Blog

Apa itu HTTPS? Berikut Fungsi dan Cara Kerjanya

HTTPS adalah sebuah protokol yang menyatakan validitas keamanan website. HTTPS bisa juga dikatakan sebagai ‘HTTP versi aman’. Hal ini karena HTTP dan HTTPS sebenarnya sama saja. Pembedanya adalah penambahan “S” yang berarti secure (aman).

HTTPS ini diamankan oleh SSL, sebuah lapisan protokol keamanan dengan metode enkripsi ujung ke ujung untuk melindungi transaksi informasi di sebuah website.

Pada artikel ini, Hosteko sudah rangkumkan khusus untukmu yang ingin tahu seluk beluk seputar HTTPS. Yuk simak!

Apa itu HTTPS?

HTTPS adalah singkatan dari Hypertext Transfer Protocol Secure atau versi aman dari Hypertext Transfer Protocol (HTTP). Sedangkan, HTTP merupakan protokol yang digunakan untuk membantu proses transfer antar komputer

Enkripsi yang dilakukan pada HTTPS adalah pada bagian data session. Proses enkripsi ini menggunakan protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer Security). Karena menggunakan protokol ini, umumnya port untuk HTTPS adalah 443.

Mengapa HTTPS melakukan enkripsi data? Tujuannya adalah untuk menghalau para hacker yang ingin mengintip pertukaran data di dalam website. Sebab, jika sebuah website sudah menggunakan HTTPS, maka pertukaran data yang terjadi di website tersebut akan terlihat seperti sekumpulan kode acak.

Manfaat Menggunakan HTTPS

Berikut ini beberapa manfaat yang didapat jika website Anda menggunakan protokol HTTPS, yaitu :

1. Sangat disukai Google (SEO)

Seperti yang sudah disebutkan di atas, sudah banyak website yang beralih ke HTTPS agar website mereka aman bagi semua orang.

Sejak April 2020, Google mencatat setidaknya 95% website sudah beralih ke HTTPS. Tidak heran, sebab Google memang didesain agar pengaturan HTTPS bisa dilakukan dengan mudah.

Google juga menyediakan audit mixed content untuk membantu pengembang (developer) website melakukan migrasi ke HTTPS di versi Node CLI terbaru dari Lighthouse, sebuah tool otomatis untuk memperbaiki halaman website.

Tools ini mampu menemukan halaman website yang sudah siap untuk di-upgrade ke HTTPS dengan mengubah sub-resource reference ke versi HTTPS.

Oleh karena itu, Google sangat menyukai website HTTPS, sehingga secara tidak langsung hal ini dapat memengaruhi performa SEO sebuah website. Semakin aman website Anda, Google akan semakin mudah memberimu peringkat tinggi.

Hal ini juga dibuktikan dari Google Chrome yang kerap menampilkan warning (peringatan) sebelum user mengunjungi website dengan non-HTTPS. Warning ini sudah lebih dari cukup untuk menjadi bukti jika Google memperlakukan HTTPS secara berbeda.

Selain memperhatikan HTTPS, Anda juga bisa melihat bagaimana cara menaikkan performa ranking suatu website dengan memperhatikan SEO.

2. Lebih dipercaya pengguna

Jika Google sudah merekomendasikan website untuk disuguhkan kepada pengguna, tentu saja si pengguna juga akan jauh lebih percaya terhadap website tersebut.

Seperti yang sudah sempat dibahas di awal bahwa HTTPS adalah protokol yang menggunakan sertifikat SSL untuk mengenkripsi informasi sehingga meminimalisir adanya serangan siber.

Bayangkan saja jika Anda memiliki website tetapi tidak terproteksi, tentu saja pengunjung akan berpikir dua kali untuk mengunjungi website Anda.

Ditambah lagi, Google juga memberikan peringatan “Not Secure” kepada pengguna jika website Anda tidak terlindungi oleh SSL.

3. Menjamin keamanan website

Mungkin Anda sudah tahu akan manfaat yang satu ini. HTTPS adalah protokol yang membuat web server Anda terjamin keamanannya dengan menggunakan sertifikat SSL.

Protokol ini menjaga pertukaran informasi yang terjadi antara pengunjung dan pemilik website agar tetap aman.

Misalnya, username, password, ataupun informasi kartu kredit pengguna tidak akan dapat dicuri saat pengguna sedang mengisi formulir.

4. Menguntungkan pengguna dan pemilik website

Keamanan website yang baik tidak hanya menguntungkan pengguna tetapi juga si pemilik website.

Di satu sisi, pengunjung merasa aman saat harus menyerahkan data informasi pribadinya. Sementara di sisi lain, si pemilik website juga merasa diuntungkan karena websitenya dipercaya baik oleh Google maupun pengunjung.

Selain itu, pemilik website juga tidak perlu khawatir aset dalam websitenya dibobol atau dicuri oleh oknum tidak bertanggung jawab. Semuanya karena sudah terlindungi oleh sertifikat SSL.

5. Autentikasi website

Autentikasi adalah proses verifikasi keaslian seseorang atau mesin dalam proses komunikasi antara pengguna dengan website.

Tujuan autentikasi adalah membuktikan bahwa pengunjung Anda memang benar mengirimkan data informasi pribadinya kepada pemilik website dan bukan hacker. Karena pada dasarnya pengguna tidak tahu apa yang sebenarnya terjadi di balik layar website dan siapa orang yang mengelola datanya.

