Apa itu HTTPS?

Hypertext Transfer Protocol Secure (HTTPS) adalah versi aman dari protokol HTTP yang menggunakan SSL /TLS protokol untuk enkripsi dan otentikasi. HTTPS ditentukan oleh RFC 2818 (Mei 2000) dan menggunakan port 443 secara default, bukan port 80 HTTP.

Protokol HTTPS memungkinkan pengguna situs web untuk mengirimkan data sensitif seperti nomor kartu kredit, informasi perbankan, dan kredensial login dengan aman melalui internet. Untuk alasan ini, HTTPS sangat penting untuk mengamankan aktivitas online seperti belanja, perbankan, dan pekerjaan jarak jauh. Namun, HTTPS dengan cepat menjadi protokol standar untuk semua situs web, baik mereka bertukar data sensitif dengan pengguna atau tidak.

Apa perbedaan HTTPS dengan HTTP?

HTTPS menambahkan enkripsi, pembuktian keaslian, dan integritas ke protokol HTTP:

Enkripsi: Karena HTTP pada awalnya dirancang sebagai protokol teks yang jelas, ia rentan terhadap penyadapan dan Pria di tengah serangan. Dengan menyertakan SSL /TLS enkripsi, HTTPS mencegah data yang dikirim melalui internet disadap dan dibaca oleh pihak ketiga. Melalui kriptografi kunci publik dan SSL /TLS jabatan, sesi komunikasi terenkripsi dapat diatur dengan aman antara dua pihak yang belum pernah bertemu secara langsung (misalnya server web dan browser) melalui pembuatan kunci rahasia bersama.

Otentikasi: Tidak seperti HTTP, HTTPS menyertakan otentikasi yang kuat melalui SSL /TLS protokol. SSL situs web /TLS sertifikat termasuk kunci publik yang dapat digunakan browser web untuk mengonfirmasi bahwa dokumen yang dikirim oleh server (seperti halaman HTML) telah ditandatangani secara digital oleh seseorang yang memiliki dokumen terkait. kunci pribadi. Jika sertifikat server telah ditandatangani oleh yang dipercaya secara publik otoritas sertifikat (CA), seperti SSL.com, browser akan menerima bahwa informasi pengenal apa pun yang disertakan dalam sertifikat telah divalidasi oleh pihak ketiga tepercaya.

Situs web HTTPS juga dapat dikonfigurasi untuk saling otentikasi, di mana browser web menyajikan sertifikat klien yang mengidentifikasi pengguna. Otentikasi timbal balik berguna untuk situasi seperti kerja jarak jauh, di mana diinginkan untuk menyertakan otentikasi multi-faktor, mengurangi risiko Phishing atau serangan lain yang melibatkan pencurian kredensial. Untuk informasi lebih lanjut tentang mengkonfigurasi sertifikat klien di browser web, silakan baca ini bagaimana caranya.

Integritas: Setiap dokumen (seperti halaman web, gambar, atau file JavaScript) yang dikirim ke browser oleh server web HTTPS menyertakan tanda tangan digital yang dapat digunakan browser web untuk menentukan bahwa dokumen tersebut belum diubah oleh pihak ketiga atau rusak saat dalam perjalanan. Server menghitung a hash kriptografi dari konten dokumen, termasuk dengan sertifikat digitalnya, yang dapat dihitung browser secara independen untuk membuktikan bahwa integritas dokumen tersebut utuh.

Secara keseluruhan, jaminan enkripsi, otentikasi, dan integritas ini membuat HTTPS a banyak protokol yang lebih aman untuk menjelajahi dan menjalankan bisnis di web daripada HTTP.

Informasi apa yang diberikan HTTPS kepada pengguna tentang pemilik situs web?

