Sự có mặt của chứng chỉ SSL trên các hệ điều hành hoặc web server đảm bảo cho mọi thông tin được mã hóa và khiến khách hàng yên tâm hơn khi truy cập. Nhưng chỉ mỗi chứng chỉ SSL thôi là chưa đủ, bạn sẽ cần phải biết kỹ thuật cài đặt sao cho mọi thứ tối ưu nhất. Bài viết này sẽ giúp bạn cách cấu hình Apache để Qualys SSL Labs xếp hạng A, cùng BKNS theo dõi ngay bên dưới.

Cấu hình Apache để Qualys SSL Labs xếp hạng A
Cấu hình Apache để Qualys SSL Labs xếp hạng A

Lưu ý: Các tiêu chuẩn đánh giá của Qualys SSL Labs thay đổi theo thời gian, do đó bài viết này cũng sẽ được cập nhật thường xuyên. 

SSL Labs là gì? 

SSL Labs là một trong những công cụ được sử dụng nhiều nhất để quét máy chủ web SSL. Nó cung cấp phân tích chuyên sâu về URL https của bạn bao gồm ngày hết hạn, xếp hạng tổng thể, Mật mã, phiên bản SSL / TLS, chi tiết giao thức, BEAST và nhiều hơn nữa.

Để Qualys SSL Labs xếp hạng A, bạn cần phải cập nhật cấu hình của Apache thỏa mãn một số tiêu chí nhất định. Bạn có thể tham khảo dưới đây để thực hiện cập nhật cho máy chủ của mình.

Cách cấu hình Apache để Qualys SSL Labs xếp hạng A

1. Chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, vô hiệu hóa SSL 2.0 và SSL 3.0

Bạn cần phải nâng cấp phiên bản OpenSSL lên phiên bản mới nhất không bị vướng lỗ hổng bảo mật và hỗ trợ TLS 1.2 và TLS 1.2. Ví dụ: các phiên bản 0.9.x và 1.0.0 trở về trước không hỗ trợ TLS 1.2.

Sau khi nâng cấp OpenSSL, bạn cần phải build lại hoặc nâng cấp Apache lên phiên bản mới nhất. Kể từ phiên bản 2.2.x trở lên, Apache đã hỗ trợ TLS 1.2.

Để vô hiệu hóa SSL 2.0, SSL 3.0 và chỉ hỗ trợ TLS 1.0, TLS 1.1 và TLS 1.2, bạn cần chỉnh lại tham số sau:

SSLProtocol All -SSLv2 -SSLv3

2. Poodle and TLS-FALLBACK-SCSV

SSL 3.0 là nguyên nhân quan trọng nhất gây ra lỗ hổng Poodle. Bằng cách vô hiệu hóa SSL 3.0, bạn đã khắc phục lỗ hổng Poodle cho máy chủ.

Để vô hiệu hóa lỗ hổng “protocol downgrade attack”, extension TLS FALLBACK SCSV phải được kích hoạt trong OpenSSL. Các phiên bản sau đây đã bao gồm extension này:

  • OpenSSL 1.0.1j hoặc cao hơn
  • OpenSSL 1.0.0o hoặc cao hơn
  • OpenSSL 0.9.8zc hoặc cao hơn

3. Heartbleed

Lỗ hổng Heartbleed là một lỗ hổng khá nghiêm trọng, có thể ảnh hưởng đến mọi máy chủ sử dụng thư viện OpenSSL. Để khắc phục lỗi này, cách duy nhất là bạn phải kiểm tra phiên bản OpenSSL đang sử dụng và nâng cấp nếu nằm trong danh sách sau đây:

  • OpenSSL 1.0.1 đến 1.0.1f bị ảnh hưởng
  • OpenSSL 1.0.1g không bị ảnh hưởng
  • OpenSSL 1.0.0 không bị ảnh hưởng
  • OpenSSL 0.9.8 không bị ảnh hưởng

4. Cipher suites

Luôn luôn áp dụng các cipher suites an toàn nhất và yêu cầu server lựa chọn ưu tiên theo thứ tự mà bạn đã thiết lập.

