[2026] Name Mismatch: Nguyên nhân và cách khắc phục hiệu quả

Name Mismatch là một trong những lỗi phổ biến khiến website bị gián đoạn truy cập hoặc giảm uy tín trong mắt người dùng. Lỗi này thường xuất hiện khi tên miền và chứng chỉ SSL không khớp nhau, dẫn đến cảnh báo bảo mật trên trình duyệt. Điều này không chỉ ảnh hưởng đến trải nghiệm người dùng mà còn tác động tiêu cực đến hiệu suất SEO. Trong bài viết này, VinaHost sẽ cùng bạn tìm hiểu vì sao lỗi Name Mismatch xảy ra và cách xử lý để website hoạt động ổn định trở lại

Tóm tắt nhanh về lỗi SSL Name Mismatch
  • Bản chất của lỗi: Lỗi SSL Certificate Name Mismatch xảy ra khi tên miền người dùng truy cập không trùng khớp với danh sách tên miền được đăng ký và bảo vệ trong chứng chỉ SSL cài đặt trên máy chủ.

  • Sự khác biệt với lỗi hết hạn: Lỗi Name Mismatch xuất phát từ việc cấu hình sai lệch tên miền trên hệ thống, trong khi chứng chỉ bảo mật thực tế vẫn còn hạn sử dụng.

  • Các nguyên nhân cốt lõi: Sự cố này thường do việc thiếu đồng bộ giữa biến thể www và non-www, subdomain không được chứng chỉ bao phủ, truy cập website qua địa chỉ IP trực tiếp, hoặc cấu hình sai trên Shared Hosting, CDN và Mail Server.

  • Phương pháp kiểm tra: Quản trị viên có thể xác định nhanh các tên miền không khớp bằng cách sử dụng các công cụ SSL Checker trực tuyến để tra cứu trường SAN, hoặc chạy lệnh OpenSSL trực tiếp từ dòng lệnh máy chủ.

  • Giải pháp khắc phục: Việc xử lý đòi hỏi điều chỉnh trực tiếp các tệp cấu hình máy chủ (như Virtual Host trên Apache, Server Block trên Nginx, Site Bindings trên IIS) kết hợp với việc xóa cache DNS, HSTS và trạng thái SSL ở phía người dùng.

  • Giải pháp phòng ngừa: Để tối ưu quản trị và tránh tái diễn lỗi, doanh nghiệp cần lựa chọn phân loại chứng chỉ phù hợp, sử dụng Wildcard SSL cho một tên miền có nhiều subdomain cấp một, hoặc Multi-Domain SAN SSL khi vận hành nhiều tên miền độc lập.

1. Lỗi SSL Certificate Name Mismatch là gì?

Lỗi SSL Certificate Name Mismatch (lỗi không khớp tên chứng chỉ) là sự cố bảo mật xảy ra khi tên miền bạn đang truy cập không trùng khớp với các tên miền được đăng ký và bảo vệ hợp lệ trên chứng chỉ SSL cài đặt tại máy chủ. Khi phát hiện sự không đồng bộ này, các trình duyệt web sẽ ngay lập tức chặn kết nối và hiển thị cảnh báo để bảo vệ người dùng trước nguy cơ giả mạo danh tính website.

Nói đơn giản, chứng chỉ SSL giống như “chứng minh thư” của website, và lỗi Name Mismatch xuất hiện khi “chứng minh thư” này không đúng với tên website bạn đang truy cập.

Thông báo lỗi sẽ khác nhau tùy trình duyệt, nhưng đều xuất phát từ cùng một nguyên nhân là lỗi Name Mismatch:

  • Chrome:
    • Tiêu đề: Kết nối của bạn không riêng tư.

    • Chi tiết: Kẻ tấn công có thể đang cố gắng đánh cắp thông tin của bạn từ [trang web] (ví dụ: mật khẩu, tin nhắn hoặc thẻ tín dụng).

    • Mã lỗi: NET::ERR_CERT_COMMON_NAME_INVALID

name mismatch
Lỗi Name Mismatch trên trình duyệt Chrome
  • Firefox:
    • Tiêu đề: Cảnh báo: Rủi ro bảo mật tiềm ẩn phía trước.

    • Chi tiết: Các trang web chứng minh danh tính của chúng thông qua chứng chỉ. Firefox không tin tưởng trang web này vì nó sử dụng chứng chỉ không hợp lệ cho URL trang web. Chứng chỉ này chỉ hợp lệ cho tên miền chứng chỉ.

