Apa itu SSL dan TLS?
SSL berfungsi untuk memastikan data apa pun yang ditransfer antara pengguna dan situs atau antara dua sistem tidak dapat dibaca selain oleh pihak yang bersangkutan. SSL menggunakan algoritma enkripsi untuk mengacak data saat ditransfer sehingga mencegah peretas membacanya saat proses pengiriman. Informasi ini dapat berupa apa pun termasuk data nomor kartu kredit, nama, alamat dan data sensitif lainnya.
Apa itu TLS? Sedangkan TLS (Transport Layer Security) adalah versi SSL yang telah diperbarui dan lebih aman. Kebanyakan situs menggunakan sistem keamanan dengan istilah SSL karena lebih awam diketahui. TLS bekerja dengan cara yang hampir sama dengan SSL, dengan menggunakan enkripsi untuk melindungi transfer data dan informasi.
Lalu, Apa itu Sertifikat SSL? Sertifikat SSL terpasang di sisi server dan umumnya terdapat tanda visual yang memberitahu pengguna bahwa mereka tengah dilindungi SSL. Anda akan melihat tulisan https:// pada bilah alamat web. “S” pada https merupakan singkatan dari “secure” atau aman. Selain itu, umumnya Anda akan melihat simbol gembok pada ujung bilah.
Bagaimana cara kerja SSL/TLS?
Sertifikat SSL berfungsi sebagai Public Key Infrastructure atau kriptografi kunci publik. Ini melibatkan dua kunci kriptografi yang berbeda yaitu Private Key dan Public Key. Public Key digunakan untuk keperluan enkripsi sedangkan Private Key untuk deskripsi. Public Key bebas dibagikan pada semua orang yang menerima sertifikat setelah mengunjungi sebuah situs web.
Proses untuk membangun koneksi yang aman dinamakan SSL Handsake atau jabat tangan SSL. Tak seperti jabat tangan biasa, proses ini melibatkan tiga langkah yang tidak saling bersinggungan secara langsung.
1. Klien mengirim permintaan ‘halo’ ke server yang ingin diajak berkomunikasi. Pesan halo ini mencakup jenis sandi (algoritma enkripsi) yang didukung klien. Kemudian server mengirim kembali ‘halo’ dengan sertifikat SSL dan Public Key. Kedua pihak tersebut menggunakan kriptografi asimetris untuk bertukar pesan aman. Ini berarti klien memerlukan Public Key server untuk mengenkripsi pesan. Server juga membutuhkan dua kunci yaitu Private Key dan Public Key untuk mendekripsi. Tidak ada satu pihak pun yang dapat mengintip untuk menguraikan pesan mereka.
2. Klien kemudian menggunakan Public Key server untuk membuat pre-master rahasia dan mengirimnya ke server. Ini akan digunakan untuk membuat Session Keys dan meningkatkan komunikasi ke enkripsi simetris. Keduanya sekarang menggunakan Private Key. Kriptografi simetris akan membuat komunikasi mereka lebih cepat dan menggunakan sumber daya yang lebih sedikit.
3. Setelah itu, server mendekripsi pre-master dan menggunakannya untuk membuat kunci simetris dan menukarnya dengan klien. Dengan dibuatnya enkripsi simetris, mereka sekarang dapat bertukar komunikasi terenkripsi. Lalu lintas situs web pun diamankan.
Kapan dan kenapa sertifikat SSL/ TLS harus diaktifkan?
Fungsi inti kepemilikan sertifikat SSL adalah melindungi komunikasi dari server ke klien. Saat SSL terpasang, setiap informasi apa pun akan dienkripsi dan hanya dapat dibuka klien atau penerima data. Saat sebuah situs web berurusan dengan data pribadi, password, serta nomor kartu kredit, maka SSL dibutuhkan untuk melindungi data tersebut dari peretas. Tapi tak hanya itu mesin pencari besar seperti Google akan menindak situs web yang dianggap tidak aman karena tidak menggunakan SSL. Di bawah ini adalah alasan mengapa SSL harus diaktifkan.
