HTTPS là một tín hiệu xếp hạng

Thứ Năm, ngày 7 tháng 8 năm 2014

Bảo mật là một vấn đề được Google ưu tiên hàng đầu. Chúng tôi đầu tư rất nhiều để đảm bảo các dịch vụ của chúng tôi sử dụng các biện pháp bảo mật hàng đầu trong ngành, chẳng hạn như mặc định áp dụng giao thức mã hoá HTTPS có tính bảo mật cao. Như vậy tức là người dùng các sản phẩm của chúng tôi (chẳng hạn như Tìm kiếm, Gmail và Google Drive) tự động có kết nối bảo mật đến Google.

Ngoài phạm vi các sản phẩm của mình, chúng tôi cũng nỗ lực giúp môi trường Internet trở nên an toàn hơn. Một phần không thể thiếu trong nỗ lực đó là đảm bảo các trang web mà mọi người truy cập qua Google đều được bảo mật. Ví dụ: chúng tôi đã tạo những tài nguyên giúp quản trị viên trang web ngăn ngừa và khắc phục lỗi vi phạm về bảo mật trên trang web của họ.

Chúng tôi còn muốn tiến xa hơn nữa. Tại Google I/O vài tháng trước, chúng tôi đã kêu gọi "triển khai HTTPS khắp mọi nơi" trên web.

Chúng tôi cũng nhận thấy ngày càng nhiều quản trị viên trang web sử dụng HTTPS (còn gọi là HTTP qua TLS hay Bảo mật tầng truyền tải) trên trang web của họ. Đây là một tín hiệu đáng khích lệ.

Vì những lý do này mà vài tháng vừa qua, chúng tôi đã triển khai nhiều thử nghiệm để xem có nên dùng yếu tố bảo mật và kết nối được mã hoá của trang web làm một tín hiệu trong thuật toán xếp hạng kết quả tìm kiếm hay không. Do nhận thấy nhiều kết quả tích cực nên chúng tôi đang bắt đầu dùng HTTPS làm một tín hiệu xếp hạng. Hiện nay, tín hiệu này chiếm trọng số rất nhỏ – ảnh hưởng đến ít hơn 1% số lượt tìm kiếm trên toàn cầu và chiếm trọng số thấp hơn những tín hiệu khác như nội dung chất lượng cao. Đồng thời, chúng tôi cho quản trị viên trang web thêm thời gian để chuyển sang HTTPS. Tuy nhiên, sau này chúng tôi có thể quyết định tăng mức độ tác động của tín hiệu này. Lý do là chúng tôi muốn khuyến khích tất cả chủ sở hữu trang web chuyển từ HTTP sang HTTPS để giữ cho mọi người an toàn trên web.

Hình ảnh chiếc khoá minh hoạ bước chuyển từ HTTP sang HTTPS để giữ cho mọi người an toàn trên web

Trong vài tuần tới, chúng tôi sẽ phát hành nội dung chi tiết về các phương pháp hay nhất (đã có trong tài liệu của chúng tôi) để giúp quá trình triển khai TLS diễn ra dễ dàng hơn cũng như hạn chế các lỗi thường gặp. Sau đây là một số mẹo cơ bản giúp bạn bắt đầu:

  • Chọn loại chứng chỉ bạn cần: chứng chỉ cho một miền, nhiều miền hay ký tự đại diện
  • Dùng chứng chỉ khoá 2048 bit
  • Dùng URL tương đối cho những tài nguyên nằm trên cùng một miền bảo mật
  • Dùng URL giao thức tương đối cho mọi miền khác
  • Tham khảo bài viết về Hoạt động di chuyển trang web để nắm được thêm nguyên tắc về cách thay đổi địa chỉ trang web
  • Đừng dùng robots.txt để chặn thu thập dữ liệu trên trang web HTTPS
  • Cho phép các công cụ tìm kiếm lập chỉ mục trang của bạn nếu được. Tránh dùng thẻ meta robots noindex.

Nếu trang web của bạn vốn đang phân phát qua HTTPS, thì bạn có thể kiểm tra mức độ bảo mật và cấu hình qua công cụ của Qualys Lab. Nếu bạn lo ngại về TLS và hiệu suất của trang web, hãy tham khảo trang Is TLS fast yet?. Và tất nhiên, nếu bạn có lo ngại hoặc thắc mắc, vui lòng đăng lên Diễn đàn trợ giúp dành cho quản trị viên trang web của chúng tôi.

Chúng tôi hy vọng ngày càng có nhiều trang web sử dụng HTTPS trong tương lai. Hãy cùng nhau tạo một môi trường an toàn hơn trên web!