    • Mã lỗi: SSL_ERROR_BAD_CERT_DOMAIN

name mismatch
Lỗi Name Mismatch trên trình duyệt Firefox
  • Microsoft Edge:
    • Tiêu đề: Kết nối của bạn không riêng tư (Your connection is not private)

    • Mã lỗi không khớp: NET::ERR_CERT_COMMON_NAME_INVALID

    • Mã lỗi hết hạn: NET::ERR_CERT_DATE_INVALID
name mismatch
Lỗi Name Mismatch trên trình duyệt Microsoft Edge

2. So sánh lỗi Name Mismatch và lỗi chứng chỉ hết hạn

Mặc dù cả hai sự cố đều kích hoạt cảnh báo bảo mật trên trình duyệt, lỗi Name Mismatch xuất phát từ việc sai lệch cấu hình tên miền so với chứng chỉ, trong khi lỗi hết hạn xảy ra khi chứng chỉ SSL đã vượt quá thời gian hiệu lực được cấp phép. Để giúp bạn phân biệt và có hướng xử lý chính xác, bảng dưới đây sẽ so sánh chi tiết hai loại lỗi này:

Tiêu chíLỗi Name MismatchLỗi chứng chỉ SSL hết hạn
Nguyên nhânTên miền truy cập không khớp với tên miền ghi trên chứng chỉ SSLChứng chỉ SSL đã vượt quá ngày hết hạn được cấp bởi Cơ quan cấp chứng chỉ (CA)
Thông báo trình duyệt phổ biếnChrome: NET::ERR_CERT_COMMON_NAME_INVALID

Firefox: SSL_ERROR_BAD_CERT_DOMAIN

Edge: DLG_FLAGS_SEC_CERT_CN_INVALID

Chrome: NET::ERR_CERT_DATE_INVALID

Firefox: SEC_ERROR_EXPIRED_CERTIFICATE

Edge: DLG_FLAGS_SEC_CERT_DATE_INVALID

Ảnh hưởngTrình duyệt cảnh báo không an toàn, người dùng có thể hoang mang nhưng chứng chỉ vẫn còn giá trịTrình duyệt cảnh báo nghiêm trọng, kết nối thực sự không được bảo mật; nguy cơ dữ liệu bị lộ cao hơn
Cách xử lýCài đặt chứng chỉ đúng với tên miền hoặc sử dụng SNI/IP riêngGia hạn chứng chỉ SSL mới từ CA hoặc cài đặt lại chứng chỉ đã được gia hạn
Tần suất gặp phảiPhổ biến với website nhiều tên miền phụ, domain mới hoặc cấu hình sai SSLPhổ biến với website quên gia hạn hoặc sử dụng chứng chỉ tự ký

Nhìn chung:

  • Name Mismatch liên quan đến tên miền không khớp với chứng chỉ SSL.
  • Chứng chỉ hết hạn liên quan đến thời hạn chứng chỉ đã vượt quá.

Hiểu rõ sự khác biệt này sẽ giúp bạn xử lý các cảnh báo SSL một cách chính xác và nhanh chóng, tránh nhầm lẫn khi gặp thông báo bảo mật trên trình duyệt.

❌ Cảnh báo: Tuyệt đối không hướng dẫn người dùng bỏ qua cảnh báo!

Nhiều bài viết trên mạng hướng dẫn người dùng tắt cảnh báo SSL trên trình duyệt hoặc nhấn “Proceed anyway” (Vẫn tiếp tục truy cập). Đây là hành động cực kỳ nguy hiểm, khiến thiết bị của họ dễ dàng bị tấn công xen giữa (Man-in-the-Middle) và bị đánh cắp toàn bộ thông tin nhạy cảm. Nhiệm vụ sửa lỗi Name Mismatch thuộc về quản trị viên website, không phải người dùng.

3. Những nguyên nhân phổ biến gây ra lỗi SSL Common Name Mismatch

Sự cố không khớp tên chứng chỉ SSL thường bắt nguồn từ các lỗi thiết lập hệ thống tên miền, phân bổ tài nguyên hosting không đồng nhất hoặc cấu hình sai lệch trên các hạ tầng mạng phân phối. Dưới đây là các tác nhân cụ thể mà quản trị viên thường gặp phải trong quá trình vận hành website:

name mismatch
Những nguyên nhân phổ biến gây ra lỗi SSL Common Name Mismatch

3.1. Không bao gồm biến thể www và non-www

Một trong những nguyên nhân phổ biến khiến lỗi SSL Name Mismatch xảy ra là do chứng chỉ SSL chỉ được cấp cho một biến thể của tên miền, ví dụ www.example.com. Trong khi đó, người dùng lại truy cập trang web qua biến thể khác, chẳng hạn example.com mà không có “www” ở đầu. Khi trình duyệt nhận thấy tên miền bạn truy cập không khớp hoàn toàn với tên miền trên chứng chỉ, nó sẽ lập tức hiển thị cảnh báo bảo mật, khiến người dùng lo lắng.

