Sertifikat HTTPS dan SSL: Jadikan Situs Web Anda Aman (dan Mengapa Anda Harus)

Ketika mengirimkan informasi pribadi melalui Internet—baik itu informasi kontak, kredensial login, informasi akun, informasi lokasi, atau apa pun yang mungkin disalahgunakan—masyarakat, pada umumnya, benar-benar paranoid terhadap peretas dan pencuri identitas. Dan memang demikian adanya. Ketakutan bahwa informasi Anda mungkin dicuri, dirusak, atau disalahgunakan bukanlah hal yang tidak masuk akal. Berita utama tentang kebocoran dan pelanggaran keamanan selama beberapa dekade terakhir membuktikan hal ini. Namun terlepas dari ketakutan ini, orang-orang tetap masuk untuk melakukan aktivitas perbankan, berbelanja, menulis jurnal, berkencan, bersosialisasi, dan bisnis pribadi dan profesional lainnya di web. Dan ada satu hal kecil yang memberi mereka kepercayaan diri untuk melakukan hal ini. Saya akan menunjukkannya kepada Anda:

Meskipun tidak semua dari mereka memahami cara kerjanya, gembok kecil di bilah alamat memberi sinyal kepada pengguna web bahwa mereka memiliki koneksi tepercaya ke situs web yang sah. Jika pengunjung tidak melihatnya di bilah alamat saat mereka membuka situs web Anda, Anda tidak akan—dan tidak seharusnya—mendapatkan bisnis mereka.

Untuk mendapatkan gembok bilah alamat kecil untuk situs web Anda, Anda memerlukan sertifikat SSL. Bagaimana cara mendapatkannya? Baca terus untuk mencari tahu.

Garis Besar Artikel:

• Apa itu SSL/TLS?
• Bagaimana Cara Menggunakan HTTPS?
• Apa itu Sertifikat SSL dan Bagaimana Cara Mendapatkannya?
• Panduan Belanja Sertifikat SSL
  • Otoritas Sertifikat
  • Validasi Domain vs. Validasi yang Diperluas
  • SSL Bersama vs. SSL Pribadi
  • Segel Kepercayaan
  • Sertifikat SSL Wildcard
  • Jaminan
  • Sertifikat SSL Gratis dan Sertifikat SSL yang Ditandatangani Sendiri
• Memasang Sertifikat SSL
• Kelebihan dan Kekurangan HTTPS

Apa itu SSL/TLS?

Di web, data ditransfer menggunakan Hypertext Transfer Protocol. Itu sebabnya semua URL halaman web memiliki “http://” atau “http s ://” di depannya.

Apa perbedaan antara http dan https? S ekstra kecil ini mempunyai implikasi besar: Keamanan.

Biar saya jelaskan.

HTTP adalah “bahasa” yang digunakan komputer dan server Anda untuk berbicara satu sama lain. Bahasa ini dipahami secara universal, yang memang nyaman, tetapi juga memiliki kekurangan. Ketika data dikirimkan antara Anda dan server melalui Internet, data tersebut akan berhenti di tengah perjalanan sebelum mencapai tujuan akhirnya. Hal ini menimbulkan tiga risiko besar:

• Bahwa seseorang mungkin menguping percakapan Anda (seperti penyadapan telepon digital).

• Bahwa seseorang mungkin meniru salah satu (atau kedua-duanya) pihak di kedua pihak.

• Bahwa seseorang mungkin merusak pesan yang sedang ditransfer.

Peretas dan orang brengsek menggunakan kombinasi cara-cara di atas untuk sejumlah penipuan dan pencurian, termasuk taktik phishing, serangan man-in-the-middle, dan iklan kuno yang bagus. Serangan berbahaya bisa sesederhana mengendus kredensial Facebook dengan mencegat cookie yang tidak terenkripsi (menguping), atau bisa juga lebih canggih. Misalnya, Anda mungkin berpikir Anda memberi tahu bank Anda: “Tolong transfer $100 ke ISP saya,” namun seseorang di tengah dapat mengubah pesan tersebut menjadi: “Tolong transfer $100 semua uang saya ke ISP saya Peggy di Siberia” (gangguan data dan peniruan identitas).

