Mesin pencari berhubungan erat dengan kepuasan dan keamanan pengguna. Salah satu perubahan luar biasa pada tahun 2019 adalah pemberitahuan dari browser Chrome bahwa situs web non-https sebagai situs yang tidak aman. Jadi, jika situs Anda tidak menggunaka https, pasti akan ditandai sebagai situs yang tidak aman.
Begini cara kerja algoritma: jika ada 2 situs web yang mirip, maka situs yang menggunakan https lah yanga akan masuk dalam mesin pencarian.
Kesalahan besar yang saya lihat selama ini adalah orang-orang memigrasi situs web ke https tetapi lupa melakukan pengalihan 301 dari versi http ke https. Jadi pada akhirnya mereka memiliki 2 situs: satu di http dan yang satunya lagi di https. Ini adalah sebuah masalah besar karena Google melihat ada dua situs yang berbeda.
Cara menambahkan HTTPS ke situs web Anda secara gratis
Google telah mengumumkan bahwa mulai sejak rilis Chrome versi 68, akan menandai semua halaman HTTP sebagai “Tidak aman” .
Ini adalah dorongan terkuat yang pernah mendorong web menuju enkripsi secara default dan sudah lama datang.
Meskipun ada banyak bukti yang menunjukkan mengapa setiap orang harus ikut serta dalam HTTPS, banyak orang masih tidak melihat manfaat dalam menyajikan situs mereka dengan aman.“
“Mengapa saya membutuhkan https untuk blog ?”
Saya telah menulis tentang nilai HTTPS sebelumnya, tetapi hanya untuk menegaskan kembali:
- HTTPS melindungi pengguna dari serangan Man In the Middle.
- HTTPS diperlukan untuk memanfaatkan banyak fitur baru di browser seperti Service Workers.
- HTTPS sangat memengaruhi tingkat keberhasilan SEO.
Jika Anda tidak yakin, baca doesmysiteneedhttps.com untuk mendapatkan gambaran lengkap mengapa setiap situs web harus disajikan dengan aman.
Dan jika Anda masih belum memahaminya, maka hidup akan menjadi jauh lebih sulit bagi Anda.
Dalam upaya untuk menjauhkan pengguna dari situs yang tidak aman, browser telah mempermalukan situs web yang disajikan secara tidak aman dalam konteks tertentu.
Chrome 56 memulai tren itu dengan menandai halaman dengan kolom login sensitif sebagai “Tidak aman” sementara Chrome 62 memperluas peringatan ini ke semua halaman HTTP yang berisi semua jenis kolom input. Selain itu, peringatan ditampilkan di semua halaman HTTP dalam mode penyamaran terlepas dari apakah halaman tersebut berisi kolom masukan atau tidak.
Firefox juga memperingatkan pengguna ketika mereka mencoba mengisi formulir login yang tidak aman.
Sekarang Chrome telah memutuskan untuk menempatkan peringatan ini di semua halaman HTTP ke depannya. Akhirnya, ikon di samping label “Tidak aman” akan berubah dan teks akan dibuat merah untuk lebih menekankan bahwa halaman HTTP tidak dapat dipercaya.
Untuk mencegah pengguna melihat peringatan ini di situs web Anda, semua yang Anda butuhkan untuk mendapatkan sertifikat SSL yang valid. Kabar baiknya adalah, melakukannya tidak sesulit atau semahal dulu. Sebenarnya saya akan menunjukkan kepada Anda cara menerapkan HTTPS di situs Anda secara gratis menggunakan Cloudflare . Dan itu tidak akan memakan banyak waktu sama sekali.
Mengapa Cloudflare?
CloudFlare dapat membantu Anda mengamankan sertifikat SSL secara gratis terlepas dari infrastruktur sisi server apa yang Anda miliki. Ini juga berfungsi untuk situs yang dihosting di platform yang tidak menyediakan akses server seperti Halaman GitHub , Ghost , dan sejenisnya.
Anda tidak perlu menginstal apa pun atau menulis kode apa pun. Ini menjadikannya opsi yang sangat bagus untuk menerapkan HTTPS di situs web Anda dan waktu penyiapan seharusnya tidak lebih dari 10 menit.
