Tan Phat Media

SSL/Domain Sắp Hết Hạn: Cách Xử Lý P1 Trong 2 Giờ & SOP Ngăn Tái Diễn

September 9, 2025
6770
Thiết Kế Website
Thiết Kế Website Chuẩn SEO
Thiết Kế Website Cho Doanh Nghiệp Nhỏ
Dịch Vụ Thiết Kế Website
Digital Marketing
SEO Website
Landing Page
Technology
SSL/Domain Sắp Hết Hạn: Cách Xử Lý P1 Trong 2 Giờ & SOP Ngăn Tái Diễn

1) Nhận diện nhanh: bạn đang gặp lỗi gì?

Biểu hiện trên trình duyệt

  • “Not secure” (HTTP hoặc SSL expired).

  • “NET::ERR_CERT_DATE_INVALID” (SSL hết hạn/clock sai).

  • “NET::ERR_CERT_COMMON_NAME_INVALID” (hostname không khớp).

  • “HSTS error” (đã bật HSTS, trình duyệt cấm vào khi SSL lỗi).

Biểu hiện ở tầng DNS/Domain

  • Truy cập lúc được lúc không, chuyển sang trang “parking”.

  • Email theo domain trả bounce (MX/DNS hết hiệu lực).

  • WHOIS báo domain Expired/On Hold.

Mức độ ưu tiên

  • P1: Cửa hàng/đặt hàng/đăng nhập không truy cập được, xuất hiện lỗi chứng chỉ/HSTS/domain.

  • P2: Tài nguyên phụ (ảnh/CDN phụ) lỗi mixed content.

  • P3: Tối ưu bảo mật/tuân thủ (HSTS preload, CAA, monitoring).

2) Playbook P1: khôi phục trong 2 giờ

Mục tiêu: site hoạt động lại trên HTTPS hợp lệ, không cảnh báo, đơn hàng/phiếu liên hệ chạy bình thường.

Bước 1 — Kiểm tra trạng thái thật (10’)

  • Mở https://http:// trên 4G/ISP khác, ẩn cache (Ctrl/Cmd + Shift + R).

  • Kiểm tra SSL qua công cụ như SSL Labs/Why No Padlock (để xem chuỗi chứng chỉ, hạn dùng, intermediate).

  • Check WHOIS domain (ngày hết hạn), DNS (NS/A/CAA), CDN/WAF (Cloudflare/…).

Bước 2 — Quyết định đường khôi phục (15’)

  • SSL do host quản lý (cPanel/Plesk/Managed hosting)
    → Đăng nhập panel, re-issue/AutoSSL/Let’s Encrypt.

  • Self-managed VPS/Server
    → Dùng ACME/Let’s Encrypt (certbot/acme.sh) hoặc áp lại chứng chỉ CA thương mại (Digicert/Sectigo…).

  • Đang dùng CDN/WAF (Cloudflare)
    → Bật “Full (strict)”, tạo Origin Certificate và cài trên server, hoặc re-issue Let’s Encrypt tại origin.

Bước 3 — Gia hạn/Phát hành lại chứng chỉ (20–30’)

  • Let’s Encrypt (HTTP-01)

    • Mở cổng 80/443, tắt chặn bot nếu có WAF/captcha.

    • certbot renew --force-renewal hoặc certbot certonly --nginx/--webroot.

  • Let’s Encrypt (DNS-01) (nếu chặn port 80/443 hoặc wildcard)

    • Tạo TXT record theo hướng dẫn ACME client → issue cert wildcard *.domain.com.

  • CA thương mại

    • Tạo CSR mới (2048/3072-bit), xác minh (DNS/Email/HTTP), tải cert + intermediate chain.

    • Cập nhật vHost/Nginx/Apache trỏ đúng fullchain.pem + privkey.pem.

Lưu ý HSTS: Nếu từng bật HSTS, trình duyệt không cho phép truy cập HTTP trong thời gian SSL lỗi. Vì vậy không tắt HSTS, hãy gia hạn SSL đúng chuỗi càng nhanh càng tốt.

