Tan Phat Media

SSL/Domain Sắp Hết Hạn: Cách Xử Lý P1 Trong 2 Giờ & SOP Ngăn Tái Diễn

9 tháng 9, 2025
5.580
Technology
SSL/Domain Sắp Hết Hạn: Cách Xử Lý P1 Trong 2 Giờ & SOP Ngăn Tái Diễn - Tấn Phát Digital

1) Nhận diện nhanh: bạn đang gặp lỗi gì?

Biểu hiện trên trình duyệt

  • “Not secure” (HTTP hoặc SSL expired).

  • “NET::ERR_CERT_DATE_INVALID” (SSL hết hạn/clock sai).

  • “NET::ERR_CERT_COMMON_NAME_INVALID” (hostname không khớp).

  • “HSTS error” (đã bật HSTS, trình duyệt cấm vào khi SSL lỗi).

Biểu hiện ở tầng DNS/Domain

  • Truy cập lúc được lúc không, chuyển sang trang “parking”.

  • Email theo domain trả bounce (MX/DNS hết hiệu lực).

  • WHOIS báo domain Expired/On Hold.

Mức độ ưu tiên

  • P1: Cửa hàng/đặt hàng/đăng nhập không truy cập được, xuất hiện lỗi chứng chỉ/HSTS/domain.

  • P2: Tài nguyên phụ (ảnh/CDN phụ) lỗi mixed content.

  • P3: Tối ưu bảo mật/tuân thủ (HSTS preload, CAA, monitoring).

2) Playbook P1: khôi phục trong 2 giờ

Mục tiêu: site hoạt động lại trên HTTPS hợp lệ, không cảnh báo, đơn hàng/phiếu liên hệ chạy bình thường.

Bước 1 — Kiểm tra trạng thái thật (10’)

  • Mở https://http:// trên 4G/ISP khác, ẩn cache (Ctrl/Cmd + Shift + R).

  • Kiểm tra SSL qua công cụ như SSL Labs/Why No Padlock (để xem chuỗi chứng chỉ, hạn dùng, intermediate).

  • Check WHOIS domain (ngày hết hạn), DNS (NS/A/CAA), CDN/WAF (Cloudflare/…).

Bước 2 — Quyết định đường khôi phục (15’)

  • SSL do host quản lý (cPanel/Plesk/Managed hosting)
    → Đăng nhập panel, re-issue/AutoSSL/Let’s Encrypt.

  • Self-managed VPS/Server
    → Dùng ACME/Let’s Encrypt (certbot/acme.sh) hoặc áp lại chứng chỉ CA thương mại (Digicert/Sectigo…).

  • Đang dùng CDN/WAF (Cloudflare)
    → Bật “Full (strict)”, tạo Origin Certificate và cài trên server, hoặc re-issue Let’s Encrypt tại origin.

Bước 3 — Gia hạn/Phát hành lại chứng chỉ (20–30’)

  • Let’s Encrypt (HTTP-01)

    • Mở cổng 80/443, tắt chặn bot nếu có WAF/captcha.

    • certbot renew --force-renewal hoặc certbot certonly --nginx/--webroot.

  • Let’s Encrypt (DNS-01) (nếu chặn port 80/443 hoặc wildcard)

    • Tạo TXT record theo hướng dẫn ACME client → issue cert wildcard *.domain.com.

  • CA thương mại

    • Tạo CSR mới (2048/3072-bit), xác minh (DNS/Email/HTTP), tải cert + intermediate chain.

    • Cập nhật vHost/Nginx/Apache trỏ đúng fullchain.pem + privkey.pem.

Lưu ý HSTS: Nếu từng bật HSTS, trình duyệt không cho phép truy cập HTTP trong thời gian SSL lỗi. Vì vậy không tắt HSTS, hãy gia hạn SSL đúng chuỗi càng nhanh càng tốt.

Bước 4 — Kiểm tra & reload dịch vụ (10’)

  • Nginx/Apache reload: nginx -t && systemctl reload nginx hoặc apachectl configtest && systemctl reload httpd.

  • Kiểm tra padlock/điểm A tại SSL Labs.

  • Sửa mixed content (URL ảnh/js/css vẫn là http://):

    • Đặt 301 HTTP→HTTPS (toàn site).

    • Tìm & thay trong code/DB (WordPress: dùng wp search-replace).

    • Dùng protocol-relative hoặc https:// tuyệt đối.

Bước 5 — Domain sắp/hết hạn (10–20’)

  • Nếu domain sắp/hết hạn: đăng nhập registrarrenew 1–3 năm.

  • Gia hạn thêm privacy/DNS hosting nếu tách nhà cung cấp.

  • Kiểm tra nameserver & A/AAAA không bị đổi; propagation ~ vài phút → 24h.

