Lihat indikator keamanan UI browser

HTTP dan HTTPS

HTTPS adalah protokol jaringan yang digunakan browser untuk berkomunikasi secara aman dengan server web. HTTPS adalah alternatif aman untuk protokol yang jauh lebih tua, yang disebut Hyper Text Transfer Protocol, atau HTTP. HTTPS dapat melindungi pengguna, karena memerlukan enkripsi dari semua data web (atau HTTP) yang dipertukarkan melalui protokol kriptografi, yang disebut TLS  (HTTPS secara harfiah * HTTP * lebih dari *TLS*).

Mengenkripsi data web dengan kunci rahasia (seperti TLS tidak) meningkatkan keamanan pengguna dengan mencegah penyerang membaca atau mengubah konten asli dalam perjalanan. Serangan jaringan semacam itu dikenal sebagai serangan man-in-the-middle (MITM). Para peneliti telah berulang kali menunjukkan bahwa penyerang MITM dapat, pada dasarnya, membaca atau memodifikasi lalu lintas HTTP, tanpa pengguna mengetahuinya.

Keamanan tambahan menjadikan HTTPS ideal untuk aplikasi web yang menangani data sensitif, dan sebagian besar server (mis. Server perbankan atau e-mail) telah ditingkatkan. Sayangnya tidak semua server web mendukungnya, karena berbagai batasan operasional, seperti peningkatan bandwidth, masalah warisan dan sebagainya. Karena ada potensi bahaya, pengguna yang khawatir perlu tahu apakah mereka menjelajah koneksi yang tidak aman.

Masukkan indikator keamanan

Peramban memberi tahu pengguna tentang status keamanan koneksi web, dalam bentuk grafik yang ditunjukkan di bilah alamat (mis. Ikon kunci sebelum URL artikel ini). Ini indikator keamanan bisa juga negatif dan memperingatkan pengguna bahwa mereka berada dalam bahaya potensial, atau positif, untuk meyakinkan mereka koneksi mereka aman.

Indikator keamanan digunakan untuk mengkomunikasikan dua aspek koneksi web; keamanan koneksi dan keaslian server web jarak jauh.

Keamanan koneksi melalui enkripsi

Indikator menginformasikan tentang keamanan koneksi dengan membedakan antara terenkripsi, tidak terenkripsi dan konten campuran koneksi. Situs terenkripsi dan tidak terenkripsi melindungi semua konten atau tidak sama sekali. Konten campuran berarti beberapa komponen situs web yang dienkripsi sedang diambil melalui saluran yang tidak dienkripsi.

Komponen yang dapat memodifikasi konten halaman (seperti skrip atau vektor) dipanggil konten aktif. Komponen dengan identitas tetap (seperti gambar statis atau font) disebut konten pasif.

Meskipun koneksi web sepenuhnya terenkripsi terdengar aman, ini saja tidak berarti bahwa situs web aman untuk dijelajahi.

Otentikasi server dan sertifikat digital

Penyerang dapat (dan melakukan) menyalin konten situs web dan mengarahkan lalu lintas jaringan ke server jahat mereka sendiri, bahkan melalui koneksi terenkripsi. Server mereka hanya perlu menyajikan yang berbeda, dikenal TLS bukan kunci rahasia aslinya. Tidak memiliki alasan untuk meragukan keabsahan koneksi, pengguna yang tidak curiga kemudian dapat dibujuk untuk masuk atau mengungkapkan informasi sensitif lainnya.

Sebagai tanggapan, browser mengotentikasi server dengan mengkorelasikan kredensial pemilik server web yang sah dengan kunci enkripsi unik yang disajikan masing-masing server. Dengan begitu, browser mendelegasikan verifikasi kredensial ini ke entitas pihak ketiga, yang disebut Otoritas Sertifikat (CA). Browser utama memelihara program root untuk mengelola kepercayaan mereka sendiri atas CA, yang harus mematuhi standar yang ketat dan persyaratan audit untuk dipercaya oleh browser.

Pemilik server web yang meminta sertifikat dari CA tepercaya, seperti SSL.com, harus menunjukkan kunci publik yang valid dan membuktikan bahwa mereka mengontrol nama domain dan server yang ditunjuknya. Jika pemeriksaan ini berhasil, CA mengeluarkan sertifikat digital kepada pemilik, yang menggunakannya untuk mengenkripsi dan mengotentikasi koneksi ke situs mereka.

Sertifikat adalah identitas digital, berisi informasi tentang orang atau organisasi yang memiliki server. CAs secara kriptografis menandatangani setiap sertifikat dengan tanda tangan digital, mekanisme integritas yang serupa dengan segel lilin - penyerang tidak dapat menduplikasi tanda tangan, dan mereka harus membatalkannya sebelum mengubah konten. HTTPS membutuhkan server web untuk menyambut koneksi browser dengan sertifikat server yang valid. Browser kemudian memeriksa sertifikat - jika ditandatangani oleh CA tepercaya, koneksi dapat dilanjutkan. (Jika server menyajikan sertifikat yang berbeda, dicabut atau tidak valid, browser menghentikan atau melarang koneksi dan memperingatkan pengguna, menggunakan pesan kesalahan yang akan kita periksa secara rinci di artikel mendatang).

