HTTPS
HTTP |
---|
Metode permintaan |
Kotak kepala |
Kode status |
Metode kontrol akses keamanan |
Hypertext Transfer Protocol Secure (HTTPS) adalah ekstensi dari Hypertext Transfer Protocol (HTTP). Ini digunakan untuk komunikasi aman melalui jaringan komputer, dan banyak digunakan di Internet. Dalam HTTPS, protokol komunikasi dienkripsi menggunakan Transport Layer Security (TLS) atau, sebelumnya, Secure Sockets Layer (SSL). Oleh karena itu, protokol ini juga disebut sebagai HTTP over TLS, atau HTTP over SSL.
Motivasi utama untuk HTTPS adalah otentikasi situs web yang diakses, dan perlindungan privasi dan integritas data yang dipertukarkan saat dalam proses. Ini melindungi terhadap serangan man-in-the-middle, dan enkripsi komunikasi dua arah antara klien dan server melindungi komunikasi terhadap penyadapan dan gangguan.[1] Dalam praktiknya, ini memberikan jaminan yang masuk akal bahwa seseorang berkomunikasi dengan situs web yang dimaksud tanpa gangguan dari penyerang.
Aspek otentikasi HTTPS mengharuskan pihak ketiga tepercaya untuk menandatangani sertifikat digital sisi-server. Ini secara historis merupakan operasi yang mahal, yang berarti koneksi HTTPS yang sepenuhnya terautentikasi biasanya hanya ditemukan pada layanan transaksi pembayaran aman dan sistem informasi perusahaan aman lainnya di World Wide Web. Pada 2016, kampanye oleh Electronic Frontier Foundation dengan dukungan pengembang web browser menyebabkan protokol menjadi lebih lazim.[2]
Gambaran
Skema Uniform Resource Identifier (URI) HTTPS memiliki sintaks penggunaan yang identik dengan skema HTTP. Namun, HTTPS memberi sinyal peramban untuk menggunakan lapisan enkripsi tambahan SSL / TLS untuk melindungi lalu lintas. SSL / TLS sangat cocok untuk HTTP, karena dapat memberikan perlindungan bahkan jika hanya satu sisi komunikasi yang diautentikasi. Ini adalah kasus dengan transaksi HTTP melalui Internet, di mana biasanya hanya server yang diautentikasi (oleh klien yang memeriksa sertifikat server).
HTTPS membuat saluran aman melalui jaringan yang tidak aman. Ini memastikan perlindungan yang wajar dari penyadap dan serangan man-in-the-middle, asalkan suite sandi yang memadai digunakan dan bahwa sertifikat server diverifikasi dan dipercaya.
Penggunaan di situs web
Pada April 2018, 33,2% dari 1.000.000 situs web teratas Alexa menggunakan HTTPS sebagai default,[3] 57,1% dari 137.971 situs web paling populer di Internet memiliki implementasi HTTPS yang aman,[4] dan 70% dari pemuatan halaman (diukur oleh Firefox Telemetry) menggunakan HTTPS.[5]
Integrasi peramban
Sebagian besar peramban menampilkan peringatan jika mereka menerima sertifikat yang tidak valid. Peramban yang lebih lama, saat menghubungkan ke situs dengan sertifikat yang tidak valid, akan menghadirkan kotak dialog kepada pengguna yang menanyakan apakah mereka ingin melanjutkan. Peramban yang lebih baru menampilkan peringatan di seluruh jendela. Peramban yang lebih baru juga secara jelas menampilkan informasi keamanan situs di bilah alamat. Sertifikat validasi diperpanjang mengubah bilah alamat menjadi hijau di peramban yang lebih baru. Sebagian besar peramban juga menampilkan peringatan kepada pengguna saat mengunjungi situs yang berisi campuran konten terenkripsi dan tidak terenkripsi. Selain itu, banyak filter web mengembalikan peringatan keamanan saat mengunjungi situs web terlarang.
-
Banyak peramban internet, termasuk Firefox (diperlihatkan di sini), menggunakan bilah alamat untuk memberi tahu pengguna bahwa koneksi mereka aman, biasanya akan ada nama entitas untuk sertifikat keamanan Extended Validation.
-
Sebagian besar peramban internet memperingatkan pengguna ketika mengunjungi situs yang memiliki sertifikat keamanan tidak valid.
Electronic Frontier Foundation, berpendapat bahwa "Di dunia yang ideal, setiap permintaan web dapat default ke HTTPS", telah menyediakan add-on yang disebut HTTPS Everywhere untuk Mozilla Firefox, Google Chrome, Chromium, dan Android, yang memungkinkan HTTPS secara default untuk ratusan situs web yang sering digunakan.[6]
Teknis
Perbedaan dari HTTP
URL HTTPS dimulai dengan "https://" dan menggunakan port 443 secara default, sedangkan, HTTP URL dimulai dengan "http://" dan gunakan port 80 secara default.