Jadi, itulah masalah dengan HTTP. Untuk mengatasi masalah tersebut, HTTP dapat dilapisi dengan protokol keamanan, sehingga menghasilkan HTTP Secure (HTTPS). Umumnya, S di HTTPS disediakan oleh protokol Secure Sockets Layer (SSL) atau protokol Transport Layer Security (TLS) yang lebih baru. Saat diterapkan, HTTPS menawarkan enkripsi dua arah (untuk mencegah penyadapan), autentikasi server (untuk mencegah peniruan identitas), dan autentikasi pesan (untuk mencegah gangguan data).

Cara Menggunakan HTTPS

Seperti bahasa lisan, HTTPS hanya berfungsi jika kedua belah pihak memilih untuk mengucapkannya. Di sisi klien, pilihan untuk menggunakan HTTPS dapat dilakukan dengan mengetikkan “https” di bilah alamat browser sebelum URL (misalnya, alih-alih mengetik http://www.facebook.com, ketik https://www.facebook .com) atau dengan memasang ekstensi yang secara otomatis memaksa HTTPS, seperti HTTPS Everywhere untuk Firefox dan Chrome . Saat browser web Anda menggunakan HTTPS, Anda akan melihat ikon gembok, bilah browser berwarna hijau, jempol ke atas, atau tanda meyakinkan lainnya bahwa koneksi Anda dengan server aman.

Namun untuk menggunakan HTTPS, web server harus mendukungnya. Jika Anda seorang webmaster dan ingin menawarkan HTTPS kepada pengunjung web Anda, maka Anda memerlukan Sertifikat SSL atau Sertifikat TLS. Bagaimana cara mendapatkan Sertifikat SSL atau TLS? Teruslah membaca.

Bacaan lebih lanjut: Beberapa aplikasi web populer memungkinkan Anda memilih HTTPS di pengaturan pengguna Anda. Baca tulisan kami di Facebook , Gmail , dan Twitter .

Apa itu Sertifikat SSL, dan Bagaimana Cara Mendapatkannya?

Untuk menggunakan HTTPS, server web Anda harus memasang sertifikat SSL atau sertifikat TLS. Sertifikat SSL/TLS seperti ID foto untuk situs web Anda. Saat browser yang menggunakan HTTPS mengakses halaman web Anda, browser akan melakukan “jabat tangan”, di mana komputer klien meminta sertifikat SSL. Sertifikat SSL kemudian divalidasi oleh otoritas sertifikat (CA) tepercaya, yang memverifikasi bahwa server tersebut sesuai dengan yang dinyatakan. Jika semuanya beres, pengunjung web Anda akan mendapatkan tanda centang hijau atau ikon gembok yang meyakinkan. Jika terjadi kesalahan, mereka akan mendapat peringatan dari browser web yang menyatakan bahwa identitas server tidak dapat dikonfirmasi.

Belanja Sertifikat SSL

Saat memasang sertifikat SSL di situs web Anda, ada banyak parameter yang harus diputuskan. Mari kita bahas hal yang paling penting:

Otoritas Sertifikat

Otoritas sertifikat (CA) adalah perusahaan yang menerbitkan sertifikat SSL Anda dan merupakan pihak yang akan memvalidasi sertifikat Anda setiap kali pengunjung mengunjungi situs web Anda. Meskipun setiap penyedia sertifikat SSL akan bersaing dalam hal harga dan fitur, hal nomor satu yang perlu dipertimbangkan saat memeriksa otoritas sertifikat adalah apakah mereka memiliki sertifikat yang sudah diinstal sebelumnya di browser web paling populer atau tidak. Jika otoritas sertifikat yang menerbitkan sertifikat SSL Anda tidak ada dalam daftar tersebut, maka pengguna akan diberi peringatan bahwa sertifikat keamanan situs tidak dipercaya. Tentu saja, ini tidak berarti bahwa situs web Anda tidak sah—hanya berarti CA Anda tidak ada dalam daftar (belum). Ini merupakan masalah karena sebagian besar pengguna tidak mau repot-repot membaca peringatan atau meneliti CA yang tidak dikenal. Mereka mungkin akan langsung mengkliknya.