Tingkat validasi

Perlu dicatat bahwa tidak semua sertifikat menawarkan tingkat keamanan yang sama, dan indikator keamanan dapat membedakan antara berbagai jenis sertifikat yang dikeluarkan untuk berbagai tingkat validasi.

Masalah CA Domain Divalidasi (DV) sertifikat kepada pelanggan yang telah menunjukkan kendali atas domain DNS. Organisasi Divalidasi (OV) Sertifikat diperiksa untuk mengotentikasi organisasi adalah badan hukum, serta kontrol domain. Akhirnya, Extended Divalidasi (EV) sertifikat - yang dapat menampilkan informasi perusahaan di bilah browser itu sendiri - disediakan untuk pelanggan yang telah melewati beberapa pemeriksaan verifikasi independen (termasuk kontak manusia-ke-manusia, referensi ke database yang memenuhi syarat dan tinjauan tindak lanjut) serta OV- dan DV langkah -tingkat.

Status indikator saat ini

Pada hari-hari awal internet, HTTP adalah norma dan HTTPS diperkenalkan sebagai opsi untuk yang paling mengutamakan keamanan. Akibatnya, sebagian besar browser hanya digunakan positif indikator, yaitu kunci yang menunjukkan koneksi HTTPS, dan (opsional) apakah koneksi itu menggunakan sertifikat EV. Hari ini, untuk mempromosikan kesadaran keamanan secara lebih luas, Chrome, bersama dengan Firefox dan Safari, juga telah mulai mengadopsi penggunaan negatif indikator, memperingatkan pengguna halaman dengan halaman konten aktif yang tidak terenkripsi atau campuran. Tabel berikut adalah ringkasan untuk kondisi umum indikator keamanan di browser. Dimulai dengan HTTP (yang tidak aman sama sekali) setiap item lebih jauh di sepanjang daftar lebih aman daripada yang sebelumnya.

 

(Klik pada gambar untuk memperbesar)

Perubahan dan rencana yang akan datang untuk masa depan

Tim Keamanan yang Dapat Digunakan Chrome telah merilis usul untuk mengubah perilaku browser ini. Mereka menyarankan bahwa semua browser harus mulai secara aktif memperingatkan pengguna terhadap situs web HTTP (atau HTTPS konten campuran) yang tidak aman, dengan indikator negatif, sementara mereka mencoba menghapus indikator keamanan positif dari situs web HTTPS secara bersamaan.

Mereka mendasarkan keputusan mereka pada penelitian itu diterbitkan dalam 2007, menyatakan bahwa indikator keamanan positif diabaikan oleh pengguna, berbeda dengan indikator negatif yang dianggap lebih serius. Chrome juga berpendapat dalam proposal aslinya, bahwa "pengguna harus berharap bahwa web aman secara default, dan mereka akan diperingatkan saat ada masalah".

Berlangganan ide ini, mulai September 2018, versi Chrome yang lebih baru (69+) menampilkan indikator negatif "Tidak aman" di semua situs web HTTP, dan tidak akan menampilkan indikator positif "Aman" untuk HTTPS.

Mozilla's Firefox (sejak versi 58+) adalah salah satu dari dua browser lain yang telah mengadopsi indikator keamanan negatif, tetapi hanya untuk situs dengan konten aktif campuran. Selanjutnya, dalam file pos blog resmi, mereka telah mengumumkan rencana masa depan mereka untuk indikator keamanan UI di Firefox: "Firefox pada akhirnya akan menampilkan ikon gembok-tembus untuk semua halaman yang tidak menggunakan HTTPS, untuk memperjelas bahwa mereka tidak aman".

Apple's Safari (rilis teknologi 46+) adalah browser tersisa yang menggunakan indikator negatif untuk situs web dengan konten aktif campuran, meskipun mereka belum membuat pernyataan publik apa pun terkait rencana mereka untuk indikator keamanan di masa mendatang.

Browser Microsoft's Edge dan Opera belum berbicara secara terbuka tentang rencana mereka tentang indikator keamanan UI.

Kesimpulan

Aman di Internet harus menjadi default, dan peringatan browser aktif terhadap koneksi HTTP yang tidak aman dapat memberikan motivasi besar bagi beberapa pemilik server web lawas untuk memperhatikan keamanan situs mereka dan pengunjungnya. Selain itu, menghapus indikator "Aman" dari situs web HTTPS (bisa dibilang) merupakan langkah untuk membuat HTTPS menjadi norma yang diharapkan. Sejauh menghilangkan indikator positif sepenuhnya, beberapa indikator, seperti indikator EV, masih dapat memberikan jaminan penting bagi pengunjung dalam beberapa keadaan. Apa pun masa depannya, seiring dengan peningkatan penggunaan HTTPS global, pasti ada beberapa perubahan dan tantangan yang menarik - jadi terus periksa kembali bersama kami untuk informasi di masa mendatang tentang ini dan topik keamanan lainnya.

Seperti biasa, terima kasih telah membaca kata-kata ini dari SSL.com, di mana kami percaya a lebih aman Internet adalah lebih baik Internet.

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.