Cách cấu hình SSL đạt A+ trên SSL Labs (Apache & Nginx)

Cập nhật lần cuối: 05/05/2026

Hướng dẫn cấu hình SSL đạt A+ trên SSL Labs cho Apache và Nginx. Tối ưu TLS 1.3, cipher, HSTS, OCSP Stapling để tăng bảo mật và hiệu năng website.

SSL Labs là gì và tại sao cần đạt A+?

SSL Labs là công cụ đánh giá cấu hình SSL phổ biến nhất hiện nay. Nó kiểm tra:

• Phiên bản TLS
• Cipher suite
• Certificate chain
• Các header bảo mật

A+ không chỉ là điểm số — mà là tiêu chuẩn cho website bảo mật cao và tối ưu hiệu năng

Xem thêm: SSL Là Gì?

Tiêu chí để đạt A+ trên SSL Labs

Để đạt A+, bạn cần đảm bảo:

• Chỉ dùng TLS 1.2 và TLS 1.3
• Tắt TLS 1.0 và 1.1
• Sử dụng cipher mạnh
• Bật HSTS
• Bật OCSP Stapling
• Không có lỗi Mixed Content

Thiếu HSTS thường chỉ đạt A, không lên được A+

Xem thêm: TLS 1.2 vs TLS 1.3: Có cần nâng cấp không?

Cách cấu hình cho Apache và Nginx

Bước 1: Chỉ bật TLS 1.2 và TLS 1.3

Apache

SSLProtocol -all +TLSv1.2 +TLSv1.3

Nginx

ssl_protocols TLSv1.2 TLSv1.3;

Tắt TLS cũ giúp loại bỏ lỗ hổng bảo mật và tăng điểm SSL Labs

Bước 2: Cấu hình Cipher mạnh

Apache

SSLCipherSuite TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
SSLHonorCipherOrder off

Nginx

ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

TLS 1.3 đã tối ưu cipher mặc định, giảm rủi ro cấu hình sai

Bước 3: Bật OCSP Stapling

Apache

SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)

Nginx

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 1.1.1.1 valid=300s;
resolver_timeout 5s;

OCSP Stapling giúp giảm thời gian xác thực SSL và cải thiện tốc độ

Xem thêm: OCSP Stapling là gì? Có cần bật không?

Bước 4: Bật HSTS (điều kiện bắt buộc để đạt A+)

Apache

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Nginx

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

HSTS buộc trình duyệt chỉ dùng HTTPS và giúp đạt A+

Xem thêm: HSTS là gì? Có nên bật không?

Bước 5: Redirect toàn bộ HTTP sang HTTPS

Apache (.htaccess)

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Nginx

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

Không redirect sẽ ảnh hưởng SEO và làm giảm điểm SSL Labs

Bước 6: Fix toàn bộ Mixed Content

Mixed Content xảy ra khi:

• Website HTTPS nhưng vẫn load tài nguyên HTTP

Hậu quả:

• Trình duyệt block JS/CSS
• Website hiển thị lỗi
• Mất điểm bảo mật

Có SSL nhưng vẫn “Not Secure” thường do lỗi này

Xem thêm: Mixed Content là gì? Cách fix triệt để

Bước 7: Kiểm tra lại trên SSL Labs

Sau khi cấu hình xong, cần kiểm tra lại:

• Protocol support
• Cipher strength
• Certificate chain
• HSTS

Mục tiêu:

• Đạt A hoặc A+
• Không còn cảnh báo

Những lỗi khiến không đạt A+

• Chưa bật HSTS --> chỉ đạt A
• Còn TLS 1.0 / 1.1 --> tụt điểm nghiêm trọng
• Cipher yếu hoặc sai --> bị cảnh báo bảo mật
• Chưa bật OCSP Stapling --> giảm hiệu năng

SSL ảnh hưởng hiệu năng như thế nào?

Cấu hình SSL đúng giúp:

• Giảm latency
• Tăng tốc handshake
• Tận dụng HTTP/2 và HTTP/3

SSL không chỉ là bảo mật — mà còn là yếu tố tăng tốc website

Xem thêm: HTTP/1.1 vs HTTP/2 vs HTTP/3: SSL ảnh hưởng hiệu năng website như thế nào?

Có phải SSL nào cũng dễ đạt A+?

Không hoàn toàn.

• SSL miễn phí: vẫn đạt A/A+ nếu cấu hình đúng
• SSL trả phí:
  • ổn định hơn
  • hỗ trợ tốt hơn
  • phù hợp doanh nghiệp

Cấu hình quan trọng, nhưng chất lượng SSL cũng ảnh hưởng đến độ tin cậy lâu dài

Xem thêm: Free SSL và Paid SSL – Doanh nghiệp nên chọn gì?

Kết luận

Để đạt A+ trên SSL Labs, bạn cần:

• Sử dụng TLS 1.2 và TLS 1.3
• Cấu hình cipher mạnh
• Bật OCSP Stapling
• Bật HSTS
• Fix toàn bộ Mixed Content

A+ không chỉ là điểm số — mà là chuẩn bảo mật và hiệu năng cho website hiện đại