1. Melindungi data dan meningkatkan kepercayaan
Setiap kali pengguna memasukkan informasi ke situs Anda, SSL akan memastikan transfer tersebut berjalan aman dari browser ke server web. Lalu, apa artinya bagi pemilik situs? Situs web berkomunikasi dengan pelanggan mereka untuk berbagi informasi. SSL perlu digunakan untuk mengamankan apa pun secara online di bawah payung pelindung sertifikat SSL. Terlepas dari kemampuan enkripsi, sertifikat SSL sangat penting dari sudut pandang kepercayaan pelanggan.
2. Menegaskan identitas
Selain melindungi, SSL juga memberikan verifikasi identitas ke situs web. Verifikasi identitas adalah salah satu aspek paling penting dalam keamanan web. Saat sertifikat SSL terpasang, Anda harus melalui proses validasi yang ditetapkan pihak ketiga independen yang disebut Certificate Authority (CA). CA kemudian memverifikasi identitas pengguna. Setelah terbukti, baru situs web mendapat indikator kepercayaan yang menjamin integritas pengguna dan mengetahui dengan siapa mereka berbicara.
3. Peringkat pada mesin pencari jadi lebih baik
Di tahun 2014 lalu, Google melakukan perubahan pada algoritmanya untuk menaikkan peringkat pada situs web yang telah menggunakan HTTPS. Para ahli SEO telah melakukan penelitian tentang hal ini. Terdapat hubungan yang kuat antara penggunaan HTTPS dengan peringkat dalam mesin pencari. Bahkan, tahun 2018 lalu Google telah memutuskan menandai situs web yang tidak memiliki sertifikat SSL yang terpasang. Jika peraturan ini tidak dipatuhi, maka browser seperti Google Chrome dan Mozilla Firefox akan “menghukum mereka” dengan memberi peringatan tidak aman pada bilah URL.
4. Memenuhi persyaratan PCI/ DSS
Saat menerima pembayaran online, situs web harus memenuhi persyaratan PCI/ DSS. Memasang sertifikat SSL merupakan salah satu dari 12 persyaratan utama yang ditetapkan Payment Card Industry (PCI).
Jenis Sertifikat SSL
- Single Domain: Sesuai dengan artinya, SSL ini hanya untuk mengamankan satu domain saja.
- Wildcard SSL: Tipe ini dapat mengamankan banyak subdomain dari nama domain utama bahkan hingga jumlah tidak terbatas.
- SANs atau Multi Domain: SANs (Subject Alternative Names) atau multi domain ini dapat mengamankan beberapa domain dengan hanya satu sertifikat.
Perbedaan HTTP dan HTTPS
HTTP adalah Hypertext Transfer Protocol yang menawarkan seperangkat aturan dan standar untuk mengatur bagaimana informasi dapat ditransmisikan di World Wide Web. HTTP menyediakan aturan standar untuk browser web dan server untuk berkomunikasi. Sedangkan HTTPS adalah singkatan dari Hypertext Transfer Protocol Secure. Ini adalah versi HTTP yang sangat canggih dan aman.
HTTPS menggunakan Port No. 443 untuk komunikasi data. Ini memungkinkan transaksi aman dengan mengenkripsi seluruh komunikasi dengan SSL. Dapat dibilang, HTTPS adalah kombinasi dari protokol SSL/ TLS dan HTTP. Dalam protokol HTTPS, transaksi SSL dinegosiasikan dengan bantuan algoritma enkripsi berbasis key. Key ini umumnya memiliki kekuatan 40 atau 128 bit. Berikut adalah beda HTTP dan HTTPS secara lengkap.
| HTTP | HTTPS |
---|---|---|
Protokol | Menggunakan protokol transfer Hypertext. | Menggunakan protokol transfer Hypertext dengan aman. |
Keamanan | Kurang aman karena rentan terhadap peretas. | Dirancang khusus untuk mencegah peretas mengakses informasi penting. |
Port | Menggunakan Port 80 secara default. | Menggunakan Port 443 secara default. |
URL | Diawali dengan http:// | Diawali dengan https:// |
Digunakan untuk | Cocok untuk situs web yang dirancang untuk membagikan informasi seperti Blog. | Wajib untuk situs web yang mengumpulkan informasi pribadi seperti nomor kartu kredit, password, dan lainnya. |
Acak data | HTTP tidak mengacak data yang akan di kirim. Ini membuat data Anda terlihat dengan jelas oleh peretas. | HTTPS mengacak data sebelum mengirim. Namun, saat diterima pengguna, ia dapat memulihkan data asli. Sehingga, data asli tersembunyi dari peretas. |
Protokol | Beroperasi pada level TCP/ IP. | HTTPS tidak memiliki protokol terpisah namun beroperasi menggunakan HTTP dengan koneksi TLS/ SSL yang terenkripsi. |
Validasi nama Domain | Situs web HTTP tidak perlu SSL. | HTTPS membutuhkan sertifikat SSL. |
Enkripsi data | Situs web HTTP tidak menggunakan enkripsi. | Situs web HTTPS menggunakan enkripsi data. |
Peringkat pencarian | HTTP tidak meningkatkan peringkat pencarian. | HTTPS membantu meningkatkan peringkat pencarian. |
Kecepatan | Cepat. | Lebih lambat dari HTTP. |
Kerentanan | Rentan terhadap peretas. | Sangat aman karena data dienkripsi sebelum dilihat di jaringan. |
Apa hubungan SSL/ TLS dengan HTTPS?