3.2. Tên miền phụ (Subdomain) không được bảo vệ

Một nguyên nhân khác khiến lỗi SSL Name Mismatch xuất hiện là do chứng chỉ SSL chỉ áp dụng cho tên miền chính, trong khi website lại chạy trên một tên miền phụ (subdomain). Ví dụ, chứng chỉ được cấp cho example.com, nhưng bạn truy cập blog.example.com. Trình duyệt sẽ phát hiện rằng tên miền truy cập không khớp với tên miền trên chứng chỉ, từ đó hiển thị cảnh báo bảo mật.

3.3. Sử dụng địa chỉ IP thay vì tên miền

Khi người dùng hoặc nhà phát triển truy cập website trực tiếp qua địa chỉ IP thay vì sử dụng tên miền. Ví dụ, bạn nhập https://123.45.67.89 trong trình duyệt, trong khi chứng chỉ SSL chỉ được cấp cho tên miền: www.example.com. Khi đó, trình duyệt sẽ phát hiện sự không khớp giữa tên miền và chứng chỉ, dẫn đến cảnh báo SSL Name Mismatch.

3.4. Cấu hình sai trên Shared Hosting

Một nguyên nhân phổ biến khác dẫn đến lỗi SSL Name Mismatch là do cấu hình sai trên Shared Hosting. Trên các máy chủ chia sẻ (shared hosting), nhiều website cùng sử dụng một địa chỉ IP chung. Nếu máy chủ không trả về đúng chứng chỉ SSL tương ứng với website bạn truy cập, trình duyệt sẽ phát hiện không khớp tên miền và hiển thị cảnh báo bảo mật.

Ví dụ, bạn truy cập example2.com, nhưng máy chủ trả về chứng chỉ SSL của example1.com do cùng dùng một địa chỉ IP. Điều này gây ra cảnh báo Name Mismatch, dù website vẫn hoạt động bình thường.

3.5. Lỗi cấu hình CDN (Content Delivery Network)

Một nguyên nhân nữa khiến lỗi SSL Name Mismatch xảy ra liên quan đến CDN (Content Delivery Network). Khi sử dụng CDN, tất cả lưu lượng truy cập sẽ đi qua các máy chủ trung gian của CDN trước khi đến website gốc. Nếu CDN chưa được cấu hình đúng để sử dụng chứng chỉ SSL của website gốc, hoặc chứng chỉ SSL do CDN cung cấp không khớp với tên miền website, trình duyệt sẽ phát hiện sự không khớp tên miền và hiển thị cảnh báo bảo mật.

Ví dụ, website gốc của bạn đã có chứng chỉ SSL hợp lệ, nhưng CDN vẫn dùng chứng chỉ cũ hoặc chứng chỉ tự ký. Khi người dùng truy cập, trình duyệt sẽ hiển thị lỗi Name Mismatch, khiến họ hoang mang về độ an toàn của website.

3.6. Môi trường Localhost Development

Trong quá trình phát triển website, lập trình viên thường làm việc trên môi trường Localhost hoặc tên miền ảo. Lúc này, họ thường sử dụng chứng chỉ tự ký (self-signed certificate) để thử nghiệm HTTPS. Tuy nhiên, những chứng chỉ này không khớp với tên miền thực tế mà trình duyệt nhận diện, dẫn đến cảnh báo SSL Name Mismatch.

Ví dụ, bạn phát triển website trên localhost hoặc dev.example.com nhưng chứng chỉ SSL lại được cấp cho một tên miền khác, trình duyệt sẽ ngay lập tức báo lỗi. Đây là điều hoàn toàn bình thường trong môi trường phát triển và không ảnh hưởng đến website khi đưa lên môi trường thật.

4. Cách phát hiện lỗi Name Mismatch nhanh, chính xác

Để khắc phục lỗi SSL Name Mismatch hiệu quả, trước hết bạn cần xác định chính xác tên miền nào đang bị lệch với thông tin lưu trữ trên chứng chỉ SSL. Tùy thuộc vào môi trường quản trị và công cụ sẵn có, bạn có thể kiểm tra nhanh chóng qua hai phương pháp chủ đạo sau:

4.1. Sử dụng công cụ SSL Checker Online

Một cách nhanh chóng và tiện lợi để phát hiện lỗi SSL Name Mismatch là sử dụng công cụ kiểm tra SSL trực tuyến. Trong số các công cụ hiện có, Qualys SSL Labs là phổ biến và cung cấp thông tin chi tiết, bao gồm cả tên miền chính (Common Name) và các tên miền phụ/phụ trợ (Alternative Names) mà chứng chỉ SSL bảo vệ.