Untungnya, daftar CA pra-instal di browser utama cukup banyak. Ini mencakup beberapa nama merek besar serta CA yang kurang dikenal dan lebih terjangkau. Nama-nama rumah tangga termasuk Verisign , Go Daddy , Comodo, Thawte, Geotrust, dan Entrust.

Anda juga dapat melihat pengaturan browser Anda untuk melihat otoritas sertifikat mana yang sudah diinstal sebelumnya.

• Untuk Chrome, buka Pengaturan -> Tampilkan pengaturan lanjutan… -> Kelola Sertifikat.
• Untuk Firefox, lakukan Opsi -> Lanjutan -> Lihat Sertifikat.
• Untuk IE, Opsi Internet -> Konten -> Sertifikat.
• Untuk Safari, masuk ke Finder dan pilih Go -> Utilities -> KeyChain Access dan klik System.

Validasi Domain vs. Validasi yang Diperluas

	Waktu Penerbitan Khas	Biaya	Bilah Alamat
Validasi Domain	Hampir Seketika	Rendah	HTTPS normal (ikon gembok)
Validasi Organisasi	Beberapa hari	Pertengahan	HTTPS normal (ikon gembok)
Validasi yang Diperpanjang	Seminggu atau lebih	Tinggi	Bilah alamat hijau, info verifikasi ID perusahaan

Sertifikat SSL dimaksudkan untuk membuktikan identitas situs web tempat Anda mengirimkan informasi. Untuk memastikan bahwa orang-orang tidak mengambil sertifikat SSL palsu untuk domain yang bukan haknya mereka kendalikan, otoritas sertifikat akan memvalidasi bahwa orang yang meminta sertifikat tersebut memang pemilik nama domain tersebut. Biasanya, hal ini dilakukan melalui validasi email cepat atau panggilan telepon, mirip dengan saat situs web mengirimi Anda email berisi tautan konfirmasi akun. Ini disebut sertifikat SSL yang divalidasi domain . Keuntungannya adalah memungkinkan sertifikat SSL diterbitkan dengan segera. Anda mungkin bisa mendapatkan sertifikat SSL yang divalidasi domain dalam waktu lebih singkat daripada waktu yang Anda perlukan untuk membaca postingan blog ini. Dengan sertifikat SSL yang divalidasi domain, Anda mendapatkan gembok dan kemampuan untuk mengenkripsi lalu lintas situs web Anda.

Keuntungan sertifikat SSL yang divalidasi domain adalah cepat, mudah, dan murah untuk didapatkan. Ini juga merupakan kelemahan mereka. Seperti yang dapat Anda bayangkan, lebih mudah untuk menipu sistem otomatis dibandingkan sistem yang dijalankan oleh manusia hidup. Ini seperti jika seorang anak sekolah menengah masuk ke DMV dan mengatakan bahwa dia adalah Barack Obama dan ingin mendapatkan tanda pengenal yang dikeluarkan pemerintah. Orang di meja itu akan melihatnya dan menelepon FBI (atau orang gila). Namun jika itu adalah robot yang bekerja di kios foto ID, dia mungkin beruntung. Dengan cara serupa, phisher bisa mendapatkan “ID palsu” untuk situs web seperti Paypal, Amazon, atau Facebook dengan mengelabui sistem validasi domain. Pada tahun 2009, Dan Kaminsky menerbitkan contoh cara menipu CA untuk mendapatkan sertifikat yang akan membuat situs web phishing terlihat seperti koneksi yang aman dan sah. Bagi manusia, penipuan ini mudah dikenali. Namun, validasi domain otomatis pada saat itu tidak memiliki pemeriksaan yang diperlukan untuk mencegah hal seperti ini.

Menanggapi kerentanan SSL dan sertifikat SSL yang divalidasi domain, industri telah memperkenalkan sertifikat Extended Validation . Untuk mendapatkan sertifikat EV SSL, perusahaan atau organisasi Anda harus menjalani pemeriksaan ketat untuk memastikan bahwa perusahaan atau organisasi tersebut bereputasi baik di mata pemerintah dan berhak mengontrol domain yang Anda lamar. Pemeriksaan ini antara lain memerlukan unsur manusia sehingga memerlukan waktu lebih lama dan biaya lebih mahal.

