare: HTTPS (mã hóa).
  • Cloudflare -> Máy chủ gốc: HTTPS với SSL hợp lệ (mã hóa).
• Ưu điểm:
  • Đảm bảo mã hóa toàn diện từ trình duyệt đến máy chủ gốc.
  • Ngăn chặn tấn công MITM (Man-in-the-Middle).
  • Chứng chỉ SSL được xác thực và đáng tin cậy.
• Nhược điểm:
  • Yêu cầu bạn cài đặt chứng chỉ SSL hợp lệ trên máy chủ gốc.
  • Nếu chứng chỉ hết hạn hoặc không hợp lệ, trang web có thể gặp lỗi kết nối SSL.
• Khi nào nên dùng:
  • Khi website có chứng chỉ SSL hợp lệ và muốn bảo mật tốt nhất.
  • Khi website xử lý thông tin quan trọng như tài chính, thương mại điện tử.

Lựa chọn chế độ SSL phù hợp

• Nếu không có SSL trên máy chủ: Dùng Flexible, nhưng không khuyến nghị vì không bảo mật hoàn toàn.
• Nếu có chứng chỉ SSL tự ký hoặc Cloudflare Origin CA: dùng Full.
• Nếu có chứng chỉ SSL hợp lệ từ CA uy tín: Dùng Full (Strict) để đảm bảo an toàn tuyệt đối.

Sau khi lựa chọn cho mình chế độ SSL phù hợp thì chúng ta cùng đến với cách cấu hình chúng. Để cấu hình SSL trên Cloudflare, bạn cần làm theo các bước sau, tùy thuộc vào chế độ SSL mà bạn chọn. Zhost sẽ hướng dẫn các bạn từng bước cho các chế độ Flexible, Full, Full (Strict).

Hướng dẫn cấu hình

Bước 1: Đăng nhập vào tài khoản Cloudflare.

1. Truy cập Cloudflare và đăng nhập bằng tài khoản của bạn.
2. Chọn Website mà bạn muốn cấu hình SSL.

Bước 2: Truy cập vào phần Configure của mục SSL/TLS.

1. Nhấn SSL/TLS tại cột điều khiển bên trái.
2. Tại Overview của SSL/TLS nhấn Configure.

Bước 3: Chọn chế độ SSL.

1. Tại đây, bạn có thể chọn trong các chế độ như sau:
   • Off: Không mã hóa (tốt nhất không nên dùng cho các trang web yêu cầu bảo mật).
   • Flexible: Mã hóa một chiều (HTTPS cho người dùng, HTTP cho máy chủ).
   • Full: Mã hóa hai chiều, nhưng máy chủ có thể sử dụng chứng chỉ tự ký.
   • Full (Strict): Mã hóa hai chiều và yêu cầu chứng chỉ SSL hợp lệ trên máy chủ.
2. Chọn chế độ phù hợp với yêu cầu của bạn.
3. Cuối cùng nhấn Save để lưu và áp dụng lựa chọn của bạn.

Bước 4: Cấu hình máy chủ gốc (Origin Server).

Tùy vào chế độ SSL bạn chọn, bạn cần thêm các bước sau trên máy chủ gốc:

Nếu chọn chế độ Flexible SSL:

• Máy chủ gốc không cần chứng chỉ SSL: Dữ liệu giữa Cloudflare và máy chủ gốc sẽ truyền qua HTTP không mã hóa.
• Chỉ cần cài chứng chỉ SSL trên Cloudflare để mã hóa giữa người dùng và Cloudflare.

Nếu chọn chế độ Full SSL:

• Cài đặt chứng chỉ SSL trên máy chủ gốc, bạn có thể sử dụng chứng chỉ tự ký (self-signed).
• Đảm bảo rằng SSL trên máy chủ gốc hoạt động và thiết lập HTTPS cho server.

Nếu chọn chế độ Full (Strict) SSL:

• Cài đặt chứng chỉ SSL hợp lệ từ CA (Certificate Authority) trên máy chủ gốc (chẳng hạn như Let’s Encrypt, DigiCert, v.v).
• Đảm bảo rằng chứng chỉ SSL trên máy chủ gốc còn hiệu lực và hợp lệ.

Bước 5: Cài đặt Cloudflare Origin CA (nếu cần).

Nếu bạn muốn sử dụng chứng chỉ SSL từ Cloudflare (Origin CA), bạn có thể cài đặt trên máy chủ gốc:

Lưu ý: Chứng chỉ này chỉ có tác dụng khi bạn sử dụng chế độ Full hoặc Full (Strict) SSL.

• Trong tab SSL/TLS trên Cloudflare, chuyển sang tab Origin Server.
• Tiếp theo, hãy nhấn vào Create Certificate.

• Bạn hãy để mặc định những cấu hình Cloudflare lựa chọn sẵn và nhấn Create.

• Lúc này Cloudflare đã tạo cho bạn Origin Certificate và Private Key, bạn cần nhấn Click to copy từng phần và dán chung sang bên SSL Certificates tại máy chủ gốc.
• Bạn cũng có thể lựa chọn định dạng của chúng tại phần Key Format.

• Bạn cần dán Origin Certificate và Private Key cho phù hợp với Origin Certificate và Private Key tại máy chủ gốc.
• Cuối cùng nhấn Save để lưu và áp dụng cho chứng chỉ SSL từ Cloudflare trên máy chủ gốc.

Bước 6: Kiểm tra và xác nhận cấu hình.

Sau khi cấu hình, bạn nên kiểm tra kết nối của website để đảm bảo rằng dữ liệu được mã hóa và không gặp lỗi SSL:

1. Truy cập website của bạn và kiểm tra biểu tượng ổ khóa trong thanh địa chỉ trình duyệt để xác nhận rằng kết nối đã được mã hóa.
2. Sử dụng công cụ kiểm tra để kiểm tra chứng chỉ SSL và mức độ bảo mật.

Một số lưu ý

Chế độ Flexible SSL không bảo mật hoàn toàn vì nó không mã hóa từ Cloudflare đến máy chủ gốc, chỉ mã hóa giữa người dùng và Cloudflare.

Chế độ Full SSL và Full (Strict) SSL yêu cầu chứng chỉ SSL hợp lệ trên máy chủ gốc. Đảm bảo rằng chứng chỉ không hết hạn và đúng cấu hình.

Nếu gặp lỗi SSL, hãy kiểm tra lại chứng chỉ và đảm bảo rằng tất cả các kết nối giữa các máy chủ đều sử dụng HTTPS (đặc biệt khi chọn Full hoặc Full (Strict)).

Kết luận

Việc cấu hình SSL trên Cloudflare không chỉ giúp bảo mật kết nối giữa người dùng và website mà còn cải thiện hiệu suất và độ tin cậy của hệ thống. Tùy vào nhu cầu và khả năng triển khai chứng chỉ SSL trên máy chủ gốc. Để tránh lỗi SSL và tăng độ bảo mật, bạn nên sử dụng Full (Strict) SSL cùng với chứng chỉ từ một CA đáng tin cậy hoặc sử dụng Cloudflare Origin CA nếu máy chủ chỉ nhận kết nối từ Cloudflare. Hãy kiểm tra kỹ cấu hình để đảm bảo website hoạt động ổn định và an toàn. Chúc các bạn thành công!