Ketika Anda memasang sertifikat SSL, Anda mengonfigurasinya untuk mengirimkan data menggunakan HTTPS. Kedua teknologi ini berjalan beriringan sehingga Anda tidak dapat menggunakan hanya salah satunya.
HTTPS membutuhkan sertifikat TLS/ SSL yang terpasang pada server. Sertifikat ini dapat diterapkan ke berbagai protokol seperti HTTP (web), SMTP (email) dan FTP. HTTP hanya sebuah protokol, tetapi apabila dipasangkan dengan TLS, maka protokol tersebut menjadi terenkripsi dan berubah nama menjadi HTTPS.
Dengan digunakannya HTTPS, maka terdapat tingkat integritas dara yang melindungi server dan pengguna dari penyerang yang berusaha mencegat atau mengintip data.
Cara memasang SSL/ TLS pada Website
Terdapat dua jenis SSL yang dapat Anda pilih yaitu SSL berbayar dan gratis. Sertifikat SSL berbayar dikeluarkan oleh otoritas sertifikat terkemuka sehingga memberikan tingkat kepercayaan yang lebih tinggi serta terdapat garansi. Sedangkan SSL gratis, umumnya hanya menyediakan validasi domain. Di bawah ini adalah tahapan inti dalam menginstal SSL pada Website.
1. Pertama, lengkapi terlebih dahulu prasyarat pemasangan sertifikat SSL. Anda harus memiliki domain untuk situs web dan mendaftarkannya karena tentu saja Anda memerlukan server web untuk menginstal sertifikat SSL.
2. Kemudian, pilih jenis sertifikat Anda, dapat berupa domain tunggal, SSL Wildcard, atau beberapa domain saat membeli sertifikat SSL dari Registrar.
3. Langkah-langkah untuk meminta sertifikat SSL dari Registrar yaitu:
- Buat kunci pribadi
- CSR (Certificate Signing Request)
- Request sertifikat dengan memberikan CSR
- Unduh File zip sertifikat
- Mengonfigurasi sertifikat SSL di server
Kesimpulan
Pasti banyak pengguna internet yang sering menakses sebuah situs yang berawalan HTTPS, namun belum tahu bahwa itu dilengkapi SSL. SSL Certificate adalah sebuah FIle data yang bekerja secara digital dan membuat sebuah situs web Anda otomatis terenkripsi. Dengan begitu, data Anda tidak akan terbaca oleh peretas yang mencoba meretas Website.
Saat SSL terinstal, maka protokol dan gembok HTTPS otomatis aktif untuk mengamankan koneksi dari server ke browser. SSL/ TLS seperti suatu pagar yang melindungi rumah dari bermacam hal mengganggu seperti peretas.
Umumnya, situs Web menggunakan istilah SSL karena lebih awam ketimbang TLS namun sebenarnya, TLS merupakan fungsi SSL yang telah disempurnakan. HTTP pun kini harus telah dilengkapi dengan kepemilikan SSL sehingga menjadi HTTPS. Bahkan, sejak 2018 semua situs harus telah diperbarui dengan menjadi HTTPS Ada banyak sekali keunggulan penggunaan HTTPS. Perbedaan HTTPS dan HTTP adalah kemutakhirannya, jika HTTP belum dilengkapi keamanan terenkripsi, maka HTTPS adalah versi canggihnya karena telah disempurnakan dengan adanya sertifikat SSL.