Di beberapa industri, sertifikat EV diperlukan. Namun bagi yang lain, manfaatnya hanya sejauh apa yang diketahui pengunjung Anda. Bagi pengunjung web sehari-hari, perbedaannya tidak kentara. Selain ikon gembok, bilah alamat berubah menjadi hijau dan menampilkan nama perusahaan Anda. Jika Anda mengklik untuk informasi lebih lanjut, Anda melihat bahwa identitas perusahaan telah diverifikasi, bukan hanya situs webnya.

Berikut ini contoh situs HTTPS normal:

Dan berikut ini contoh situs HTTPS sertifikat EV:

Tergantung pada industri Anda, sertifikat EV mungkin tidak sepadan. Plus, Anda harus menjadi bisnis atau organisasi untuk mendapatkannya. Meskipun perusahaan besar cenderung menuju sertifikasi EV, Anda akan melihat bahwa sebagian besar situs HTTPS masih menggunakan varian non-EV. Jika itu cukup bagus untuk Google, Facebook, dan Dropbox, mungkin itu cukup bagus untuk Anda.

Satu hal lagi: ada opsi tengah yang disebut sertifikasi yang divalidasi organisasi atau divalidasi bisnis . Ini adalah pemeriksaan yang lebih menyeluruh dibandingkan validasi domain otomatis, namun tidak memenuhi peraturan industri untuk sertifikat Validasi Diperpanjang (perhatikan bagaimana Validasi Diperpanjang menggunakan huruf besar dan “validasi organisasi” tidak?). Sertifikasi OV atau yang divalidasi bisnis memerlukan biaya lebih banyak dan lebih lama, namun tidak akan memberi Anda bilah alamat hijau dan informasi identitas perusahaan yang terverifikasi. Sejujurnya, saya tidak bisa memikirkan alasan untuk membayar sertifikat OV. Jika Anda dapat memikirkannya, mohon beri tahu saya di komentar.

SSL Bersama vs. SSL Pribadi

Beberapa web host menawarkan layanan SSL bersama, yang seringkali lebih terjangkau daripada SSL pribadi. Selain harga, keuntungan SSL bersama adalah Anda tidak perlu mendapatkan alamat IP pribadi atau host khusus. Kelemahannya adalah Anda tidak bisa menggunakan nama domain Anda sendiri. Sebaliknya, bagian aman situs Anda akan terlihat seperti:

https://www.hostgator.com/~domainanda/secure.php

Bandingkan dengan alamat SSL pribadi:

https://www.domainanda.com/secure.php

Untuk situs yang berhubungan dengan publik, seperti situs e-commerce dan situs jejaring sosial, hal ini jelas merupakan hambatan karena sepertinya Anda telah dialihkan dari situs utama. Namun untuk area yang biasanya tidak dilihat oleh masyarakat umum, seperti bagian dalam sistem email atau area administrator, SSL bersama mungkin merupakan pilihan yang bagus.

Segel Kepercayaan

Banyak otoritas sertifikat mengizinkan Anda memasang segel kepercayaan pada halaman web Anda setelah Anda mendaftar untuk salah satu sertifikat mereka. Ini memberikan informasi yang hampir sama seperti mengklik gembok di jendela browser, namun dengan visibilitas yang lebih tinggi. Menyertakan segel kepercayaan tidak diperlukan, juga tidak memperkuat keamanan Anda, tetapi jika hal itu membuat pengunjung Anda bingung mengetahui siapa yang menerbitkan sertifikat SSL, tentu saja, buang saja di sana.

Sertifikat SSL Wildcard

Sertifikat SSL memverifikasi identitas satu domain. Jadi, jika Anda ingin memiliki HTTPS di beberapa subdomain—misalnya, groovypost.com, mail.groovypost.com, dan forum.groovypost.com —Anda perlu membeli tiga sertifikat SSL yang berbeda. Pada titik tertentu, sertifikat SSL wildcard menjadi lebih ekonomis. Artinya, satu sertifikat untuk mencakup satu domain dan semua subdomain, yaitu *.groovypost.com.