Hướng dẫn chi tiết:

  • Truy cập Qualys SSL Labs SSL Test: https://www.ssllabs.com/ssltest/
  • Nhập tên miền website cần kiểm tra vào ô “Hostname”.
  • Nhấn Submit để hệ thống bắt đầu phân tích chứng chỉ SSL.
  • Chờ vài phút để công cụ hoàn tất kiểm tra.
name mismatch
Nhập tên miền website và nhấn Submit

⚠️ Lưu ý:

  • Common Name (CN): Đây là tên miền chính mà chứng chỉ SSL được cấp. Nếu bạn truy cập một tên miền khác, trình duyệt sẽ cảnh báo Name Mismatch.
  • Subject Alternative Names (SANs): Danh sách các tên miền bổ sung được chứng chỉ bảo vệ, bao gồm cả www/non-www và các subdomain. Kiểm tra xem tên miền bạn truy cập có nằm trong danh sách này hay không.

Cách xác định lỗi Name Mismatch: Nếu tên miền bạn đang truy cập không xuất hiện trong CN hoặc SANs, đây chính là nguyên nhân gây lỗi Name Mismatch

name mismatch
Nếu tên miền bạn đang truy cập không xuất hiện thì đây chính là nguyên nhân gây lỗi

4.2. Sử dụng OpenSSL để kiểm tra từ dòng lệnh

Nếu bạn đang làm việc trên máy chủ hoặc sử dụng môi trường Linux, bạn có thể kiểm tra thông tin chứng chỉ SSL rất nhanh bằng cách dùng dịch vụ dòng lệnh tiện ích Let’s Encrypt kết hợp với OpenSSL. Đây là cách đơn giản để xem chứng chỉ thực tế mà server đang trả về – đặc biệt hữu ích khi bạn muốn xác định domain nào đang được chứng chỉ bảo vệ.

Chỉ cần chạy lệnh:

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com -showcerts

Lệnh này sẽ hiển thị toàn bộ thông tin chứng chỉ. Bạn hãy chú ý hai phần quan trọng nhất:

  • Subject: Đây là nơi thể hiện Common Name (CN) – tên miền chính của chứng chỉ.
  • X509v3 Subject Alternative Name: Đây là danh sách SANs, bao gồm các tên miền phụ hoặc biến thể www/non-www được chứng chỉ bảo vệ.

Cách nhận biết lỗi: Nếu tên miền bạn truy cập không xuất hiện trong CN hoặc SANs => chứng chỉ SSL không bao phủ domain đó, và đó chính là lý do trình duyệt báo lỗi.

5. Hướng dẫn khắc phục lỗi SSL Name Mismatch trên từng nền tảng

Khi đã xác định rõ nguồn gốc gây lỗi, việc xử lý cần được tiến hành trực tiếp trên máy chủ web, hạ tầng CDN hoặc cấu hình của hệ thống thư điện tử. Dưới đây là hướng dẫn khắc phục chi tiết đối với từng nền tảng, dịch vụ và môi trường hoạt động cụ thể:

5.1. Cách khắc phục lỗi SSL Name Mismatch trên Apache

Để xử lý lỗi Name Mismatch trên máy chủ Apache, bạn cần điều chỉnh các tham số cấu hình trong tệp Virtual Host chạy cổng 443 nhằm đảm bảo máy chủ gọi đúng chứng chỉ tương ứng với tên miền truy cập. Hãy thực hiện theo các bước sau:

Bước 1: Xác định tệp Virtual Host SSL

Trước tiên, bạn cần mở tệp cấu hình Virtual Host dành cho SSL. Tệp này thường nằm ở:

  • Ubuntu/Debian:
/etc/apache2/sites-enabled/yourdomain.conf
  • CentOS/RHEL:
/etc/httpd/conf.d/yourdomain.conf

Tìm khối VirtualHost chạy trên cổng 443: <VirtualHost *:443>

Đây là nơi Apache xử lý các kết nối HTTPS, vì vậy mọi thay đổi SSL đều phải thực hiện trong khối này.

Bước 2: Kiểm tra ServerName

ServerName phải khớp chính xác với tên miền mà chứng chỉ SSL được cấp.