SSLHonorCipherOrder on
SSLCipherSuite “EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4”

5. Strong DH (Diffie-Hellman)

Bạn cần nâng cấp Apache lên 2.4.8 và OpenSSL 1.0.2 để hỗ trợ tính năng này.

Chạy lệnh:

openssl dhparam -out /usr/local/ssl/dhparams.pem 2048

Bổ sung dòng sau đây vào file cấu hình:

SSLOpenSSLConfCmd DHParameters “/usr/local/ssl/dhparams.pem”

Đến đây là bạn đã hoàn thành quá trình cấu hình Apache để tối ưu Qualys SSL Labs. Bằng những thao tác đơn giản này, bạn có thể tăng cường điểm xếp hạng tối ưu các tiêu chí.

Mua chứng chỉ SSL, đừng bỏ lỡ BKNS

Là thương hiệu cung cấp các chứng chỉ SSL và giải pháp mạng đã có kinh nghiệm trên 10 năm trên thị trường, BKNS là địa chỉ uy tín đem đến cho bạn chất lượng dịch vụ uy tín và được kiểm chứng thông qua hàng trăm đối tác khách hàng trước đó.

BKNS cung cấp các chứng chỉ SSL đa dạng về: mức giá, nhãn hiệu cung cấp, tính năng bảo vệ,…

Liệt kê một số nhãn hiệu tiêu biểu:

  • Thawte: chứng chỉ SSL đẳng cấp thế giới với độ nhận diện hơn 50 quốc gia.
  • Symantec: công ty hàng đầu thế giới cung cấp SSL hội tụ các chuyên gia hàng đầu.
  • Sectigo: thương hiệu với nhiều chứng chỉ chất lượng đa dạng tính năng.
  • DigiCert: nổi tiếng với mức bảo hiểm hào phóng và chế độ chăm sóc khách hàng chu đáo nhất.

Hoặc tham khảo toàn bộ Chứng chỉ SSL giá rẻ của BKNS.

Kết luận

Để tối ưu chứng chỉ SSL trên Qualys SSL Labs nhằm để nó xếp hạng A không khó, bạn chỉ cần thực hiện một số thao tác đơn giản. BKNS chúc bạn thao tác thành công. Nếu còn bất kì vấn đề gì, để lại bình luận hoặc liên hệ BKNS để được hỗ trợ nhanh nhất.

Đọc thêm các bài viết khác tại BKNS.

Thịnh Văn Hạnh

Chào bạn, tôi là Thịnh Văn Hạnh, CEO và là người sáng lập nên BKNS. Với nhiều năm trong lĩnh vực công nghệ thông tin, hosting, server, tên miền... Tôi mong muốn mang đến cho các bạn những thông tin hữu ích nhất.

Bài viết liên quan

anh-bia-vps-gpu

26/08/2025

10

VPS GPU Treo Game – Giải Pháp Tối Ưu Cho Game Thủ & Streamer
anh-biaaa (1)

23/08/2025

39

VPS Treo Game Là Gì? Khám Phá Giải Pháp Treo Game Hiệu Quả Nhất
ten-mien-co-toi-da-bao-nhieu-ky-tu

19/08/2025

38

Tên miền có tối đa bao nhiêu ký tự? Cẩm nang cần biết khi đặt tên miền
domain-la-gi (1)

18/08/2025

34

Domain là gì? Khái niệm cơ bản dành cho người mới bắt đầu
anh- bia

16/08/2025

46

Tên miền doanh nghiệp là gì? Nền tảng xây dựng thương hiệu số chuyên nghiệp
thong-bao-nang-cap-ha-tang-he-thong

14/08/2025

97

[THÔNG BÁO] NÂNG CẤP TOÀN BỘ HỆ THỐNG NGÀY 16/08/2025
anh-bia

14/08/2025

125

Bí quyết chọn tên miền đẹp: Hướng dẫn từ A–Z
anh-bia-Let's-Encrypt-la-gi

07/08/2025

123

Let’s Encrypt là gì? Giải pháp chứng chỉ SSL miễn phí cho website bảo mật và uy tín
huong-dan-dns

28/07/2025

121

Hướng dẫn cấu hình chuyển hướng tên miền trên DNS