Jaminan

Tidak peduli seberapa lama reputasi baik suatu perusahaan, pasti ada kerentanannya. Bahkan CA tepercaya pun bisa menjadi target peretas, sebagaimana dibuktikan dengan pelanggaran di VeriSign yang tidak dilaporkan pada tahun 2010. Selain itu, status CA dalam daftar tepercaya dapat dengan cepat dicabut, seperti yang kita lihat pada snafu DigiNotar pada tahun 2011. Banyak hal yang terjadi .

Untuk meredakan kegelisahan atas potensi tindakan acak seperti pesta pora SSL, banyak CA kini menawarkan jaminan. Pertanggungan berkisar dari beberapa ribu dolar hingga lebih dari satu juta dolar dan mencakup kerugian akibat penyalahgunaan sertifikat Anda atau kecelakaan lainnya. Saya tidak tahu apakah jaminan ini benar-benar menambah nilai atau tidak atau apakah ada orang yang pernah berhasil memenangkan klaim. Tapi mereka ada di sana untuk pertimbangan Anda.

Sertifikat SSL Gratis dan Sertifikat SSL yang Ditandatangani Sendiri

Ada dua jenis sertifikat SSL gratis yang tersedia. Sertifikat SSL yang ditandatangani sendiri, terutama digunakan untuk pengujian pribadi dan Sertifikat SSL publik yang diterbitkan oleh Otoritas Sertifikasi yang sah. Kabar baiknya adalah, pada tahun 2018, ada beberapa opsi untuk mendapatkan sertifikat SSL 90 hari yang 100% gratis dan valid, baik dari SSL Gratis atau Let's Encrypt . SSL Gratis pada dasarnya adalah GUI untuk Let's Encrypt API. Keuntungan situs SSL Gratis adalah mudah digunakan karena memiliki GUI yang bagus. Let's Encrypt, bagaimanapun, bagus karena Anda dapat sepenuhnya mengotomatiskan permintaan sertifikat SSL dari mereka. Ini ideal jika Anda memerlukan sertifikat SSL untuk beberapa situs web/server.

Sertifikat SSL yang ditandatangani sendiri gratis selamanya. Dengan sertifikat yang ditandatangani sendiri, Anda adalah CA Anda sendiri. Namun, karena Anda bukan salah satu CA tepercaya yang terpasang di browser web, pengunjung akan mendapat peringatan bahwa otoritasnya tidak dikenali oleh sistem operasi. Oleh karena itu, tidak ada jaminan bahwa Anda adalah diri Anda yang sebenarnya (ini seperti mengeluarkan kartu identitas berfoto dan mencoba menyebarkannya di toko minuman keras). Namun, manfaat sertifikat SSL yang ditandatangani sendiri adalah memungkinkan enkripsi untuk lalu lintas web. Ini mungkin bagus untuk penggunaan internal, di mana Anda dapat meminta staf Anda menambahkan organisasi Anda sebagai CA tepercaya untuk menghilangkan pesan peringatan dan bekerja pada koneksi aman melalui Internet.

Untuk instruksi tentang menyiapkan sertifikat SSL yang ditandatangani sendiri, lihat dokumentasi OpenSSL. (Atau, jika permintaannya cukup, saya akan menulis tutorialnya.)

Memasang Sertifikat SSL

Setelah Anda membeli sertifikat SSL, Anda perlu menginstalnya di situs web Anda. Host web yang baik akan menawarkan untuk melakukan ini untuk Anda. Beberapa bahkan mungkin akan membelikannya untuk Anda. Seringkali, ini adalah cara terbaik karena menyederhanakan penagihan dan memastikan bahwa itu dikonfigurasi dengan benar untuk server web Anda.

Namun, Anda selalu memiliki opsi untuk memasang sertifikat SSL yang Anda beli sendiri. Jika Anda melakukannya, Anda mungkin ingin memulai dengan berkonsultasi dengan basis pengetahuan host web Anda atau dengan membuka tiket meja bantuan. Mereka akan mengarahkan Anda ke petunjuk terbaik untuk menginstal sertifikat SSL Anda. Anda juga harus membaca instruksi yang diberikan oleh CA. Ini akan memberi Anda panduan yang lebih baik daripada nasihat umum apa pun yang dapat saya berikan kepada Anda di sini.

