KHUYẾN MÃI MÙA HÈ: GIẢM 20% TẤT CẢ DỊCH VỤ - HẠN CHÓT 30/6GIỚI THIỆU KHÁCH HÀNG MỚI: NHẬN 15% HOA HỒNG TRÊN HÓA ĐƠN ĐẦU TIÊNKHUYẾN MÃI MÙA HÈ: GIẢM 20% TẤT CẢ DỊCH VỤ - HẠN CHÓT 30/6GIỚI THIỆU KHÁCH HÀNG MỚI: NHẬN 15% HOA HỒNG TRÊN HÓA ĐƠN ĐẦU TIÊN
Tan Phat Media

SSL/Domain Sắp Hết Hạn: Cách Xử Lý P1 Trong 2 Giờ & SOP Ngăn Tái Diễn

9 tháng 9, 2025
13.005
Technology
SSL/Domain Sắp Hết Hạn: Cách Xử Lý P1 Trong 2 Giờ & SOP Ngăn Tái Diễn - Tấn Phát Digital

1) Nhận diện nhanh: bạn đang gặp lỗi gì?

Biểu hiện trên trình duyệt

  • “Not secure” (HTTP hoặc SSL expired).

  • “NET::ERR_CERT_DATE_INVALID” (SSL hết hạn/clock sai).

  • “NET::ERR_CERT_COMMON_NAME_INVALID” (hostname không khớp).

  • “HSTS error” (đã bật HSTS, trình duyệt cấm vào khi SSL lỗi).

Biểu hiện ở tầng DNS/Domain

  • Truy cập lúc được lúc không, chuyển sang trang “parking”.

  • Email theo domain trả bounce (MX/DNS hết hiệu lực).

  • WHOIS báo domain Expired/On Hold.

Mức độ ưu tiên

  • P1: Cửa hàng/đặt hàng/đăng nhập không truy cập được, xuất hiện lỗi chứng chỉ/HSTS/domain.

  • P2: Tài nguyên phụ (ảnh/CDN phụ) lỗi mixed content.

  • P3: Tối ưu bảo mật/tuân thủ (HSTS preload, CAA, monitoring).

2) Playbook P1: khôi phục trong 2 giờ

Mục tiêu: site hoạt động lại trên HTTPS hợp lệ, không cảnh báo, đơn hàng/phiếu liên hệ chạy bình thường.

Bước 1 — Kiểm tra trạng thái thật (10’)

  • Mở https://http:// trên 4G/ISP khác, ẩn cache (Ctrl/Cmd + Shift + R).

  • Kiểm tra SSL qua công cụ như SSL Labs/Why No Padlock (để xem chuỗi chứng chỉ, hạn dùng, intermediate).

  • Check WHOIS domain (ngày hết hạn), DNS (NS/A/CAA), CDN/WAF (Cloudflare/…).

Bước 2 — Quyết định đường khôi phục (15’)

  • SSL do host quản lý (cPanel/Plesk/Managed hosting)
    → Đăng nhập panel, re-issue/AutoSSL/Let’s Encrypt.

  • Self-managed VPS/Server
    → Dùng ACME/Let’s Encrypt (certbot/acme.sh) hoặc áp lại chứng chỉ CA thương mại (Digicert/Sectigo…).

  • Đang dùng CDN/WAF (Cloudflare)
    → Bật “Full (strict)”, tạo Origin Certificate và cài trên server, hoặc re-issue Let’s Encrypt tại origin.

Bước 3 — Gia hạn/Phát hành lại chứng chỉ (20–30’)

  • Let’s Encrypt (HTTP-01)

    • Mở cổng 80/443, tắt chặn bot nếu có WAF/captcha.

    • certbot renew --force-renewal hoặc certbot certonly --nginx/--webroot.

  • Let’s Encrypt (DNS-01) (nếu chặn port 80/443 hoặc wildcard)

    • Tạo TXT record theo hướng dẫn ACME client → issue cert wildcard *.domain.com.