Ini juga memberikan segudang manfaat lain dalam keamanan dan kinerja situs web Anda yang tidak akan saya bahas di sini. Tapi saya akan berbicara sedikit tentang bagaimana semuanya bekerja sehingga Anda bisa mendapatkan ide bagus tentang bagaimana itu bisa melakukan semua hal itu.
Bagaimana Cloudflare bekerja
Cloudflare berada tepat di tengah lalu lintas antara pengunjung situs web Anda dan server Anda. Pengunjung bisa jadi manusia biasa, crawler dan bot (seperti bot mesin pencari) atau peretas. Dengan bertindak sebagai perantara antara server web Anda dan pengunjung ke situs Anda, Cloudflare membantu menyaring semua lalu lintas tidak sah sehingga hanya hal-hal baik yang masuk.
Sekarang Anda mungkin bertanya-tanya apakah semua itu bisa berdampak buruk pada kecepatan situs web Anda, tetapi justru sebaliknya. Cloudflare memiliki pusat data di seluruh dunia, jadi itu hanya akan menggunakan titik akhir terdekat dengan pengunjung Anda yang seharusnya membuat situs Anda jauh lebih cepat daripada sebelumnya.
Sekarang kita tahu cara kerja Cloudflare, mari kita lihat cara menyiapkan situs web di infrastruktur mereka dan cara menggunakan HTTPS secara gratis. Fokus di sini adalah pada fitur-fitur yang disediakan Cloudflare secara gratis, tetapi perhatikan bahwa paket berbayar juga tersedia dengan banyak fitur tambahan.
Menyiapkan situs baru
Setelah Anda mendaftar di Cloudflare, hal pertama yang harus dilakukan adalah menambahkan domain dan memindai catatan DNS.
Setelah pemindaian selesai, semua catatan DNS di domain akan ditampilkan. Anda dapat memilih sub-domain tempat Anda ingin mengaktifkan Cloudflare dan membuat modifikasi yang diinginkan. Setelah Anda siap, klik Lanjutkan untuk melanjutkan ke langkah berikutnya.
Pilih paket gratis dan klik Lanjutkan.
Selanjutnya, Anda harus mengubah server nama pada pencatatan domain Anda ke yang disediakan Cloudflare. Proses untuk melakukan ini pada setiap pencatatan domain sedikit berbeda, jadi periksa dengan pencatatan domain Anda.
Begini tampilannya di Namecheap :
Sekarang Anda harus menunggu perubahan nameserver selesai menyebar. Klik Periksa Ulang Nameserver setelah beberapa saat untuk melihat apakah situs Anda sekarang aktif di Cloudflare. Ini adalah bagian yang paling lama dari penyiapan dan bisa memakan waktu hingga 24 jam, tetapi menurut pengalaman saya, ini membutuhkan waktu kurang dari 5 menit.
Setelah pembaruan server nama Anda divalidasi oleh Cloudflare, situs Anda menjadi aktif di layanan.
Jika Anda ingin benar-benar yakin bahwa pengaturan DNS Anda telah menyebar di mana-mana, What’s My DNS menyediakan cara untuk memeriksa alamat IP yang diselesaikan domain Anda di lokasi yang berbeda.
Anda juga dapat menggunakan dig
atau nslookup
di baris perintah untuk memverifikasi konfigurasi DNS domain Anda.
Dengan cara ini, Anda dapat yakin bahwa semua lalu lintas yang menuju ke domain Anda sekarang dirutekan melalui Cloudflare.
Sebelum Anda mulai mengonfigurasi Cloudflare, pastikan browser Anda tidak menggunakan catatan DNS lama dari cache-nya. Di Chrome dan Firefox, Anda dapat melakukannya dengan menghapus riwayat browser Anda.
Mendapatkan SSL secara gratis
SSL masih merupakan layanan premium dan banyak Otoritas Sertifikat mengenakan biaya dalam jumlah besar sebelum menerbitkan sertifikat SSL. Ini bukan sesuatu yang bisa Anda dapatkan secara gratis di mana saja, tetapi itu berubah dengan cepat di industri ini.
Sekarang setelah Cloudflare berada di tengah lalu lintas web Anda, Anda harus mendapatkan SSL di domain Anda secara otomatis. Diperlukan waktu hingga 24 jam untuk mengaktifkan sertifikat, tetapi menurut pengalaman saya, tidak butuh waktu lama sama sekali.