Anda mungkin juga ingin membaca petunjuk berikut untuk menginstal sertifikat SSL:

• Bagaimana menerapkan SSL di IIS (Windows Server)
• Enkripsi Apache SSL/TLS

Semua instruksi ini akan melibatkan pembuatan Permintaan Penandatanganan Sertifikat SSL (CSR). Faktanya, Anda memerlukan CSR hanya untuk menerbitkan sertifikat SSL. Sekali lagi, host web Anda dapat membantu Anda dalam hal ini. Untuk info DIY yang lebih spesifik tentang cara membuat CSR, lihat artikel dari DigiCert ini .

Pro dan Kontra HTTPS

Kami telah dengan tegas menetapkan kelebihan HTTPS: keamanan, keamanan, keamanan. Hal ini tidak hanya mengurangi risiko pelanggaran data, tetapi juga menanamkan kepercayaan dan menambah reputasi pada situs web Anda. Pelanggan yang cerdas mungkin tidak perlu repot mendaftar jika mereka melihat “http://” di halaman login.

Namun, ada beberapa kelemahan pada HTTPS. Mengingat pentingnya HTTPS untuk jenis situs web tertentu, lebih masuk akal untuk menganggap ini sebagai “ pertimbangan ” daripada hal negatif.

• HTTPS memerlukan biaya . Sebagai permulaan, ada biaya untuk membeli dan memperbarui sertifikat SSL Anda untuk memastikan validitasnya dari tahun ke tahun. Namun ada juga “persyaratan sistem” tertentu untuk HTTPS, seperti alamat IP khusus atau paket hosting khusus, yang mungkin lebih mahal daripada paket hosting bersama.
• HTTPS mungkin memperlambat respons server. Ada dua masalah terkait SSL/TLS yang mungkin memperlambat kecepatan memuat halaman Anda. Pertama, untuk mulai berkomunikasi dengan situs web Anda untuk pertama kalinya, browser pengguna harus melalui proses jabat tangan, yang akan memantul kembali ke situs web otoritas sertifikat untuk memverifikasi sertifikat. Jika server web CA lamban, maka akan terjadi penundaan dalam memuat halaman Anda. Hal ini sebagian besar berada di luar kendali Anda. Kedua, HTTPS menggunakan enkripsi, yang memerlukan kekuatan pemrosesan lebih besar. Hal ini dapat diatasi dengan mengoptimalkan konten Anda untuk bandwidth dan meningkatkan perangkat keras di server Anda. CloudFare memiliki postingan blog yang bagus tentang bagaimana dan mengapa SSL dapat memperlambat situs web Anda.
• HTTPS dapat memengaruhi upaya SEO. Saat Anda beralih dari HTTP ke HTTPS; Anda pindah ke situs web baru. Misalnya, http://www.groovypost.com tidak akan sama dengan https://www.groovypost.com . Penting untuk memastikan bahwa Anda telah mengalihkan tautan lama Anda dan menulis aturan yang tepat di bawah tenda server Anda untuk menghindari kehilangan jus tautan yang berharga.
• Konten campuran dapat menimbulkan tanda kuning . Untuk beberapa browser, jika Anda memiliki bagian utama halaman web yang dimuat dari HTTPS, namun gambar dan elemen lainnya (seperti stylesheet atau skrip) dimuat dari URL HTTP, maka popup mungkin muncul, memperingatkan bahwa halaman tersebut berisi konten yang tidak aman . Tentu saja, memiliki konten yang aman lebih baik daripada tidak memiliki konten apa pun, meskipun konten aman tidak menghasilkan popup. Namun tetap saja, ada baiknya untuk memastikan bahwa Anda tidak memiliki “konten campuran” di halaman Anda.
• Terkadang, lebih mudah untuk mendapatkan pemroses pembayaran pihak ketiga . Tidak ada salahnya membiarkan Google Checkout, Paypal, atau Checkout by Amazon menangani pembayaran Anda. Jika semua hal di atas tampaknya terlalu sulit untuk diperdebatkan, Anda dapat membiarkan pelanggan Anda bertukar informasi pembayaran di situs aman Paypal atau situs aman Google dan menyelamatkan diri Anda dari masalah.

Apakah Anda memiliki pertanyaan atau komentar lain tentang sertifikat HTTPS dan SSL/TLS? Biarkan saya mendengarnya di komentar.