Kalian mungkin telah memastikan bahwa situs web kalian memiliki SSL diaktifkan, dan icon gembok keamanan di browser kalian berwarna hijau. Namun, kalian mungkin lupa tentang petugas keamanan HTTP, HTTP Strict Transport Security (HSTS). Apa itu HSTS, dan bagaimana itu bisa membantu menjaga situs kalian tetap aman?
Baca Juga: Pengertian, Fungsi, Dan Jenis-Jenis Protokol Jaringan
DAFTAR ISI
Apa Itu HTTPS?
Hyper Text Transfer Protocol Secure (HTTPS) adalah versi aman dari situs web (HTTP). Enkripsi diaktifkan menggunakan protokol Secure Sockets Layer (SSL) dan divalidasi dengan sertifikat SSL. Saat kalian terhubung ke situs web HTTPS, informasi yang ditransfer antara situs web dan pengguna dienkripsi.
Enkripsi ini membantu melindungi kalian terhadap pencurian data melalui Man-in-the-Middle-Attacks (MITM). Lapisan keamanan tambahan juga sedikit membantu meningkatkan reputasi situs web kalian. Sebenarnya, menambahkan sertifikat SSL sangat mudah, sehingga banyak host web akan menambahkannya ke situs kalian secara gratis. HTTPS masih memiliki beberapa kelemahan, tetapi HSTS hadir dan ini dapat membantu memperbaikinya.
Apa Itu HSTS?
HSTS adalah header respons yang menginformasikan browser bahwa situs web yang diaktifkan hanya dapat diakses melalui HTTPS. Ini memaksa browser kalian untuk hanya dapat mengakses versi situs web HTTPS dan sumber daya apa pun di dalamnya.
Kalian mungkin tidak menyadari bahwa meskipun kalian telah mengatur sertifikat SSL kalian dengan benar dan mengaktifkan HTTPS untuk situs web kalian, bahwa versi HTTP masih tersedia. Ini benar bahkan jika kalian telah mengatur penerusan menggunakan 301 Permanent Redirection. Meskipun kebijakan HSTS telah ada selama beberapa saat, itu hanya diluncurkan secara resmi oleh Google pada bulan Juli 2016. Yang mungkin mengapa kalian belum banyak mendengarnya.
Mengaktifkan HSTS akan menghentikan serangan protokol SSL dan cookie hijacking, dua kerentanan tambahan di situs web yang mendukung SSL. Dan selain membuat situs web lebih aman, HSTS akan membuat situs memuat lebih cepat dengan menghapus langkah dalam prosedur pemuatan.
Apa Itu SSL Stripping?
Meskipun HTTPS adalah peningkatan besar dari HTTP, itu tidak kebal untuk diretas. SSL Stripping adalah peretasan MITM yang sangat umum untuk situs web yang menggunakan pengalihan untuk mengirim pengguna dari HTTP ke versi HTTPS situs web mereka. Pengalihan 301 (permanen) dan 302 (sementara) pada dasarnya berfungsi seperti ini:
- Pengguna mengetik google.com di bilah alamat browser mereka.
- Browser awalnya mencoba memuat http://google.com sebagai default.
- “Google.com” diatur dengan pengalihan permanen 301 ke https://google.com .
- Peramban melihat pengalihan dan memuat https://google.com sebagai gantinya.
Dengan SSL stripping , peretas dapat menggunakan waktu antara langkah 3 dan langkah 4 untuk memblokir permintaan pengalihan dan menghentikan browser dari memuat versi situs web yang aman (HTTPS). Saat kalian mengakses versi situs web yang tidak dienkripsi, data apa pun yang kalian masukkan dapat dicuri.
Peretas juga dapat mengarahkan kalian ke salinan situs web yang kalian coba akses, dan menangkap semua data kalian saat kalian memasukkannya, bahkan jika itu terlihat aman. Google telah menerapkan langkah-langkah di Chrome untuk menghentikan beberapa jenis pengalihan. Namun, mengaktifkan HSTS harus menjadi sesuatu yang kalian lakukan secara default untuk semua situs web kalian mulai sekarang.
Bagaimana Mengaktifkan HSTS Dan Menghentikan SSL Stripping?
HSTS yang diaktifkan memaksa browser untuk memuat versi situs web yang aman, dan mengabaikan pengalihan dan panggilan lainnya untuk membuka koneksi HTTP. Ini menutup kerentanan pengalihan yang ada dengan pengalihan 301 dan 302.