CA menggunakan tiga dasar metode validasi saat menerbitkan sertifikat digital. Metode validasi yang digunakan menentukan informasi yang akan dimasukkan dalam SSL /TLS sertifikat:

Validasi Domain (DV) hanya mengonfirmasi bahwa nama domain yang dicakup oleh sertifikat berada di bawah kendali entitas yang meminta sertifikat.
Validasi Organisasi / Individu (OV / IV) sertifikat termasuk nama yang divalidasi dari bisnis atau organisasi lain (OV), atau individu (IV).
Extended Validation (EV) sertifikat mewakili standar tertinggi dalam kepercayaan internet, dan memerlukan upaya maksimal dari CA untuk memvalidasi. Sertifikat EV hanya dikeluarkan untuk bisnis dan organisasi terdaftar lainnya, bukan untuk individu, dan menyertakan nama yang divalidasi dari organisasi tersebut.

Untuk informasi lebih lanjut tentang melihat konten sertifikat digital situs web, silakan baca artikel kami, Bagaimana saya dapat memeriksa apakah situs web dijalankan oleh bisnis yang sah?

Mengapa menggunakan HTTPS?

Ada beberapa alasan bagus untuk menggunakan HTTPS di situs web Anda, dan bersikeras menggunakan HTTPS saat menjelajah, berbelanja, dan bekerja di web sebagai pengguna:

Integritas dan Otentikasi: Melalui enkripsi dan otentikasi, HTTPS melindungi integritas komunikasi antara situs web dan browser pengguna. Pengguna Anda akan tahu bahwa data yang dikirim dari server web Anda tidak dicegat dan / atau diubah oleh pihak ketiga saat transit. Dan, jika Anda telah melakukan investasi ekstra dalam sertifikat EV atau OV, mereka juga akan dapat memberi tahu informasinya benar-benar berasal dari bisnis atau organisasi Anda.

Privasi: Tentu saja tidak ada yang ingin penyusup meraup nomor kartu kredit dan kata sandi mereka saat mereka berbelanja atau bank online, dan HTTPS sangat bagus untuk mencegahnya. Tapi maukah kamu benar-benar ingin semua hal lain yang Anda lihat dan lakukan di web menjadi buku terbuka bagi siapa saja yang ingin mengintip (termasuk pemerintah, majikan, atau seseorang yang membuat profil untuk menghapus anonimasi aktivitas online Anda)? HTTPS juga memainkan peran penting di sini.

Pengalaman pengguna: Perubahan terbaru pada UI browser mengakibatkan situs HTTP ditandai sebagai tidak aman. Apakah Anda ingin browser pelanggan memberi tahu mereka bahwa situs web Anda "Tidak Aman" atau menampilkan gembok yang dicoret saat mereka mengunjunginya? Tentu saja tidak!

Kompatibilitas: Perubahan browser saat ini mendorong HTTP semakin mendekati ketidakcocokan. Mozilla Firefox baru-baru ini mengumumkan opsional Mode khusus HTTPS, sementara Google Chrome terus beralih ke blokir konten campuran (Sumber daya HTTP ditautkan ke halaman HTTPS). Jika dilihat bersama dengan peringatan browser tentang "ketidakamanan" untuk situs web HTTP, mudah untuk melihat bahwa tulisan HTTP ada di dinding. Pada tahun 2020, semua browser dan perangkat seluler utama saat ini mendukung HTTPS, jadi Anda tidak akan kehilangan pengguna dengan beralih dari HTTP.

seo: Mesin pencari (termasuk Google) menggunakan HTTPS sebagai sinyal peringkat saat membuat hasil pencarian. Oleh karena itu, pemilik situs web bisa mendapatkan peningkatan SEO yang mudah hanya dengan mengonfigurasi server web mereka untuk menggunakan HTTPS daripada HTTP.

Singkatnya, tidak ada lagi alasan bagus bagi situs web publik untuk terus mendukung HTTP. Bahkan Pemerintah Amerika Serikat sudah siap!

Bagaimana cara kerja HTTPS?