  • CA thương mại

    • Tạo CSR mới (2048/3072-bit), xác minh (DNS/Email/HTTP), tải cert + intermediate chain.

    • Cập nhật vHost/Nginx/Apache trỏ đúng fullchain.pem + privkey.pem.

Lưu ý HSTS: Nếu từng bật HSTS, trình duyệt không cho phép truy cập HTTP trong thời gian SSL lỗi. Vì vậy không tắt HSTS, hãy gia hạn SSL đúng chuỗi càng nhanh càng tốt.

Bước 4 — Kiểm tra & reload dịch vụ (10’)

  • Nginx/Apache reload: nginx -t && systemctl reload nginx hoặc apachectl configtest && systemctl reload httpd.

  • Kiểm tra padlock/điểm A tại SSL Labs.

  • Sửa mixed content (URL ảnh/js/css vẫn là http://):

    • Đặt 301 HTTP→HTTPS (toàn site).

    • Tìm & thay trong code/DB (WordPress: dùng wp search-replace).

    • Dùng protocol-relative hoặc https:// tuyệt đối.

Bước 5 — Domain sắp/hết hạn (10–20’)

  • Nếu domain sắp/hết hạn: đăng nhập registrarrenew 1–3 năm.

  • Gia hạn thêm privacy/DNS hosting nếu tách nhà cung cấp.

  • Kiểm tra nameserver & A/AAAA không bị đổi; propagation ~ vài phút → 24h.

Bước 6 — Smoke test & log (10’)

  • Test: trang chủ, giỏ hàng/checkout, đăng nhập, webhook thanh toán, email transactional.

  • Ghi log thời gian khắc phục, nguyên nhân gốc (root cause) → cập nhật SOP.

3) SOP phòng ngừa (để không tái diễn)

3.1 Chu kỳ & tự động hoá

  • Auto-renew domain: bật auto-renew + 2 phương thức thanh toán dự phòng; nhắc T-30/T-7/T-1.

  • Auto-renew SSL:

    • Let’s Encrypt 60–90 ngày; cron: certbot renew ngày 2 giờ sáng; gửi alert khi <15 ngày.

    • CA thương mại: lịch nhắc T-30 + owners/billing.

  • CAA record: chỉ định CA hợp lệ (vd. 0 issue "letsencrypt.org"), tránh phát hành trái phép.

3.2 Hạ tầng “không đứt gãy”

  • Redirect 301 bắt buộc: HTTP→HTTPS, non-www↔www thống nhất.

  • Chain sạch: luôn cài intermediate từ CA; kiểm tra sau mỗi gia hạn.

  • HSTS:

    • Bật sau khi site ổn định SSL 100% (không còn mixed content).

    • max-age ban đầu thấp (1–7 ngày), rồi tăng dần lên 6–12 tháng; cân nhắc preload khi sẵn sàng.

  • Clock: đồng bộ NTP cho server (đồng hồ sai cũng làm SSL “expired”).

  • Monitoring:

    • Uptime + SSL expiry (PagerDuty/UptimeRobot): cảnh báo <14 ngày.

    • Ping kiểm tra giao dịch (checkout/login) 5–10 phút/lần.

3.3 Vận hành & trách nhiệm

  • Sổ tài sản: domain, DNS, CDN, hosting, SSL, ngày hết hạn, liên hệ hỗ trợ.

  • Phân quyền: tách Owner/Billing/Tech; 2FA bắt buộc cho quản trị.

  • Playbook P1: phiên bản rút gọn của phần 2 để trực P1 đêm/WE có thể làm ngay.

4) Câu hỏi nhanh (FAQ)

Hết hạn SSL có làm rớt SEO?
Có thể. Bot vẫn crawl được, nhưng người dùng thoát làm CTR, dwell time, chuyển đổi giảm. Lâu dài ảnh hưởng tín hiệu chất lượng.

