Tutorial Mengamankan situs Anda dengan Menerapkan HTTPS
Apa itu HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) adalah protokol komunikasi internet yang melindungi integritas dan kerahasiaan data pengguna antara komputer pengguna dan situs. Pengguna menginginkan pengalaman online yang aman dan bersifat pribadi saat menggunakan situs web. Sebaiknya Anda mengadopsi HTTPS untuk melindungi koneksi pengguna ke situs web Anda, apa pun konten yang ada dalam situs tersebut.
Data yang dikirim menggunakan HTTPS diamankan melalui protokol Transport Layer Security (TLS), yang memberikan tiga lapis perlindungan kunci:
- Enkripsi—mengenkripsi data pertukaran untuk menjaga keamanannya dari penyadap. Artinya, saat pengguna menjelajahi situs web, tidak ada yang dapat "menguping" percakapan, melacak aktivitas di berbagai laman, atau mencuri informasi mereka.
- Integritas data—data tidak dapat diubah atau dirusak selama transfer, dengan sengaja atau tidak, tanpa terdeteksi.
- Autentikasi—membuktikan bahwa pengguna Anda berkomunikasi dengan situs web yang diinginkan. Hal tersebut melindungi dari serangan man-in-the-middle (MITM) dan membangun kepercayaan pengguna, yang dapat memberikan keuntungan lain untuk bisnis Anda.
Apa yang Dapat di Lakukan Dengan menerapkan HTTPS
A. sertifikat keamanan menjadi lebih kuat
Anda harus mendapatkan sertifikat keamanan sebagai bagian dari pengaktifan HTTPS untuk situs. Sertifikat ini diterbitkan oleh otoritas sertifikat (CA), yang akan melakukan langkah-langkah untuk memverifikasi bahwa alamat web Anda benar-benar milik organisasi Anda, sehingga akan melindungi pelanggan dari serangan man-in-the-middle. Saat menyiapkan sertifikat, pastikan keamanan tingkat tinggi diterapkan dengan memilih kunci 2048-bit. Jika Anda telah memiliki sertifikat dengan kunci yang lebih lemah (1024-bit), tingkatkan versinya ke 2048 bit. Saat memilih sertifikat situs, perhatikan hal-hal berikut:
- Dapatkan sertifikat Anda dari CA yang dapat diandalkan yang menawarkan dukungan teknis.
- Tentukan jenis sertifikat yang Anda butuhkan:
- Satu sertifikat untuk satu asal yang aman (misalnya
www.example.com
). - Sertifikat beberapa domain untuk beberapa asal aman yang telah dikenal (misalnya
www.example.com, cdn.example.com, example.co.uk
). - Sertifikat karakter pengganti untuk asal yang aman dengan banyak subdomain dinamis (misalnya
a.example.com, b.example.com
).
- Satu sertifikat untuk satu asal yang aman (misalnya
B. pengalihan sisi server
pengguna akan dialihkan dan mesin telusur ke halaman HTTPS atau sumber daya dengan pengalihan HTTP 301 sisi server.
C. Verifikasi bahwa halaman HTTPS dapat dirayapi dan diindeks oleh Google
- Jangan memblokir halaman HTTPS dengan file robots.txt.
- Jangan menyertakan tag
noindex
meta di halaman HTTPS Anda. - Gunakan Ambil sebagai Google untuk menguji apakah Googlebot dapat mengakses halaman Anda.
D. Mendukung HSTS
Sebaiknya situs HTTPS mendukung HSTS. HSTS memberi tahu browser untuk meminta halaman HTTPS secara otomatis, meski pengguna memasukkan
http
di bilah lokasi browser. HSTS juga memberi tahu Google untuk menyajikan URL yang aman dalam hasil penelusuran. Semua ini mengurangi risiko penyajian konten yang tidak aman kepada pengguna.
Untuk mendukung HSTS, gunakan server web yang mendukung HTTP Strict Transport Security (HSTS) dan aktifkan HSTS.
HSTS memberikan kerumitan ke strategi pengembalian Anda. Sebaiknya aktifkan HSTS dengan cara berikut:
- Luncurkan halaman HTTPS tanpa HSTS terlebih dahulu.
- Mulailah mengirim header HSTS dengan usia maksimum yang singkat. Pantau lalu lintas baik dari pengguna dan klien lain, serta performa dependen, seperti iklan.
- Tingkatkan usia maksimum HSTS sedikit demi sedikit.
- Jika HSTS tidak memberikan pengaruh negatif terhadap pengguna dan mesin telusur, jika berkenan, Anda dapat meminta agar situs Anda ditambahkan ke daftar pramuat Chrome HSTS.
Pertimbangkan untuk menggunakan prapemuatan HSTS.
Jika Anda mengaktifkan HSTS, secara opsional Anda dapat mendukung prapemuatan HSTS untuk keamanan ekstra. Untuk mengaktifkan fitur ini, Anda harus menyetel direktif
includeSubDomains
di header HSTS. Pencocokan subdomain bekerja seperti berikut: jika situs www.example.com menayangkan header HSTS dengan includeSubdomains
, berikut domain yang akan cocok dengannya:URL situs: www.example.com | includeSubDomains = true |
www.example.com | Cocok |
foo.www.example.com | Cocok |
example.com | Tidak ada yang cocok |
foo.example.com | Tidak ada yang cocok |
Hindari kesalahan umum Di bawah Ini :
Selama proses mengamankan situs Anda dengan TLS, hindari kesalahan berikut:
Masalah | Tindakan |
---|---|
Masa berlaku sertifikat berakhir | Pastikan sertifikat Anda selalu diperbarui. |
Sertifikat didaftarkan untuk nama situs web yang salah | Periksa bahwa Anda telah mendaftarkan sertifikat untuk nama hosting yang benar. Misalnya, jika Anda mendaftarkan sertifikat untuk www.example.com dan situs web Anda dikonfigurasikan untuk menggunakan example.com, Anda akan mengalami kesalahan ketidakcocokan nama sertifikat. |
Dukungan Server name indication (SNI) tidak ada | Pastikan web Anda mendukung SNI dan pemirsa Anda menggunakan browser yang didukung, secara umum. Meski SNI didukung oleh semua browser modern, Anda membutuhkan IP yang berdedikasi jika Anda perlu dukungan pada browser yang lebih lama. |
Masalah perayapan | Jangan memblokir situs HTTPS dari perayapan dengan menggunakan robots.txt . |
Masalah pengindeksan | Izinkan pengindeksan halaman dengan mesin telusur jika memungkinkan. Hindari tag meta noindex . |
Versi protokol lama | Versi protokol lama sangat rentan; pastikan Anda memiliki versi koleksi TLS terbaru dan terkini serta menerapkan versi protokol terbaru. |
Elemen keamanan tercampur | Hanya sematkan konten HTTPS di laman HTTPS. |
Konten yang berbeda di HTTP dan HTTPS | Pastikan konten di situs HTTP dan HTTPS Anda sama. |
Kesalahan kode status HTTP di HTTPS | Periksa bahwa situs web Anda mengembalikan kode status HTTP yang benar. Misalnya 200 OK untuk halaman yang dapat diakses, atau 404 atau 410 untuk halaman yang tidak ada. |
EmoticonEmoticon