Bước 4 — Kiểm tra & reload dịch vụ (10’)

  • Nginx/Apache reload: nginx -t && systemctl reload nginx hoặc apachectl configtest && systemctl reload httpd.

  • Kiểm tra padlock/điểm A tại SSL Labs.

  • Sửa mixed content (URL ảnh/js/css vẫn là http://):

    • Đặt 301 HTTP→HTTPS (toàn site).

    • Tìm & thay trong code/DB (WordPress: dùng wp search-replace).

    • Dùng protocol-relative hoặc https:// tuyệt đối.

Bước 5 — Domain sắp/hết hạn (10–20’)

  • Nếu domain sắp/hết hạn: đăng nhập registrarrenew 1–3 năm.

  • Gia hạn thêm privacy/DNS hosting nếu tách nhà cung cấp.

  • Kiểm tra nameserver & A/AAAA không bị đổi; propagation ~ vài phút → 24h.

Bước 6 — Smoke test & log (10’)

  • Test: trang chủ, giỏ hàng/checkout, đăng nhập, webhook thanh toán, email transactional.

  • Ghi log thời gian khắc phục, nguyên nhân gốc (root cause) → cập nhật SOP.

3) SOP phòng ngừa (để không tái diễn)

3.1 Chu kỳ & tự động hoá

  • Auto-renew domain: bật auto-renew + 2 phương thức thanh toán dự phòng; nhắc T-30/T-7/T-1.

  • Auto-renew SSL:

    • Let’s Encrypt 60–90 ngày; cron: certbot renew ngày 2 giờ sáng; gửi alert khi <15 ngày.

    • CA thương mại: lịch nhắc T-30 + owners/billing.

  • CAA record: chỉ định CA hợp lệ (vd. 0 issue "letsencrypt.org"), tránh phát hành trái phép.

3.2 Hạ tầng “không đứt gãy”

  • Redirect 301 bắt buộc: HTTP→HTTPS, non-www↔www thống nhất.

  • Chain sạch: luôn cài intermediate từ CA; kiểm tra sau mỗi gia hạn.

  • HSTS:

    • Bật sau khi site ổn định SSL 100% (không còn mixed content).

    • max-age ban đầu thấp (1–7 ngày), rồi tăng dần lên 6–12 tháng; cân nhắc preload khi sẵn sàng.

  • Clock: đồng bộ NTP cho server (đồng hồ sai cũng làm SSL “expired”).

  • Monitoring:

    • Uptime + SSL expiry (PagerDuty/UptimeRobot): cảnh báo <14 ngày.

    • Ping kiểm tra giao dịch (checkout/login) 5–10 phút/lần.

3.3 Vận hành & trách nhiệm

  • Sổ tài sản: domain, DNS, CDN, hosting, SSL, ngày hết hạn, liên hệ hỗ trợ.

  • Phân quyền: tách Owner/Billing/Tech; 2FA bắt buộc cho quản trị.

  • Playbook P1: phiên bản rút gọn của phần 2 để trực P1 đêm/WE có thể làm ngay.

4) Câu hỏi nhanh (FAQ)

Hết hạn SSL có làm rớt SEO?
Có thể. Bot vẫn crawl được, nhưng người dùng thoát làm CTR, dwell time, chuyển đổi giảm. Lâu dài ảnh hưởng tín hiệu chất lượng.

Tôi dùng Cloudflare, cần cài SSL trên origin không?
Nên dùng Full (strict): bật SSL ở Cloudflare cài Origin Certificate/Let’s Encrypt tại origin. Tránh “Flexible” vì dễ phát sinh mixed content/redirect loop.

Có nên tắt HSTS khi gặp sự cố?
Không. Trình duyệt đã ghi nhớ HSTS thì tắt cũng không tác dụng ngay. Cách đúng là gia hạn/áp lại chứng chỉ.

Wildcard hay không wildcard?
Nếu có nhiều subdomain, chọn wildcard (DNS-01). Nếu chỉ www + root, cert đơn là đủ.