Ví dụ: chứng chỉ SSL của bạn cấp cho www.example.com, cấu hình phải là: ServerName www.example.com

Bước 3: Kiểm tra ServerAlias

Nếu chứng chỉ bảo vệ nhiều biến thể tên miền (SAN), hãy thêm tất cả tên miền phụ hoặc biến thể vào ServerAlias example.com blog.example.com

Bước 4: Kiểm tra đường dẫn chứng chỉ

Đảm bảo Apache gọi đúng chứng chỉ và khóa riêng:

SSLCertificateFile /etc/ssl/certs/example.crt
SSLCertificateKeyFile /etc/ssl/private/example.key
SSLCertificateChainFile /etc/ssl/certs/ca-bundle.crt

Nếu dùng nhầm chứng chỉ của website khác, lỗi Name Mismatch sẽ xuất hiện.

Bước 5: Khởi động lại Apache

Sau khi chỉnh sửa xong, áp dụng thay đổi:

Trên Ubuntu/Debian:

sudo systemctl restart apache2

Trên CentOS/RHEL:

sudo systemctl restart httpd

⚠️ Lưu ý: Sau khi chỉnh sửa cấu hình tệp Virtual Host (Apache) hoặc Server Block (Nginx), cấu hình mới chỉ thực sự có hiệu lực khi bạn tiến hành khởi động lại hoặc reload dịch vụ. Nếu không reload, bộ nhớ RAM của máy chủ vẫn sẽ tiếp tục tải chứng chỉ SSL cũ, khiến lỗi Name Mismatch vẫn tiếp diễn dù bạn đã sửa đúng tệp cấu hình.

5.2. Cách khắc phục lỗi SSL Name Mismatch trên Nginx

Đối với máy chủ Nginx, việc khắc phục đòi hỏi bạn phải cập nhật lại khối server cấu hình HTTPS để khai báo chính xác tên miền hoạt động cùng đường dẫn vật lý dẫn tới chứng chỉ SSL tương thích.

Bước 1: Xác định tệp cấu hình Nginx

Tệp cấu hình Nginx thường nằm ở:

/etc/nginx/sites-enabled/yourdomain

hoặc

/etc/nginx/conf.d/yourdomain.conf

Mở tệp và tìm khối server chạy trên port 443 (HTTPS):

server {
listen 443 ssl;
server_name www.example.com;
}

Bước 2: Kiểm tra server_name

server_name phải bao gồm tên miền chính và tất cả các biến thể mà chứng chỉ SSL bảo vệ. Nếu thiếu bất kỳ tên miền nào, Nginx sẽ trả chứng chỉ không khớp khiến trình duyệt báo lỗi Name Mismatch.

Bước 3: Kiểm tra đường dẫn chứng chỉ SSL

Đảm bảo ssl_certificatessl_certificate_key trỏ chính xác tới chứng chỉ và khóa riêng tương ứng:

ssl_certificate /etc/ssl/certs/example.crt;
ssl_certificate_key /etc/ssl/private/example.key;

Sai đường dẫn hoặc dùng chứng chỉ của website khác sẽ gây lỗi Name Mismatch.

Bước 4: Kiểm tra SAN (nếu có)

Nếu chứng chỉ có SAN (Subject Alternative Names), hãy chắc chắn tất cả tên miền trong SAN đều được liệt kê trong server_name.

Bước 5: Kiểm tra và reload Nginx

Sau khi chỉnh sửa xong, kiểm tra cấu hình trước khi reload:

sudo nginx -t

Nếu không có lỗi, áp dụng thay đổi:

sudo systemctl reload nginx

Để chủ động phòng ngừa lỗi Name Mismatch và bảo vệ dữ liệu người dùng một cách hiệu quả, việc trang bị chứng chỉ bảo mật từ các tổ chức toàn cầu là bước đầu tư cần thiết cho mọi website.

Hiện nay, VinaHost đang hỗ trợ doanh nghiệp tối ưu chi phí vận hành với các gói dịch vụ đa dạng:

  • Khách hàng cá nhân, blog hoặc website tin tức có thể dễ dàng lựa chọn mua SSL giá rẻ, chính hãng để kích hoạt HTTPS nhanh chóng.
  • Đối với các hệ thống phân quyền phức tạp hoặc doanh nghiệp vừa và nhỏ, Sectigo SSL cung cấp khả năng tương thích cao trên hầu hết các trình duyệt phổ biến.
  • Với các tổ chức tài chính, trang thương mại điện tử yêu cầu mức độ xác thực và bảo mật nghiêm ngặt hơn, GeoTrust SSL sẽ mang lại sự tin cậy tối đa cho khách hàng khi giao dịch trực tuyến.

Liên hệ ngay với đội ngũ kỹ thuật hỗ trợ 24/7 của VinaHost để được tư vấn cài đặt và lựa chọn gói chứng chỉ tương thích nhất với hạ tầng của quý khách.

