Pengantar
Selama beberapa tahun terakhir, HTTPS adopsi telah meningkat pesat (Google menyediakan laporan transparansi yang menunjukkan kemajuan ini secara lebih visual). HTTPS menggunakan SSL /TLS sertifikat untuk melindungi data, dan merupakan salah satu mekanisme keamanan browser yang paling penting terhadap ancaman dunia maya. Industri web sekarang mendorong (atau membutuhkan) HTTPS sebagai pengganti HTTP tidak aman.
Namun, keamanan tambahan ini telah meningkatkan kompleksitas operasional untuk pengguna browser dan administrator server web. HTTPS tergantung pada komponen yang berpotensi gagal dan menghasilkan pesan kesalahan yang tidak jelas.
Selain itu, peringatan keamanan tidak selalu berarti bahwa server atau browser sedang diserang. Sertifikat yang kedaluwarsa, dicabut, atau salah dikonfigurasi juga dapat menghasilkan pesan serupa. Karena alasan ini, banyak pengguna bisa menjadi bingung (atau kesal) dan mengabaikan kesalahan HTTPS, meskipun mengabaikan pesan kesalahan keamanan bisa sangat berbahaya. (Faktanya, penyedia browser membuat peringatan keamanan semakin sulit untuk dilewati.)
Administrator menghadapi kekhawatiran tambahan bahwa tampilan peringatan keamanan situs web mereka yang konsisten kepada pengunjung dapat berdampak negatif pada reputasi situs. Administrator situs harus segera menyelidiki dan memperbaiki masalah apa pun yang mendasarinya.
Untuk membantu dengan ini, kami akan memeriksa beberapa peringatan kesalahan HTTPS yang paling umum, menjelaskan apa artinya dan menyarankan bagaimana administrator dapat memperbaikinya.
“Tidak Dipercaya untuk Situs Web ini”
SSL /TLS sertifikat biasanya dikeluarkan oleh entitas pihak ketiga yang disebut Otoritas Sertifikat, atau CA. CA (seperti SSL.com) secara kriptografis menandatangani setiap sertifikat yang mereka terbitkan. Ini memungkinkan browser untuk mengonfirmasi bahwa sertifikat untuk situs web tertentu dikeluarkan oleh CA tepercaya (yang telah ditambahkan ke penyimpanan sertifikat browser).
Kesalahan “Tidak tepercaya” berarti bahwa server web menyajikan sertifikat yang ditandatangani dengan tanda tangan digital yang tidak dikenali oleh browser. Peramban akan menampilkan pesan kesalahan ini dalam dua kasus:
- Server mempekerjakan orang yang tidak dipercaya ditandatangani sendiri sertifikat, atau
- Instalasi sertifikat di server gagal, sehingga browser tidak dapat memverifikasi keasliannya dengan benar.
Sertifikat yang ditandatangani sendiri sama seperti sertifikat normal, tetapi dibuat secara lokal oleh administrator server web dan bukan CA yang tepercaya. Sertifikat tersebut dapat digunakan untuk URL internal, halaman statis atau situs web dengan lalu lintas rendah.
Karena sertifikat yang ditandatangani sendiri tidak ditautkan ke CA tepercaya, browser tidak mempercayainya secara otomatis. Pengguna harus melewati peringatan keamanan secara manual (biasanya dengan memberi tahu browser untuk "mempercayai" sertifikat yang ditandatangani sendiri) sebelum mereka dapat mengunjungi situs. Prosedurnya bervariasi dari browser ke browser dan kecuali Anda tahu persis siapa yang mengeluarkan sertifikat tidak tepercaya (dan mengapa) kami menyarankan Anda untuk menghindari melewati peringatan tersebut.
Kasus kedua terjadi ketika instalasi gagal (atau dilakukan secara tidak benar). Kejadian umum adalah meninggalkan sertifikat perantara, juga disebut rantai sertifikat, saat melakukan instalasi. Ini memecah rantai kepercayaan dari CA ke sertifikat situs web, sehingga browser tidak mengakui sertifikat sebagai tepercaya dan menyajikan kesalahan ini kepada pengunjung.
Saat menerima kesalahan "Tidak tepercaya", pertimbangkan halaman yang sedang dikunjungi. Halaman lalu lintas tinggi atau satu yang menangani informasi pengguna sensitif (seperti kartu kredit, alamat penagihan, dan sebagainya) sangat tidak mungkin menggunakan sertifikat yang ditandatangani sendiri.
Dengan demikian, itu bisa menjadi salah satu dari dua kemungkinan: server (atau koneksi) dibajak (dan penyerang mengganti sertifikat asli dengan milik mereka sendiri) atau administrator mencoba memperbarui sertifikat server dan gagal di suatu tempat dalam proses.
Bersalah di sisi hati-hati, kami menyarankan agar pengguna menghindari menggunakan situs web apa pun yang menampilkan kesalahan ini sampai masalah mendasar diselesaikan.
Cara memperbaiki kesalahan "Tidak tepercaya"
Tidak disarankan untuk menggunakan sertifikat yang ditandatangani sendiri untuk halaman eksternal atau yang menghadap ke Internet seperti halaman masuk atau check-out pelanggan. Faktanya, sebagian besar standar dan dokumen sertifikasi, seperti PCI-DSS, mensyaratkan penggunaan sertifikat yang ditandatangani dengan benar dari CA terakreditasi untuk operasi sensitif semacam itu.
Jika Anda telah membeli sertifikat dari CA dan masih mengalami kesalahan ini, Anda harus memverifikasi bahwa instalasi tidak menghasilkan kesalahan dan bahwa Anda telah mengikuti langkah-langkah dengan benar. Jika itu tidak membantu, Anda harus menghubungi CA penerbit untuk bantuan lebih lanjut.