Ada sisi negatif bahkan untuk HSTS, dan itu adalah bahwa browser pengguna harus melihat header HSTS setidaknya sekali sebelum dapat memanfaatkannya untuk kunjungan di masa depan. Ini berarti bahwa mereka harus melalui proses HTTP> HTTPS setidaknya satu kali, membuat mereka rentan saat pertama kali mereka mengunjungi situs web yang mendukung HSTS. Untuk mengatasi ini, Chrome memuat daftar situs web yang memiliki HSTS diaktifkan. Pengguna dapat mengirimkan situs web yang mendukung HSTS ke daftar preload sendiri jika mereka memenuhi kriteria (sederhana) yang disyaratkan.
Situs web yang ditambahkan ke daftar ini akan diubah ke versi pembaruan Chrome yang akan datang. Itu memastikan bahwa semua orang yang mengunjungi situs web yang diaktifkan HSTS kalian dalam versi Chrome yang diperbarui akan tetap aman. Firefox, Opera, Safari, dan Internet Explorer memiliki daftar preload HSTS mereka sendiri, tetapi semuanya didasarkan pada daftar Chrome di hstspreload.org .
Cara Mengaktifkan HSTS Di Situs Web Kalian
Untuk mengaktifkan HSTS di situs web kalian, kalian harus terlebih dahulu memiliki sertifikat SSL yang valid. Jika kalian mengaktifkan HSTS tanpa SSL, situs kalian tidak akan tersedia bagi pengunjung mana pun, jadi pastikan situs web kalian dan subdomain apa pun bekerja di HTTPS sebelum melanjutkan. Mengaktifkan HSTS cukup mudah. Kalian hanya perlu menambahkan header ke file .htaccess di situs kalian. Header yang perlu kalian tambahkan adalah:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Ini menambahkan cookie akses usia maks selama satu tahun, Yang mencakup situs web kalian, dan subdomain apa pun. Setelah browser mengakses situs web, ia tidak akan dapat mengakses versi HTTP situs web yang tidak aman selama setahun. Pastikan bahwa semua subdomain di domain ini termasuk dalam sertifikat SSL, dan HTTPS diaktifkan. Jika kalian lupa ini, subdomain tidak akan dapat diakses setelah kalian menyimpan file .htaccess.
Situs web yang tidak memiliki opsi includeSubDomains dapat membuat pengunjung mengalami kebocoran privasi dengan mengizinkan subdomain memanipulasi cookie. Dengan includeSubDomains diaktifkan, serangan terkait cookie ini tidak akan mungkin.
Catatan: Sebelum menambahkan usia maksimum satu tahun, uji seluruh situs web kalian dengan usia maksimum lima menit menggunakan: max-age = 300;
Google bahkan merekomendasikan agar kalian menguji situs web kalian dan kinerjanya (lalu lintas) dengan nilai satu minggu, dan satu bulan juga sebelum menerapkan usia maksimum dua tahun.
Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains
Membuat Daftar Preload HSTS
Sekarang kalian harus terbiasa dengan HSTS dan mengapa penting bagi situs kalian untuk menggunakannya. Menjaga pengunjung situs web kalian tetap aman saat online harus menjadi elemen kunci dari rencana situs kalian. Agar memenuhi syarat untuk daftar preload HSTS yang digunakan Chrome dan browser lain, situs web kalian harus memenuhi persyaratan berikut:
1. Sajikan sertifikat SSL yang valid.
2. Redirect dari HTTP ke HTTPS pada host yang sama, jika kalian listening pada port 80.
3. Sajikan semua subdomain melalui HTTPS. Secara khusus, kalian harus mendukung HTTPS untuk www.subdomain jika ada catatan DNS untuk subdomain itu.
4. Sajikan tajuk HSTS pada domain dasar untuk permintaan HTTPS:
- Usia maksimal harus minimal 31536000 detik (1 tahun).
- Arahan includeSubDomains harus ditentukan.
- Arahan preload harus ditentukan.
- Jika kalian melayani pengalihan tambahan dari situs HTTPS kalian, pengalihan itu masih harus memiliki header HSTS (bukan halaman yang redirects to).
Jika kalian ingin menambahkan situs web kalian ke daftar preload HSTS, pastikan kalian menambahkan tag preload yang diperlukan. Opsi “preload” menandakan bahwa kalian ingin situs web kalian ditambahkan ke daftar preload HSTS Chrome. Header respons di .htaccess akan terlihat seperti ini:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Admin sarankan kalian menambahkan situs web kalian ke hstspreload.org. Persyaratannya cukup mudah dipenuhi, dan itu akan membantu melindungi pengunjung situs web kalian, dan berpotensi meningkatkan peringkat mesin pencari situs web kalian.
Kesimpulan
Jadi Apa Itu HSTS? HTTP Strict Transport Security (HSTS) adalah direktif server web yang menginformasikan agen pengguna dan browser web bagaimana menangani koneksi melalui header respons yang dikirim di awal dan kembali ke browser.
Sekian artikel Apa Itu HSTS Dan Bagaimana Mengamankan HTTPS. Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…