5.3. Cách khắc phục lỗi SSL Name Mismatch trên Windows Server (IIS)

Để xử lý triệt để lỗi Name Mismatch trên nền tảng IIS của Windows Server, bạn cần kiểm tra và cập nhật lại thiết lập cấu hình Binding trực tiếp trong trình quản lý IIS Manager.

Bước 1: Mở IIS Manager

  • Trên server, mở IIS Manager bằng cách nhấn Windows + R, gõ inetmgr.exe và nhấn OK.
name mismatch
Gõ inetmgr và nhấn OK
  • Trong Connections, chọn Sites, sau đó chọn website bạn muốn kiểm tra.
name mismatch
Chọn Sites và chọn website bạn muốn kiểm tra

Bước 2: Kiểm tra Site Bindings

  • Nhấn Bindings… ở phía bên phải (hoặc trong menu Actions).
name mismatch
Nhấn Bindings…
  • Trong cửa sổ Site Bindings, tìm binding với Type = https.

Bước 3: Kiểm tra Host Name

  • Đảm bảo Host Name khớp chính xác với tên miền mà chứng chỉ SSL được cấp. Ví dụ, nếu chứng chỉ cấp cho www.example.com, Host Name phải là: www.example.com
  • Nếu cần, bạn có thể thêm các biến thể khác vào Host Name tương ứng với SAN trên chứng chỉ.

Bước 4: Kiểm tra chứng chỉ SSL

  • Trong cùng cửa sổ binding, đảm bảo SSL certificate được chọn là chứng chỉ đúng cho domain đó.
  • Nếu chứng chỉ bị sai hoặc chưa được gán, hãy chọn chứng chỉ đúng từ danh sách đã cài đặt.
name mismatch
Thực hiện các thao tác trên để khắc phục lỗi SSL Name Mismatch trên Windows Server

Bước 5: Áp dụng và khởi động lại

  • Nhấn OK để lưu thay đổi.
  • Khởi động lại website hoặc server nếu cần để thay đổi có hiệu lực.

5.4. Lỗi “Origin SSL Certificate Name Mismatch” trên Cloudflare (Error 526)

Lỗi Error 526 trên Cloudflare xuất hiện khi chế độ mã hóa SSL/TLS được thiết lập là Full (Strict), nhưng chứng chỉ SSL cài đặt tại máy chủ gốc (Origin Server) lại không trùng khớp với tên miền được gửi yêu cầu từ phía người dùng.

Cách khắc phục:

  • Chuyển tạm thời chế độ SSL trên Cloudflare về Full (không quét Strict tên miền trên host gốc) để website hoạt động lại ngay.
  • Tạo lại chứng chỉ SSL trên server gốc (có thể dùng Cloudflare Origin CA) khớp chính xác với tên miền rồi chuyển lại về Full (Strict) để đảm bảo an toàn tối đa.

5.5. Lỗi Name Mismatch trên Mail Server và ứng dụng Outlook

Sự cố Name Mismatch trên Mail Server xảy ra do ứng dụng Outlook cố gắng kết nối bảo mật qua cơ chế tự động cấu hình (Autodiscover) hoặc tên miền phụ của mail, trong khi chứng chỉ SSL hiện tại của máy chủ thư điện tử chỉ hỗ trợ cho tên miền gốc.

Cách khắc phục:

  • Cấu hình bản ghi SRV hoặc CNAME cho Autodiscover chuẩn xác.
  • Tạo chứng chỉ SSL đa miền (Multi-Domain/SAN) bao gồm cả mail.tenmien.com và autodiscover.tenmien.com.
  • Bật tính năng Mail SNI trên các control panel (như cPanel, DirectAdmin) để hỗ trợ nhiều chứng chỉ SSL cho nhiều domain trên cùng một IP mail server.

5.6. Đã sửa lỗi trên Server nhưng người dùng vẫn thấy cảnh báo? Cách xử lý Cache & HSTS

Nếu người dùng vẫn gặp cảnh báo bảo mật sau khi máy chủ đã được cấu hình đúng chứng chỉ, nguyên nhân là do thiết bị khách đang lưu trữ bộ nhớ đệm (cache) DNS cũ, trạng thái SSL tạm thời hoặc cơ chế bảo mật nghiêm ngặt HSTS của trình duyệt chưa được làm mới.

Để khắc phục tình trạng này, bạn hãy làm như sau:

  • Xóa trạng thái SSL trên Windows: Truy cập Control Panel -> Internet Options -> thẻ Content -> nhấn Clear SSL State.
  • Xóa cache HSTS trên Chrome/Edge: Truy cập chrome://net-internals/#hsts, tìm mục Delete domain security policies, nhập tên miền vào và nhấn Delete.
  • Flush DNS: Chạy lệnh ipconfig /flushdns trên CMD để xóa cache DNS cũ.