"Koneksi Anda tidak aman"
Beberapa browser mungkin menyatakan bahwa koneksi "tidak pribadi" bukan "tidak aman" tetapi semuanya mengacu pada masalah yang sama: sertifikat server tidak dapat divalidasi. Di sini, browser akan memutuskan koneksi ke situs web dan menampilkan pesan kesalahan ini sebagai gantinya. Sertifikat gagal divalidasi saat dicabut atau kedaluwarsa.
Sertifikat digital dapat dicabut karena berbagai alasan, dan CA yang dipercaya memelihara layanan untuk secara publik menampilkan sertifikat yang dicabut. (Ini termasuk Daftar Pencabutan Sertifikats (CRL) dan Protokol Status Sertifikat Online (OCSP) responden.) Browser berkonsultasi dengan layanan ini sebelum mereka mempercayai sertifikat. Pengguna yang tersandung pada sertifikat yang dicabut harus menghindari penggunaan situs web, karena ini berarti koneksi mereka mungkin terganggu.
Sertifikat SSL juga secara alami kedaluwarsa setelah jangka waktu tertentu dan harus diperpanjang. Ini membantu memastikan bahwa semua kredensial diperiksa secara berkala, menawarkan jaminan yang masuk akal bahwa sertifikat tersebut mencakup server yang dikendalikan oleh pemilik yang sah dan bukan penyerang jahat.
Cara memperbaiki kesalahan "Tidak aman"
Kami menyarankan Anda memperbarui sertifikat sebelum kedaluwarsa untuk menghindari kesalahan ini. SSL.com pelanggan dapat menggunakan layanan peringatan kedaluwarsa terintegrasi kami untuk memperingatkan tentang kedaluwarsa sertifikat yang akan datang.
“Konten Campuran”
Peringatan konten campuran mengacu pada komponen situs web HTTPS yang diambil melalui HTTP. Contoh umum termasuk gambar jarak jauh, skrip, atau elemen lain yang dikirimkan secara tidak aman (bahkan jika di server yang sama).
Penyerang dapat mengeksploitasi koneksi HTTP yang tidak aman untuk menyusupi browser pengunjung (atau bahkan komputer). Terlepas dari risiko yang jelas, banyak situs web masih menggunakan HTTP untuk mengambil komponen jarak jauh. Untuk memperingatkan pengguna terhadap koneksi konten campuran, browser menampilkan indikator keamanan negatif.
Pengguna harus menghindari semua koneksi seperti itu jika memungkinkan, tetapi sayangnya banyak situs web yang sah belum menyelesaikan masalah ini. Karena itu, kami menyarankan agar Anda berhati-hati dan menggunakan penilaian yang baik ketika memilih untuk mengunjungi situs web yang menampilkan peringatan konten campuran.
Cara memperbaiki peringatan "Konten Campuran":
Administrator harus mencari melalui kode sumber situs web mereka untuk URL yang dimulai dengan http://. Untuk menghentikan browser agar tidak menampilkan peringatan konten campuran, gantilah semua URL HTTP dengan HTTPS (artinya harus dimulai dengan https://) URL menunjuk ke sumber yang sama. Cuplikan berikut ini menunjukkan contoh:
Harus berubah menjadi:
Jika server jarak jauh sudah mendukung HTTPS, Anda cukup mengubah URL di kode sumber Anda. Namun, jika Anda tidak memiliki kendali atas server jarak jauh, Anda harus bernegosiasi dengan pihak ketiga yang mengontrol server atau menemukan layanan yang berbeda dengan dukungan HTTPS untuk menghilangkan peringatan ini.
“Ketidakcocokan Nama”
Browser menampilkan pesan kesalahan ini ketika server menyajikan sertifikat digital untuk nama domain yang berbeda. Ini dapat terjadi karena domain sertifikat salah (mis. Sertifikat yang diminta untuk domain.org alih-alih domain.com) selama pembelian sertifikat, melalui kesalahan konfigurasi (menyajikan sertifikat lain, bukan yang diharapkan) atau karena sertifikat gagal untuk mencakup beberapa domain atau sub-domain yang digunakan di situs web.
Cara memperbaiki kesalahan "Name Mismatch"
Jika domain tidak dieja dengan benar, Anda harus menghubungi CA penerbit untuk kemungkinan solusi.
Kesalahan konfigurasi dapat diatasi dengan memperbarui situs untuk menggunakan sertifikat yang benar.
Terakhir, jika mengelola situs web yang berisi beberapa domain (atau sub-domain), pertimbangkan untuk menggunakan a Sertifikat Nama Alternatif Subjek (SAN) alih-alih beberapa sertifikat individu. Satu sertifikat SAN dapat melindungi ratusan domain berbeda dan bahkan domain wild-card (mis *.ssl.com) selain menjadi jauh lebih mudah untuk mengelola dan memelihara daripada beberapa sertifikat (belum lagi bahwa itu mungkin lebih mudah di dompet Anda).
Kesimpulan
Orang mungkin menganggap HTTPS sebagai kotak hitam, tetapi sebenarnya ini adalah kumpulan komponen yang saling berhubungan yang harus bekerja secara harmonis agar efektif. Pesan peringatan yang telah kami jelaskan adalah bagian Internet yang mengganggu tetapi penting. Kami berharap memberikan pemahaman dasar tentang pesan-pesan tersebut dapat membantu menjaga keamanan pengguna dan membuat administrator lebih efisien.
Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini.