Bước 6 — Smoke test & log (10’)

  • Test: trang chủ, giỏ hàng/checkout, đăng nhập, webhook thanh toán, email transactional.

  • Ghi log thời gian khắc phục, nguyên nhân gốc (root cause) → cập nhật SOP.

3) SOP phòng ngừa (để không tái diễn)

3.1 Chu kỳ & tự động hoá

  • Auto-renew domain: bật auto-renew + 2 phương thức thanh toán dự phòng; nhắc T-30/T-7/T-1.

  • Auto-renew SSL:

    • Let’s Encrypt 60–90 ngày; cron: certbot renew ngày 2 giờ sáng; gửi alert khi <15 ngày.

    • CA thương mại: lịch nhắc T-30 + owners/billing.

  • CAA record: chỉ định CA hợp lệ (vd. 0 issue "letsencrypt.org"), tránh phát hành trái phép.

3.2 Hạ tầng “không đứt gãy”

  • Redirect 301 bắt buộc: HTTP→HTTPS, non-www↔www thống nhất.

  • Chain sạch: luôn cài intermediate từ CA; kiểm tra sau mỗi gia hạn.

  • HSTS:

    • Bật sau khi site ổn định SSL 100% (không còn mixed content).

    • max-age ban đầu thấp (1–7 ngày), rồi tăng dần lên 6–12 tháng; cân nhắc preload khi sẵn sàng.

  • Clock: đồng bộ NTP cho server (đồng hồ sai cũng làm SSL “expired”).

  • Monitoring:

    • Uptime + SSL expiry (PagerDuty/UptimeRobot): cảnh báo <14 ngày.

    • Ping kiểm tra giao dịch (checkout/login) 5–10 phút/lần.

3.3 Vận hành & trách nhiệm

  • Sổ tài sản: domain, DNS, CDN, hosting, SSL, ngày hết hạn, liên hệ hỗ trợ.

  • Phân quyền: tách Owner/Billing/Tech; 2FA bắt buộc cho quản trị.

  • Playbook P1: phiên bản rút gọn của phần 2 để trực P1 đêm/WE có thể làm ngay.

4) Câu hỏi nhanh (FAQ)

Hết hạn SSL có làm rớt SEO?
Có thể. Bot vẫn crawl được, nhưng người dùng thoát làm CTR, dwell time, chuyển đổi giảm. Lâu dài ảnh hưởng tín hiệu chất lượng.

Tôi dùng Cloudflare, cần cài SSL trên origin không?
Nên dùng Full (strict): bật SSL ở Cloudflare cài Origin Certificate/Let’s Encrypt tại origin. Tránh “Flexible” vì dễ phát sinh mixed content/redirect loop.

Có nên tắt HSTS khi gặp sự cố?
Không. Trình duyệt đã ghi nhớ HSTS thì tắt cũng không tác dụng ngay. Cách đúng là gia hạn/áp lại chứng chỉ.

Wildcard hay không wildcard?
Nếu có nhiều subdomain, chọn wildcard (DNS-01). Nếu chỉ www + root, cert đơn là đủ.

5) Checklist “dán tường” cho đội vận hành

P1 — Khôi phục ngay

  1. Kiểm tra thật: HTTPS, chain, lỗi trình duyệt, WHOIS.

  2. Re-issue/renew SSL (Let’s Encrypt/CA/Cloudflare Origin).

  3. Reload Nginx/Apache & test padlock/checkout/login.

  4. Sửa mixed content + 301 HTTP→HTTPS.

  5. Renew domain (nếu gần/đã hết hạn), xác nhận DNS giữ nguyên.

P2 — 24 giờ tiếp theo
6) Bật cron auto-renew SSL + cảnh báo expiry.
7) Thêm/điều chỉnh CAA; xác nhận clock/NTP.
8) Bật HSTS an toàn (max-age nhỏ), tăng dần khi ổn.

P3 — Trong tuần
9) Bổ sung monitoring & ping giao dịch.
10) Cập nhật sổ tài sản + lịch nhắc; diễn tập P1 hàng quý.

6) Gợi ý triển khai nhanh (WordPress/Cloud)

WordPress + Nginx

# Kiểm tra hạn chứng chỉ
sudo certbot certificates

# Gia hạn gấp
sudo certbot renew --force-renewal

# Hoặc phát hành mới theo server block
sudo certbot --nginx -d domain.com -d www.domain.com

# Kiểm tra & reload
sudo nginx -t && sudo systemctl reload nginx

Cloudflare (Origin TLS)

  1. SSL/TLS → Full (strict)

  2. Origin Certificates → Create → cài cert + key vào webserver

  3. Page Rules/Redirect Rules: HTTP→HTTPS (301)

7) Khi cần “đội cứu hoả”

Nếu site là nguồn sống (đơn hàng/booking), mỗi giờ “Not secure” = mất doanh thu + mất niềm tin. Bạn có thể:

  • Khởi động gói bảo trì & ứng cứu website để có trực P1 24/7, SLA rõ ràng, giám sát expiry/uptime tự động: Web Maintenance Services – Tấn Phát Digital.