✅ Mẹo kiểm tra:

Để xác nhận lỗi Name Mismatch đã được khắc phục hoàn toàn trên server mà không bị ảnh hưởng bởi cache của trình duyệt hoặc máy tính cá nhân, bạn nên sử dụng Trình duyệt ẩn danh, thử truy cập bằng một thiết bị di động sử dụng mạng 4G/5G (không chung mạng Wi-Fi), hoặc sử dụng các công cụ kiểm tra độc lập như Proxy web hoặc trang Geopeeker.

Xem ngay bảng tổng hợp các lỗi thường gặp, nguyên nhân và giải pháp dưới đây:

Trường hợp gặp lỗi Nguyên nhân thực tế Cách xử lý nhanh nhất
Truy cập không có www bị lỗiChứng chỉ chỉ cấp cho www.domain.comCấu hình chuyển hướng (Redirect 301) từ non-www sang www, hoặc reissue SSL thêm SAN
Lỗi trên subdomain (dev., api.)Chứng chỉ thường chỉ bảo vệ tên miền chínhChuyển sang sử dụng Wildcard SSL (*.domain.com)
Truy cập qua địa chỉ IP bị lỗiChứng chỉ SSL chỉ cấp cho FQDN (tên miền), không cấp cho IPCấu hình chuyển hướng IP về tên miền, hoặc đăng ký chứng chỉ SSL đặc biệt hỗ trợ IP (Public IP SSL).
Lỗi màn hình Error 526 trên CloudflareChứng chỉ trên hosting gốc không khớp tên miềnĐổi chế độ SSL trên Cloudflare sang Full (thay vì Full Strict) hoặc cài SSL Origin hợp lệ
Cảnh báo bảo mật khi mở OutlookAutodiscover trỏ sai hoặc chứng chỉ mail server thiếu SANCấu hình lại bản ghi SRV cho Autodiscover và reissue SSL mail server bao gồm domain phụ của mail

6. Kinh nghiệm quản lý chứng chỉ SSL và tránh lỗi hiệu quả

Việc chủ động phòng ngừa lỗi Name Mismatch đòi hỏi người quản trị phải nắm vững các cơ chế mở rộng của chứng chỉ bảo mật, đồng thời lựa chọn loại chứng chỉ tương thích tốt với cấu trúc hệ thống. Dưới đây là các nguyên tắc quản lý giúp tối ưu hóa hạ tầng bảo mật của bạn:

6.1. Hiểu rõ về Subject Alternative Name (SAN)

Subject Alternative Name (SAN) là một trường mở rộng trong chứng chỉ SSL cho phép bạn bảo vệ nhiều tên miền và subdomain trên cùng một chứng chỉ.

  • Ví dụ, nếu bạn có chứng chỉ SSL cho www.example.com và muốn bảo vệ cả example.comblog.example.com, tất cả các tên miền này phải được liệt kê trong SAN.
  • Nếu một tên miền không có trong SAN, khi người dùng truy cập tên miền đó, trình duyệt sẽ báo lỗi Name Mismatch mặc dù chứng chỉ vẫn hợp lệ cho các tên miền khác.

6.2. Lựa chọn đúng loại chứng chỉ: Wildcard hay Multi-Domain SAN

Để ngăn ngừa tối đa lỗi Name Mismatch khi vận hành nhiều tên miền hoặc tên miền phụ, việc lựa chọn đúng định dạng chứng chỉ giữa Wildcard và Multi-Domain SAN đóng vai trò quyết định đối với chi phí và hiệu quả quản lý. Bảng dưới đây sẽ giúp bạn hiểu rõ sự khác biệt và chọn đúng loại phù hợp với hệ thống của mình.

Tiêu chíWildcard SSLMulti-Domain SAN SSL (MDC/UCC)
Phạm vi bảo vệBảo vệ 1 tên miền chính và vô số subdomain cấp 1.Bảo vệ nhiều tên miền khác nhau (domain, subdomain, TLD khác nhau).
Ví dụ*.example.com => hoạt động cho: blog.example.com, mail.example.comwww.site1.com, site2.net, app.domain.org, blog.example.com
Không hỗ trợKhông hỗ trợ subdomain nhiều cấp (như a.b.example.com). Không hỗ trợ nhiều domain khác nhau.Không tự động bảo vệ vô hạn subdomain; phải thêm SAN thủ công.
Khi nào nên dùngKhi bạn chỉ quản lý một website nhưng có nhiều subdomain.Khi bạn quản lý nhiều website hoặc hệ thống đa miền.
Ưu điểmDễ quản lý, thêm subdomain không cần cấp lại chứng chỉ.Linh hoạt, bảo vệ nhiều miền độc lập nhau.
Hạn chếKhông phù hợp khi có nhiều domain khác nhau.Giới hạn số lượng SAN theo gói. Thêm tên miền mới cần cập nhật lại chứng chỉ.

