1. Trang chủ
2. Tin tức
3. Khắc phục lỗi SSL/TLS thường gặp

Khắc phục lỗi SSL/TLS thường gặp

SSL/TLS là nền tảng của bảo mật web hiện đại. Tuy nhiên, trong quá trình triển khai, quản trị viên thường gặp phải các lỗi liên quan đến chứng chỉ và cấu hình. Dưới đây là tổng hợp các lỗi phổ biến cùng cách khắc phục.

Các lỗi SSL/TLS phổ biến

1. ERR_CERT_DATE_INVALID – Chứng chỉ hết hạn

• Nguyên nhân:
  • Chứng chỉ SSL đã quá hạn.
  • Hoặc đồng hồ hệ thống (server/client) bị lệch.
• Cách khắc phục:
  • Gia hạn (renew) chứng chỉ với Let’s Encrypt, acme.sh hoặc CA thương mại.
  • Kiểm tra và đồng bộ thời gian hệ thống với NTP server.

2. ERR_CERT_COMMON_NAME_INVALID – Hostname mismatch

• Nguyên nhân:
  • Tên miền truy cập không trùng với Common Name (CN) hoặc Subject Alternative Name (SAN) trong chứng chỉ.
• Cách khắc phục:
  • Sử dụng chứng chỉ SAN/UCC nếu có nhiều domain.
  • Cấu hình đúng FQDN (Fully Qualified Domain Name).
  • Ví dụ: nếu cert chỉ cho www.domain.com thì khi truy cập domain.com sẽ lỗi.

3. ERR_SSL_OBSOLETE_VERSION – Phiên bản TLS lỗi thời

• Nguyên nhân:
  • Server vẫn bật TLS 1.0/1.1, vốn đã bị trình duyệt hiện đại (Chrome, Firefox, Edge) ngừng hỗ trợ.
• Cách khắc phục:
  • Tắt TLS 1.0/1.1 trong cấu hình web server (nginx, Apache, IIS).
  • Chỉ bật TLS 1.2/1.3 để đảm bảo bảo mật.
  • Ví dụ (nginx):

ssl_protocols TLSv1.2 TLSv1.3;

4. ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY – DH key yếu

• Nguyên nhân:
  • Server sử dụng Diffie-Hellman key exchange với độ dài < 1024 bit.
  • Dễ bị tấn công Logjam.
• Cách khắc phục:
  • Tạo file dhparam ≥ 2048 bit:

    openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

  • Thêm vào cấu hình (nginx):

    ssl_dhparam /etc/ssl/certs/dhparam.pem;

Best Practices để tránh lỗi SSL/TLS

• Tự động gia hạn (auto-renew) với ACME (Let’s Encrypt, acme.sh).
• Bật TLS 1.2/1.3 và disable các cipher suite yếu (RC4, 3DES, DES).
• Theo dõi expiry bằng monitoring (Zabbix, Prometheus, cron job).
• Dùng CA uy tín (DigiCert, GlobalSign, Sectigo).
• Test cấu hình định kỳ với SSL Labs Test.

Kết luận

Các lỗi SSL/TLS thường gặp hầu hết đến từ chứng chỉ hết hạn, hostname sai, hoặc cấu hình server chưa cập nhật chuẩn mới. Việc khắc phục tương đối đơn giản, nhưng nếu bỏ qua có thể khiến website:

• Bị trình duyệt cảnh báo “Not Secure”.
• Mất uy tín với khách hàng.
• Nguy cơ vi phạm các chuẩn bảo mật (PCI DSS, ISO 27001).

Giải pháp: luôn cập nhật cấu hình, giám sát vòng đời chứng chỉ và áp dụng best practices về TLS.