5) Checklist “dán tường” cho đội vận hành

P1 — Khôi phục ngay

  1. Kiểm tra thật: HTTPS, chain, lỗi trình duyệt, WHOIS.

  2. Re-issue/renew SSL (Let’s Encrypt/CA/Cloudflare Origin).

  3. Reload Nginx/Apache & test padlock/checkout/login.

  4. Sửa mixed content + 301 HTTP→HTTPS.

  5. Renew domain (nếu gần/đã hết hạn), xác nhận DNS giữ nguyên.

P2 — 24 giờ tiếp theo
6) Bật cron auto-renew SSL + cảnh báo expiry.
7) Thêm/điều chỉnh CAA; xác nhận clock/NTP.
8) Bật HSTS an toàn (max-age nhỏ), tăng dần khi ổn.

P3 — Trong tuần
9) Bổ sung monitoring & ping giao dịch.
10) Cập nhật sổ tài sản + lịch nhắc; diễn tập P1 hàng quý.

6) Gợi ý triển khai nhanh (WordPress/Cloud)

WordPress + Nginx

# Kiểm tra hạn chứng chỉ
sudo certbot certificates

# Gia hạn gấp
sudo certbot renew --force-renewal

# Hoặc phát hành mới theo server block
sudo certbot --nginx -d domain.com -d www.domain.com

# Kiểm tra & reload
sudo nginx -t && sudo systemctl reload nginx

Cloudflare (Origin TLS)

  1. SSL/TLS → Full (strict)

  2. Origin Certificates → Create → cài cert + key vào webserver

  3. Page Rules/Redirect Rules: HTTP→HTTPS (301)

7) Khi cần “đội cứu hoả”

Nếu site là nguồn sống (đơn hàng/booking), mỗi giờ “Not secure” = mất doanh thu + mất niềm tin. Bạn có thể:

  • Khởi động gói bảo trì & ứng cứu website để có trực P1 24/7, SLA rõ ràng, giám sát expiry/uptime tự động: Web Maintenance Services – Tấn Phát Digital.

  • Tham khảo thêm quy trình bảo trì hàng tháng (kiểm tra SSL/domain, backup, CWV, bảo mật) để ngăn sự cố lặp lại.

Bài viết liên quan

cach-lay-email-ten-mien-mien-phi-2025-or-huong-dan-a-z

Cách Lấy Email Tên Miền Miễn Phí (2025) | Hướng Dẫn A–Z

cach-toi-uu-hoa-hinh-anh-cho-seo-toi-uu-toc-do-nang-thu-hang-google

Cách Tối Ưu Hóa Hình Ảnh Cho SEO – Tối Ưu Tốc Độ, Nâng Thứ Hạng Google

cdn-la-gi-tai-sao-website-hien-dai-can-dung-cdn

CDN Là Gì? Tại Sao Website Hiện Đại Cần Dùng CDN

chi-phi-duy-tri-website-hang-nam-hosting-ten-mien-bao-tri-and-hon-the-nua

Chi Phí Duy Trì Website Hàng Năm: Hosting, Tên Miền, Bảo Trì & Hơn Thế Nữa

domain-la-gi-cach-chon-ten-mien-dep-chuan-seo-2025

Domain Là Gì? Cách Chọn Tên Miền Đẹp, Chuẩn SEO 2025

huong-dan-tao-and-gui-so-do-website-xml-len-google-search-console

Hướng Dẫn Tạo & Gửi Sơ Đồ Website XML Lên Google Search Console

huong-dan-tich-hop-danh-sach-dia-chi-moi-sap-nhap-vao-website

Hướng dẫn tích hợp danh sách địa chỉ mới sáp nhập vào website

thiet-ke-website-cho-doanh-nghiep-nho-vi-sao-ssl-and-https-la-bat-buoc-de-toi-uu-seo

Thiết Kế Website Cho Doanh Nghiệp Nhỏ: Vì Sao SSL & HTTPS Là Bắt Buộc Để Tối Ưu SEO?

Zalo
Facebook
Zalo
Facebook