Kết luận

  • Nếu bạn chỉ dùng một domain với nhiều subdomain, chọn Wildcard SSL.

  • Nếu bạn có nhiều domain khác nhau, hãy dùng Multi-Domain SAN SSL.

Câu hỏi thường gặp

Làm thế nào để tạo CSR với nhiều tên miền để ngăn lỗi Nname Mismatch?

Bạn cần khai báo đầy đủ tất cả tên miền vào trường Subject Alternative Name (SAN) khi tạo CSR để chứng chỉ SSL có thể bảo vệ toàn bộ các tên miền đó và tránh lỗi Name Mismatch.

Lỗi Name Mismatch của Let's Encrypt sau khi gia hạn là do đâu?

Lỗi này thường xuất hiện khi chứng chỉ được gia hạn không còn chứa đầy đủ các tên miền trong SAN như chứng chỉ ban đầu. Một số nguyên nhân phổ biến gồm:

  • Cấu hình auto-renew không liệt kê đầy đủ tên miền.

  • Chứng chỉ được gia hạn cho sai Virtual Host hoặc sai server block, dẫn đến trình duyệt nhận chứng chỉ của website khác.

  • Thay đổi DNS, webroot hoặc cấu trúc máy chủ khiến Let’s Encrypt chỉ xác thực được một số tên miền, làm các miền còn lại bị loại khỏi SAN.

  • Công cụ auto-renew (như Certbot) chạy với tham số cấu hình khác lần đầu, dẫn đến thiếu SAN trên chứng chỉ mới.

Chi phí để sửa lỗi SSL Name Mismatch là bao nhiêu?

Chi phí có thể bằng 0 nếu lỗi xuất phát từ cấu hình sai hoặc bạn dùng lại chứng chỉ miễn phí như Let’s Encrypt.

Trường hợp cần mua chứng chỉ mới (Wildcard hoặc Multi-Domain SAN), chi phí thường dao động từ vài trăm nghìn đến vài triệu đồng, tùy nhà cung cấp và số lượng tên miền cần bảo vệ.

Có thể sử dụng chứng chỉ SSL miễn phí để khắc phục lỗi Name Mismatch hay không?

Có. Bạn hoàn toàn có thể sử dụng các chứng chỉ SSL miễn phí — như Let’s Encrypt — để khắc phục lỗi SSL Name Mismatch, miễn là chứng chỉ được cấp bao gồm đúng tất cả các tên miền và biến thể tên miền (www/non-www hoặc các subdomain) mà website sử dụng.

Tuy nhiên, cần lưu ý:

  • Chứng chỉ miễn phí không hỗ trợ Wildcard đa cấp và không hỗ trợ chứng chỉ SAN với số lượng lớn như chứng chỉ trả phí.

  • Nếu hệ thống của bạn sử dụng nhiều subdomain hoặc nhiều domain khác nhau, bạn có thể cần nâng cấp lên Wildcard SSL hoặc Multi-Domain SAN SSL trả phí để đảm bảo độ bao phủ đầy đủ.

Kết luận

Lỗi SSL Name Mismatch là một trong những sự cố SSL/TLS phổ biến nhất và cũng dễ gây ảnh hưởng nghiêm trọng đến trải nghiệm người dùng, khả năng SEO và uy tín thương hiệu. Bằng cách quản lý chứng chỉ một cách chủ động và tuân thủ các nguyên tắc cấu hình chuẩn, bạn có thể ngăn ngừa hoàn toàn lỗi Name Mismatch, đảm bảo website luôn an toàn, tin cậy và hoạt động ổn định. Đây cũng là bước quan trọng để xây dựng một hệ thống hạ tầng bảo mật bền vững trong dài hạn.

Mời bạn truy cập vào blog của VinaHost TẠI ĐÂY để theo dõi thêm nhiều bài viết mới. Hoặc nếu bạn muốn được tư vấn thêm thì có thể liên hệ với chúng tôi qua:

Bài viết liên quan
Bình luận
Subscribe
Notify of
guest
0 Góp ý
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Tổng lượt truy cập: lượt xem
Zalo (08:00 AM - 05:00 PM)
scroll_top