HTTP tidak dienkripsi dan karenanya rentan terhadap serangan man-in-the-middle dan penyadapan, yang dapat memungkinkan penyerang mendapatkan akses ke akun situs web dan informasi sensitif, dan memodifikasi halaman web untuk menyuntikkan malware atau iklan. HTTPS dirancang untuk menahan serangan semacam itu dan dianggap aman terhadap serangan itu (dengan pengecualian implementasi HTTPS yang menggunakan versi SSL yang sudah tidak digunakan lagi).
Pengaturan server
Untuk menyiapkan server web untuk menerima koneksi HTTPS, administrator harus membuat sertifikat kunci publik untuk server web. Sertifikat ini harus ditandatangani oleh otoritas sertifikat tepercaya agar peramban web dapat menerimanya tanpa peringatan. Otoritas menyatakan bahwa pemegang sertifikat adalah operator dari server web yang menyajikannya. Peramban web umumnya didistribusikan dengan daftar sertifikat penandatanganan otoritas sertifikat utama sehingga mereka dapat memverifikasi sertifikat yang ditandatangani oleh mereka.
Sejarah
Netscape Communications menciptakan HTTPS pada 1994 untuk peramban web Netscape Navigatornya.[7] Awalnya, HTTPS digunakan dengan protokol SSL. Saat SSL berkembang menjadi Transport Layer Security (TLS), HTTPS secara resmi ditentukan oleh RFC 2818 pada Mei 2000. Google mengumumkan pada Februari 2018 bahwa browser Chrome-nya akan menandai situs HTTP sebagai "Tidak Aman" setelah Juli 2018.[8] Langkah ini untuk mendorong pemilik situs web untuk menerapkan HTTPS, sebagai upaya untuk mengamankan internet.
Keamanan
Keamanan HTTPS adalah TLS yang mendasarinya, yang biasanya menggunakan kunci publik dan pribadi jangka panjang untuk menghasilkan kunci sesi jangka pendek, yang kemudian digunakan untuk mengenkripsi aliran data antara klien dan server. Sertifikat X.509 digunakan untuk mengotentikasi server (dan terkadang klien juga). Sebagai konsekuensinya, otoritas sertifikat dan sertifikat kunci publik diperlukan untuk memverifikasi hubungan antara sertifikat dan pemiliknya, serta untuk menghasilkan, menandatangani, dan mengelola validitas sertifikat. Meskipun ini bisa lebih bermanfaat daripada memverifikasi identitas melalui jaringan kepercayaan, pengungkapan pengawasan massal 2013 menarik perhatian otoritas sertifikat sebagai titik lemah potensial yang memungkinkan serangan man-in-the-middle.[9]
Lihat pula
- Bullrun (program dekripsi) - program anti-enkripsi rahasia yang dijalankan oleh Badan Keamanan Nasional AS
- Keamanan komputer
- HTTPsec
- Protokol diameter
Referensi
- ^ "HTTPS Everywhere FAQ". Electronic Frontier Foundation (dalam bahasa Inggris). 2016-11-07. Diakses tanggal 2020-07-04.
- ^ "Encrypting the Web". Electronic Frontier Foundation (dalam bahasa Inggris). Diakses tanggal 2020-07-04.
- ^ "HTTPS usage statistics on top 1M websites". STATOPERATOR (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-02-09. Diakses tanggal 2020-07-04.
- ^ "Qualys SSL Labs - SSL Pulse". www.ssllabs.com. Diakses tanggal 2020-07-04.
- ^ "Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates". letsencrypt.org. Diakses tanggal 2020-07-04.
- ^ Eckersley, Peter (2010-06-17). "Encrypt the Web with the HTTPS Everywhere Firefox Extension". Electronic Frontier Foundation (dalam bahasa Inggris). Diakses tanggal 2020-07-04.
- ^ Walls, Colin (2006). Embedded Software: The Works (dalam bahasa Inggris). Elsevier. ISBN 978-0-7506-7954-1.
- ^ "A secure web is here to stay". Chromium Blog (dalam bahasa Inggris). Diakses tanggal 2020-07-04.
- ^ Singel, Ryan (2010-03-24). "Law Enforcement Appliance Subverts SSL". Wired. ISSN 1059-1028. Diakses tanggal 2020-07-04.
Pranala luar
- RFC 2818: HTTP Over TLS
- RFC 5246: Protokol Keamanan Lapisan Transportasi 1.2
- RFC 6101: Protokol Lapisan Soket Aman (SSL) Versi 3.0
- Bagaimana cara kerja HTTPS ... dalam komik!