Tôi dùng Cloudflare, cần cài SSL trên origin không?
Nên dùng Full (strict): bật SSL ở Cloudflare cài Origin Certificate/Let’s Encrypt tại origin. Tránh “Flexible” vì dễ phát sinh mixed content/redirect loop.

Có nên tắt HSTS khi gặp sự cố?
Không. Trình duyệt đã ghi nhớ HSTS thì tắt cũng không tác dụng ngay. Cách đúng là gia hạn/áp lại chứng chỉ.

Wildcard hay không wildcard?
Nếu có nhiều subdomain, chọn wildcard (DNS-01). Nếu chỉ www + root, cert đơn là đủ.

5) Checklist “dán tường” cho đội vận hành

P1 — Khôi phục ngay

  1. Kiểm tra thật: HTTPS, chain, lỗi trình duyệt, WHOIS.

  2. Re-issue/renew SSL (Let’s Encrypt/CA/Cloudflare Origin).

  3. Reload Nginx/Apache & test padlock/checkout/login.

  4. Sửa mixed content + 301 HTTP→HTTPS.

  5. Renew domain (nếu gần/đã hết hạn), xác nhận DNS giữ nguyên.

P2 — 24 giờ tiếp theo
6) Bật cron auto-renew SSL + cảnh báo expiry.
7) Thêm/điều chỉnh CAA; xác nhận clock/NTP.
8) Bật HSTS an toàn (max-age nhỏ), tăng dần khi ổn.

P3 — Trong tuần
9) Bổ sung monitoring & ping giao dịch.
10) Cập nhật sổ tài sản + lịch nhắc; diễn tập P1 hàng quý.

6) Gợi ý triển khai nhanh (WordPress/Cloud)

WordPress + Nginx

# Kiểm tra hạn chứng chỉ
sudo certbot certificates

# Gia hạn gấp
sudo certbot renew --force-renewal

# Hoặc phát hành mới theo server block
sudo certbot --nginx -d domain.com -d www.domain.com

# Kiểm tra & reload
sudo nginx -t && sudo systemctl reload nginx

Cloudflare (Origin TLS)

  1. SSL/TLS → Full (strict)

  2. Origin Certificates → Create → cài cert + key vào webserver

  3. Page Rules/Redirect Rules: HTTP→HTTPS (301)

7) Khi cần “đội cứu hoả”

Nếu site là nguồn sống (đơn hàng/booking), mỗi giờ “Not secure” = mất doanh thu + mất niềm tin. Bạn có thể:

  • Khởi động gói bảo trì & ứng cứu website để có trực P1 24/7, SLA rõ ràng, giám sát expiry/uptime tự động: Web Maintenance Services – Tấn Phát Digital.

  • Tham khảo thêm quy trình bảo trì hàng tháng (kiểm tra SSL/domain, backup, CWV, bảo mật) để ngăn sự cố lặp lại.

Bài viết liên quan

Hình ảnh đại diện của bài viết: Claude Opus 4.7 Ra Mắt – Nâng Cấp Gì So Với Trước?

Claude Opus 4.7 Ra Mắt – Nâng Cấp Gì So Với Trước?

Claude Opus 4.7 đã chính thức ra mắt với nhiều cải tiến về hiệu suất và khả năng xử lý ngôn ngữ. Bài viết này tổng hợp những điểm mới đáng chú ý và so sánh với các mô hình AI hiện tại.

Hình ảnh đại diện của bài viết: Nén Video Online Miễn Phí (Nhanh, Không Mất Chất Lượng) – Top Tool 2026

Nén Video Online Miễn Phí (Nhanh, Không Mất Chất Lượng) – Top Tool 2026

Khám phá các công cụ nén video online hàng đầu năm 2026 giúp giảm dung lượng file nhanh chóng mà không làm mất chất lượng, tối ưu hóa quy trình làm việc và SEO website hiệu quả.