  • Tham khảo thêm quy trình bảo trì hàng tháng (kiểm tra SSL/domain, backup, CWV, bảo mật) để ngăn sự cố lặp lại.

Mục lục

Bài viết liên quan

Hình ảnh đại diện của bài viết: Augment Code là gì? Hướng dẫn AI lập trình 2025

Augment Code là gì? Hướng dẫn AI lập trình 2025

Augment Code là gì? Công cụ AI hỗ trợ lập trình giúp developer tăng tốc độ code, giảm lỗi và tối ưu dự án. Phân tích chi tiết bởi Tấn Phát Digital.

Hình ảnh đại diện của bài viết: Cách Lấy Email Tên Miền Miễn Phí (2025) | Hướng Dẫn A–Z

Cách Lấy Email Tên Miền Miễn Phí (2025) | Hướng Dẫn A–Z

Hướng dẫn 2025 lấy email tên miền miễn phí: Zoho Mail (inbox thật), Cloudflare Email Routing/ImprovMX (chuyển tiếp), kèm SPF/DKIM/DMARC để tăng tỉ lệ vào inbox. Triển khai đồng bộ thương hiệu với Tấn Phát Digital.

Hình ảnh đại diện của bài viết: Cách Tối Ưu Hóa Hình Ảnh Cho SEO – Tối Ưu Tốc Độ, Nâng Thứ Hạng Google

Cách Tối Ưu Hóa Hình Ảnh Cho SEO – Tối Ưu Tốc Độ, Nâng Thứ Hạng Google

Hướng dẫn chi tiết cách tối ưu hóa hình ảnh cho SEO: Checklist 7 kỹ thuật hiệu quả nhất giúp website tải nhanh, tăng thứ hạng Google.

Hình ảnh đại diện của bài viết: CDN Là Gì? Tại Sao Website Hiện Đại Cần Dùng CDN

CDN Là Gì? Tại Sao Website Hiện Đại Cần Dùng CDN

Tìm hiểu CDN là gì và tại sao website hiện đại cần dùng CDN. Giải pháp giúp tăng tốc độ tải trang, cải thiện SEO và bảo mật hiệu quả cho doanh nghiệp nhỏ.

Hình ảnh đại diện của bài viết: Chi Phí Duy Trì Website Hàng Năm: Hosting, Tên Miền, Bảo Trì & Hơn Thế Nữa

Chi Phí Duy Trì Website Hàng Năm: Hosting, Tên Miền, Bảo Trì & Hơn Thế Nữa

Tìm hiểu chi tiết về các khoản chi phí duy trì website hàng năm, bao gồm hosting, tên miền, bảo trì, bảo mật, và nhiều hơn nữa. Khám phá cách Tấn Phát Digital có thể giúp bạn quản lý và tối ưu hóa website một cách hiệu quả.

Hình ảnh đại diện của bài viết: Domain Là Gì? Cách Chọn Tên Miền Đẹp, Chuẩn SEO 2025

Domain Là Gì? Cách Chọn Tên Miền Đẹp, Chuẩn SEO 2025

Khám phá Domain là gì? Cách chọn tên miền đẹp, dễ nhớ và chuẩn SEO để tối ưu hóa website. Tấn Phát Digital – đơn vị Thiết Kế Website Hồ Chí Minh sẽ hướng dẫn bạn chi tiết.

Hình ảnh đại diện của bài viết: Hướng Dẫn Tạo & Gửi Sơ Đồ Website XML Lên Google Search Console

Hướng Dẫn Tạo & Gửi Sơ Đồ Website XML Lên Google Search Console

Hướng dẫn tạo sơ đồ website XML và gửi lên Google Search Console trong vài bước. Tìm hiểu vai trò của Sitemap trong SEO và cách Tấn Phát Digital hỗ trợ bạn có website chuẩn SEO ngay từ đầu.

Hình ảnh đại diện của bài viết: Hướng dẫn tích hợp danh sách địa chỉ mới sáp nhập vào website

Hướng dẫn tích hợp danh sách địa chỉ mới sáp nhập vào website

Danh sách 34 tỉnh thành Việt Nam sau khi sáp nhập đã được cập nhật thành file JSON chuẩn, dễ dùng cho website, phần mềm. Bài viết cung cấp link tải miễn phí.

Zalo
Facebook
Tấn Phát Digital
Zalo
Facebook