HTTPS menambahkan enkripsi ke protokol HTTP dengan membungkus HTTP di dalam SSL /TLS protokol (itulah sebabnya SSL disebut protokol tunneling), sehingga semua pesan dienkripsi di kedua arah antara dua komputer jaringan (misalnya klien dan server web). Meskipun penyadap masih berpotensi mengakses alamat IP, nomor port, nama domain, jumlah informasi yang dipertukarkan, dan durasi sesi, semua data aktual yang dipertukarkan dienkripsi dengan aman oleh SSL /TLS, Termasuk:

URL permintaan (halaman web mana yang diminta oleh klien)
Konten situs web
Parameter kueri
Header
Cookie

HTTPS juga menggunakan SSL /TLS protokol untuk pembuktian keaslian. SSL /TLS menggunakan dokumen digital yang dikenal sebagai Sertifikat X.509 untuk mengikat kriptografi pasangan kunci hingga identitas entitas seperti situs web, individu, dan perusahaan. Setiap pasangan kunci termasuk a kunci pribadi, yang dijaga tetap aman, dan a kunci publik, yang dapat didistribusikan secara luas. Siapa pun dengan kunci publik dapat menggunakannya untuk:

• Mengirim pesan yang hanya dapat didekripsi oleh pemilik kunci privat.
• Konfirmasikan bahwa pesan telah ditandatangani secara digital dengan kunci privat yang sesuai.


Jika sertifikat yang disajikan oleh situs web HTTPS telah ditandatangani oleh yang dipercayai publik otoritas sertifikat (CA), Seperti SSL.com, pengguna dapat yakin bahwa identitas situs web telah divalidasi oleh pihak ketiga yang tepercaya dan diaudit dengan ketat.

Apa yang terjadi jika situs web saya tidak menggunakan HTTPS?

Pada tahun 2020, situs web yang tidak menggunakan HTTPS atau melayani konten campuran (menyajikan sumber daya seperti gambar melalui HTTP dari halaman HTTPS) tunduk pada peringatan dan kesalahan keamanan browser. Selain itu, situs web ini secara tidak perlu membahayakan privasi dan keamanan penggunanya, dan tidak disukai oleh algoritme mesin telusur. Oleh karena itu, HTTP dan situs web konten campuran dapat mengharapkan lebih banyak peringatan dan kesalahan browser, kepercayaan pengguna yang lebih rendah dan SEO yang lebih buruk dibandingkan jika mereka telah mengaktifkan HTTPS.

Bagaimana saya tahu jika situs web menggunakan HTTPS?

URL HTTPS dimulai dengan https:// alih-alih http://. Browser web modern juga menunjukkan bahwa pengguna mengunjungi situs web HTTPS yang aman dengan menampilkan simbol gembok tertutup di sebelah kiri URL:
address bar
Di browser modern seperti Chrome, Firefox, dan Safari, pengguna bisa klik gemboknya untuk melihat apakah sertifikat digital situs web HTTPS disertakan mengidentifikasi informasi tentang pemiliknya.

Bagaimana cara mengaktifkan HTTPS di situs web saya?

Untuk melindungi situs web publik dengan HTTPS, Anda perlu menginstal file SSL /TLS sertifikat ditandatangani oleh publik yang dipercaya otoritas sertifikat (CA) di server web Anda. SSL.com dasar pengetahuan menyertakan banyak panduan dan cara berguna untuk mengonfigurasi berbagai platform server web untuk mendukung HTTPS.

Untuk panduan yang lebih umum tentang konfigurasi dan pemecahan masalah server HTTP, silakan baca SSL /TLS Praktik Terbaik untuk 2020 dan Memecahkan Masalah SSL /TLS Kesalahan dan Peringatan Peramban.

Terima kasih telah mengunjungi SSL.com! Jika Anda memiliki pertanyaan tentang pemesanan dan pemasangan SSL /TLS sertifikat, harap hubungi tim dukungan 24/7 kami melalui email di Support@SSL.com, melalui telepon di 1-877-SSL-Secure, atau cukup dengan mengklik link chat di kanan bawah halaman web ini.

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.