Blog

Apa Itu HSTS (HTTP Strict Transport Security) ?

Di artikel kali ini kita akan membahas mengenai HSTS.Apa itu HSTS?secara singkat HSTS membantu agar terhindar dari serangan Man In The Middle Attack. Namun,kadang HSTS dapat menyebabkan domain yang diakses pada web browser menjadi error dan harus dihapus pengaturannya.Sehingga,pada panduan ini akan dijelaskan mengenai cara menghapus HSTS pada web browser juga.Berikut ini penjelasannya :

Pengertian HSTS

HTTP Strict Transport Security ( HSTS )merupakan mekanisme kebijakan keamanan web,dirancang untuk melindungi situs web HTTPS dari serangan downgrade dan pembajakan cookie.Server web yang dikonfigurasi untuk menggunakan HSTS menginstruksikan browser web (atau perangkat lunak klien lainnya) untuk hanya menggunakan koneksi HTTPS dan melarang penggunaan protokol HTTP.

Awalnya HSTS dibuat sebagai tanggapan terhadap peningkatan serangan SSL Strip. Serangan ini cenderung menghambat koneksi HTTPS dan menyebabkan penurunan peringkat ke koneksi HTTP yang lebih rentan.HSTS berfungsi sebagai tindakan pengamanan dengan mengirimkan kebijakan ke web pages’s header.Hal ini kemudian memaksa browser untuk membuat koneksi HTTPS yang aman ketika seseorang mengunjungi situs web.

Perkembangan Spesifikasi HSTS

Dalam Spesifikasinya,HSTS diterbitkan sebagai RFC 6797 pada 19 November 2012 setelah disetujui pada 2 Oktober 2012 oleh IESG untuk dipublikasikan sebagai RFC Standar yang diusulkan.Awalnya penulis mengirimkan ini sebagai draf internet pada 17 Juni 2010.Dengan konversi ke draf internet,nama spesifikasi diubah dari “Strict Transport Security” (STS) menjadi “HTTP Strict Transport Security”,karena spesifikasi hanya berlaku untuk HTTP.Kolom header respons HTTP yang ditentukan dalam spesifikasi HSTS tetap bernama “Strict-Transport-Security”,yang terakhir disebut “versi komunitas” dari spesifikasi “STS” yang saat itu dinamai diterbitkan pada 18 Desember 2009,dengan revisi berdasarkan umpan balik komunitas.Spesifikasi draf asli oleh Jeff Hodges dari PayPal,Collin Jackson, dan Adam Barth diterbitkan pada 18 September 2009.Spesifikasi HSTS didasarkan pada karya asli oleh Jackson dan Barth seperti yang dijelaskan dalam makalah mereka “ForceHTTPS:Melindungi Situs Web Keamanan Tinggi dari Serangan Jaringan”.Selain itu,HSTS adalah realisasi satu aspek dari visi keseluruhan untuk meningkatkan keamanan web, yang dikemukakan oleh Jeff Hodges dan Andy Steingruebl dalam makalah 2010 mereka The Need for Coherent Web Security Policy Framework (s).

Fungsi HSTS

Fungsi utama HSTS yakni meningkatkan keamanan komunikasi atau pertukaran data.Sebab,dengan HSTS yang aktif,semua koneksi ke server hanya bisa dilakukan menggunakan HTTPS yang dilindungi proteksi SSL.Secara khusus,akan mencegah teknik peretasan bernama SSL stripping.Dengan teknik ini,hacker bisa berada di antara koneksi HTTP dan HTTPS dan bertindak sebagai jembatan koneksi pertukaran data yang terjadi,jika setiap permintaan harus dengan koneksi HTTPS,maka hacker akan kesulitan untuk menjalankan SSL stripping.Metode ini juga bisa membantu proses loading lebih cepat berkat fitur preloadnya.Alasannya,preload membuat tidak perlu redirect berulang kali dan meminta browser kembali dengan permintaan HTTPS dulu.

Pertimbangan Sebelum Menerapkan HSTS

Sebelum menerapkan pengaturan HSTS di situs web,penting untuk mempertimbangkan beberapa hal berikut sebelum kalian dapat menyertakan header yang relevan :

Harus sudah berhasil menginstal Sertifikat SSL di situs web kalian.
Jika memiliki subdomain,harus menggunakan wildcard. Hal ini selanjutnya akan melindungi masing-masing domain.
Manfaatkan 301 Redirects.Ini akan bertindak untuk mengubah rute semua halaman HTTP ke halaman HTTPS.
Berdasarkan informasi dari Google,disarankan agar menetapkan usia maksimal dua tahun.
Pastikan untuk mengimplementasikan header Sub Domain dan Preload.Ingat bahwa menambahkan preload bukan cara yang efektif untuk mendapatkan daftar preload HSTS.