Hình ảnh đại diện của bài viết: Top 7 Công Cụ Nén File PPTX Trực Tuyến Tốt Nhất 2026

Top 7 Công Cụ Nén File PPTX Trực Tuyến Tốt Nhất 2026

Khám phá giải pháp tối ưu hóa slide chuyên nghiệp năm 2026, giúp tệp nhẹ hơn đến 90% mà vẫn giữ nguyên độ sắc nét, hiệu ứng và tích hợp công nghệ AI mới nhất.

Hình ảnh đại diện của bài viết: Everything Claude Code: Hệ sinh thái tối ưu hóa hiệu suất cho AI Agents

Everything Claude Code: Hệ sinh thái tối ưu hóa hiệu suất cho AI Agents

Everything Claude Code (ECC) đại diện cho một phương pháp luận mới trong lập trình AI, cung cấp hệ thống tác nhân phụ chuyên biệt, kỹ năng workflow và cơ chế tự học để nâng cao năng suất.

Hình ảnh đại diện của bài viết: Paperclip AI Là Gì? Nền Tảng AI Company Tự Trị 2026

Paperclip AI Là Gì? Nền Tảng AI Company Tự Trị 2026

Sự xuất hiện của Paperclip đánh dấu bước ngoặt từ các công cụ AI hỗ trợ đơn lẻ sang các tổ chức tự trị hoàn chỉnh. Cùng Tấn Phát Digital phân tích hệ điều hành mới dành cho kỷ nguyên doanh nghiệp không nhân sự.

Hình ảnh đại diện của bài viết: Xu Hướng Giá RAM và CPU 2026: Tác Động Từ Làn Sóng AI Toàn Cầu – Tấn Phát Digital

Xu Hướng Giá RAM và CPU 2026: Tác Động Từ Làn Sóng AI Toàn Cầu – Tấn Phát Digital

Năm 2026, thị trường công nghệ thiết lập mặt bằng giá mới. Cơn khát bộ nhớ từ các trung tâm dữ liệu AI đã đẩy giá linh kiện tiêu dùng lên mức kỷ lục, buộc người dùng và doanh nghiệp phải thay đổi thói quen mua sắm để tối ưu chi phí.

Hình ảnh đại diện của bài viết: Hướng dẫn tích hợp gửi Gmail Vào Website 2026 | Tấn Phát Digital

Hướng dẫn tích hợp gửi Gmail Vào Website 2026 | Tấn Phát Digital

Cẩm nang kỹ thuật toàn diện về tích hợp Gmail vào website năm 2026, giúp nhà phát triển làm chủ các giao thức xác thực hiện đại và tối ưu hóa hiệu suất truyền tải.

Hình ảnh đại diện của bài viết: Hướng dẫn tích hợp MoMo Vào Website 2026 | Tấn Phát Digital

Hướng dẫn tích hợp MoMo Vào Website 2026 | Tấn Phát Digital

Khám phá lộ trình tích hợp hệ sinh thái MoMo từ chuyên gia Tấn Phát Digital. Báo cáo cung cấp kiến thức thực tiễn về kiến trúc AiO Unified API, cơ chế bảo mật và quy trình UAT chuẩn giúp doanh nghiệp tối ưu dòng tiền và tiếp cận 50 triệu người dùng.

Bài cùng chuyên mục

Bài trụ cột của chủ đề

Hình ảnh đại diện của bài viết: Hướng Dẫn Chọn Hosting & Domain Chuyên Nghiệp Cho Website Doanh Nghiệp Nhỏ
Bài trụ cột

Hướng Dẫn Chọn Hosting & Domain Chuyên Nghiệp Cho Website Doanh Nghiệp Nhỏ

Khám phá lộ trình xây dựng hạ tầng kỹ thuật vững chắc cho website doanh nghiệp với các tư vấn chuyên môn về tên miền quốc gia, công nghệ hosting hiện đại

Bài mới nhất cùng chuyên mục

Zalo
Facebook
Tấn Phát Digital
Zalo
Facebook