Sertifikat SSL yang berperan dalam mengaktifkan HTTPS dan akan mewakili proses verifikasi eksternal oleh web server kepada pihak ketiga terpercaya.

Enkripsi Dalam HTTPS

HTTPS didasarkan pada protokol enkripsi TLS, yang mengamankan komunikasi antara dua pihak. TLS menggunakan infrastruktur kunci publik asimetris untuk enkripsi. Ini berarti menggunakan dua kunci yang berbeda :

Public key

Kunci ini tersedia untuk menjamin keamanan seorang pengguna yang ingin bertukar segala jenis informasi (username, password, kartu kredit, dll) dengan web server. Kunci ini bertugas mengenkripsi (mengacak) informasi sehingga tidak terbaca komputer lain.

Private key

Kunci yang dikendalikan dan disimpan pemilik website, sifatnya privat. Ini akan bekerja di web server dan digunakan untuk mendekripsi (menyusun) informasi yang sebelumnya sudah dienkripsi (diacak) oleh public key.

Cara Kerja HTTPS

Seperti disebutkan di bagian sebelumnya, HTTPS bekerja melalui SSL/TLS dengan enkripsi kunci publik untuk mendistribusikan kunci simetris bersama untuk enkripsi dan autentikasi data. Ini menggunakan port 443 secara default, sedangkan HTTP menggunakan port 80. Semua transfer aman memerlukan port 443, meskipun port yang sama juga mendukung koneksi HTTP.

Sebelum transfer data dimulai di HTTPS, browser dan server memutuskan parameter koneksi dengan melakukan handshake SSL/TLS. Jabat tangan juga penting untuk membangun koneksi yang aman.

Inilah cara kerja keseluruhan proses :

Peramban klien dan server web bertukar pesan “halo”.
Kedua belah pihak mengkomunikasikan standar enkripsi mereka satu sama lain.
Server membagikan sertifikatnya dengan browser.
Klien memverifikasi validitas sertifikat.
Klien menggunakan kunci publik untuk menghasilkan kunci rahasia pra-master.
Kunci rahasia ini dienkripsi menggunakan kunci publik dan dibagikan dengan server.
Klien dan server menghitung kunci simetris berdasarkan nilai kunci rahasia.
Kedua belah pihak mengkonfirmasi bahwa mereka telah menghitung kunci rahasia.
Transmisi data menggunakan enkripsi simetris.

Website yang Wajib Menggunakan HTTPS

Berikut ini merupakan beberapa website yang wajib menggunakan HTTPS, yaitu :

1. Website pemerintahan

Dengan adanya informasi penting yang ada di website pemerintahan, sudah sepantasnya jika website milik pemerintahan menggunakan protokol HTTPS.

2. Website perusahaan

Dengan adanya pengamanan ekstra dengan menggunakan HTTPS, sudah selayaknya website perusahaan menggunakan HTTPS untuk melindungi data penting perusahaan, aset dan informasi penting lainnya demi keberlangsungan hidup perusahaan.

3. Toko online

Banyaknya data jual beli, informasi pembayaran pelanggan dan informasi pribadi pembeli harus dijaga maka setiap toko online diwajibkan menggunakan protokol HTTPS.

Namun semakin berkembangnya media digital, penggunaan protokol HTTPS sudah menjadi hal yang lumrah, selain menjaga keamanan website penggunaan protokol HTTPS juga meningkatkan kepercayaan sebuah website.

Kesalahan Umum yang Harus Dihindari Saat Mengadaptasi Koneksi HTTPS

Meskipun HTTPS dapat meningkatkan keamanan situs web, menerapkannya secara tidak benar dapat memengaruhi keamanan dan kegunaan situs secara negatif. Kesalahan umum termasuk masalah berikut :

Masalah	Larutan
Sertifikat kedaluwarsa	Selalu pastikan bahwa sertifikat situs adalah yang terbaru.
Sertifikat tidak ada untuk semua nama host	Dapatkan sertifikat untuk semua nama host yang disediakan situs untuk menghindari kesalahan ketidakcocokan nama sertifikat.
Dukungan Indikasi Nama Server (SNI).	Pastikan server web mendukung SNI dan audiens menggunakan browser yang mendukung SNI.
Masalah perayapan dan pengindeksan	Pastikan situs HTTPS tidak diblokir dari perayapan menggunakan robots.txt. Juga, aktifkan pengindeksan yang benar dari semua halaman oleh mesin pencari.
Isi	Pastikan bahwa konten cocok pada halaman HTTP dan HTTPS.

Apakah Koneksi HTTPS Rentan Terhadap Serangan?

Meskipun HTTPS lebih aman daripada HTTP, tidak ada yang kebal terhadap serangan dunia maya. Koneksi HTTPS mungkin rentan terhadap aktivitas berbahaya berikut :

Cryptanalysis atau kelemahan protokol. Pelaku ancaman dapat menggunakan kritanalisis atau mengeksploitasi potensi kelemahan untuk mengganggu koneksi HTTPS.
Serangan pada komputer klien. Penyerang dapat menginstall sertifikat root berbahaya ke komputer klien atau penyimpanan kepercayaan browser, sehingga membahayakan koneksi HTTPS.
Memanipulasi otoritas sertifikat. Penyerang dapat memanipulasi atau mengkompromikan otoritas sertifikasi untuk mendapatkan sertifikat nakal yang secara keliru dipercaya oleh browser utama.