Cara Kerja HSTS

Pengguna internet,biasanya hanya mengetik URL untuk mengakses sebuah website, tanpa menentukan jenis protokol.Contoh www.hosteko.com.Maka, protokol yang digunakan untuk permintaan tersebut bisa saja adalah http:www.hosteko.com yang tidak aman.

Maka website yang menggunakan HSTS akan memiliki HTTPS header pada servernya, yaitu : Strict-Transport-Security: max-age=expireTime; includeSubDomains; preload.Header ini ibarat sebuah rambu lalu lintas bertulis: “HTTP dilarang masuk”,yang terjadi adalah Permintaan dengan koneksi HTTP tersebut akan mendapatkan redirect 301 ke website versi HTTPS. Hal ini akan memaksa browser melakukan permintaan dengan HTTPS juga,Jika browser bersedia melakukannya, aktivitas pertukaran data dapat dilanjutkan. Bahkan, setiap kali URL hosteko.com diketikkan,permintaan dengan koneksi HTTPS-lah yang akan dibuat.

Cara Hapus HSTS Di Browser

Cara menonaktifkan HSTS di browser sangat mudah :

Cara Menghapus HSTS Di Safari

Pada web browser Safari, untuk menghapus domain yang memiliki pengaturan HSTS sangat mudah.Namun membutuhkan ketelitian.Jangan sampai salah menghapus file.

Adapun cara menghapus HSTS pada Safari yaitu :

- Tutup Safari terlebih dahulu
- Kemudian, hapus file ~/Library/Cookies/HSTS.plist
- Setelah itu, silahkan buka kembali browser Safari anda. Dan Voila! Domain yang memiliki pengaturan HSTS telah terhapus.

Cara Menghapus HSTS Di Google Chrome
- Ketik chrome://net-internals/#hsts pada kolom URL.Hal ini bertujuan untuk mengakses halaman internal network.

- Pada kolom Query Domain,isi dengan nama domain yang pengaturan HSTSnya ingin dihapus. Klik Query,yang mana Query domain ini berfungsi untuk melakukan pengecekan mengenai pengaturan HSTS dari domain tersebut.Apabila ditemukan maka tertulis Found dengan beberapa keterangan dibawahnya :

- Setelah dicek dan domain tersebut memiliki pengaturan HSTS, maka langkah berikutnya yakni menghapusnya.Adapun caranya, silahkan tulis nama domain pada kolom “Delete Domain” dan klik Delete.

- Cek kembali di kolom Query domain.Tulis nama domain,lalu klik Query.Jika tertullis “not found” berarti HSTS pada domain telah berhasil dihapus.

Cara Menghapus HSTS Di Mozilla Firefox

Adapun cara menghapus HSTS pada Mozilla Firefox yakni :

- Buka browser Moziila Firefox,lalu tutup semua tabs yang ada di Mozilla Firefox.Buka “Browser Settings” lalu klik “History”.
- Pilih “Show All History” atau “Show Complete History”.
- Cari domain yang ingin kalian hapus pengaturan HSTSnya.Lalu klik kanan pada domain tersebut dan pilih “Forget About This Site.”

Kenapa Domain Yang Memiliki Pengaturan HSTS Di Web Browser Harus Dihapus?

Terdapat tulisan seperti ini ketika ingin mengakses suatu website :

“Privacy error: Your connection is not private” (NET::ERR_CERT_AUTHORITY_INVALID)”.

Hal ini akan terjadi saat kalian mencoba untuk mengakses website yang sama pada browser namun pada jaringan berbeda.Karena website tersebut menggunakan HSTS untuk untuk menghindari adanya peretasan.Untuk itu,agar tidak mengalami error lagi,kalian harus menonaktifkan pengaturan HSTS pada web browser.

HSTS membantu dalam meminimalisir indikasi pencurian data,karena HSTS akan memaksa web browser untuk selalu mengakses website pada protokol HTTPS yang terenkripsi.Namun,terkadang dengan adanya website yang memiliki pengaturan HSTS membuat web browser menjadi sering error seperti,Privacy error : Your connection is not private” (NET::ERR_CERT_AUTHORITY_INVALID).Untuk itu,agar dapat mengakses website tersebut kembali,dengan menghapus pengaturan HSTS pada web browser.

Sekian artikel kali ini semoga bisa bermanfaat untuk kalian semua 🙂