Setelah sertifikat menjadi aktif, muat situs Anda di browser. Anda akan melihat situs tersebut disajikan melalui HTTPS dan gembok hijau yang bagus di bilah alamat.
Jika Anda melihat informasi lebih lanjut tentang sertifikat, Anda akan melihat Otoritas Sertifikat yang menerbitkannya (Comodo dalam kasus saya) dan tanggal kedaluwarsa. Salah satu hal hebat tentang Cloudflare adalah pembaruan sertifikat dilakukan secara otomatis untuk Anda jadi jangan khawatir.
Perbedaan antara SSL Fleksibel, Penuh, dan Penuh (Ketat)
Cloudflare membuatnya sangat mudah untuk mendapatkan SSL di situs Anda secara gratis tanpa mengonfigurasi apa pun, tetapi itu tidak selalu sama dengan melayani situs Anda melalui SSL langsung dari asalnya.
Ada tiga implementasi SSL Cloudflare. Yang pertama, yang Anda dapatkan secara default, adalah SSL Fleksibel. Dalam hal ini, lalu lintas dienkripsi antara pengguna situs Anda dan Cloudflare tetapi enkripsi ini tidak sampai ke server asal. Cloudflare masih berbicara ke server Anda melalui HTTP biasa.
Ini berarti Man In The Middle (penyedia jasa jaringan Anda) antara Cloudflare dan server Anda dapat melihat lalu lintas. Jika Anda mengumpulkan informasi sensitif di situs web Anda, jangan gunakan opsi ini.
Untuk mendapatkan enkripsi sepenuhnya ke server asal, Anda perlu menggunakan implementasi Penuh atau Penuh (Ketat). Yang pertama mengharuskan Anda untuk menginstal sertifikat yang valid di server Anda, tetapi keaslian sertifikat tidak akan diverifikasi sehingga Anda dapat bertahan dengan sertifikat yang ditandatangani sendiri. Di sisi lain, penerapan Penuh (Ketat) mengharuskan Anda memasang sertifikat SSL valid yang telah ditandatangani oleh Otoritas Sertifikat tepercaya.
Jika Anda tidak ingin membeli SSL dari orang-orang seperti Comodo, Anda bisa mendapatkan sertifikat Origin CA gratis dari Cloudflare yang dapat digunakan dengan opsi Penuh atau Penuh (Ketat) karena dipercaya oleh Cloudflare. Namun perlu diingat bahwa sertifikat ini hanya dipercaya oleh Cloudflare sehingga mereka akan berhenti berfungsi jika Anda memutuskan untuk menghapus situs web Anda dari infrastruktur Cloudflare.
Jika Anda tidak mengontrol lingkungan server Anda, katakanlah jika situs Anda dihosting di Halaman GitHub atau platform serupa, Anda tidak akan dapat menggunakan implementasi Penuh atau Penuh (Ketat) yang berarti meskipun pengguna Anda melihat HTTPS di bilah alamat, lalu lintas tidak akan sampai ke server asal yang dienkripsi.
Tapi itu masih merupakan peningkatan besar dibandingkan dengan tidak ada HTTPS sama sekali karena ini akan melindungi pengguna Anda dari Man In The Middled di sisi klien.
Perkuat penerapan SSL
Apa pun penerapan SSL yang Anda pilih, ada cara untuk memperkuatnya guna memastikan bahwa pengguna tidak pernah dapat mengakses situs Anda melalui HTTP yang tidak aman. Lab SSL Qualys adalah alat yang membantu Anda menjalankan pengujian pada konfigurasi SSL Anda untuk melihat apakah ada ruang untuk perbaikan.
Meskipun saya mendapatkan nilai A di domain saya, jika Anda menelaah hasilnya, Anda akan melihat bahwa pasti ada ruang untuk perbaikan di sisi Key Exchange dan Cipher Strength.
Mari kita lihat beberapa hal yang dapat kita lakukan dalam Cloudflare untuk memperkuat SSL kita dan mendapatkan peringkat yang lebih tinggi.
Paksa HTTPS Di Mana Saja
Setelah Anda menggunakan HTTPS, Anda pasti ingin mencegah pengguna mengakses situs Anda melalui koneksi yang tidak aman. Anda dapat melakukan ini di Cloudflare dengan 301 mengarahkan semua lalu lintas HTTP ke HTTPS.
Di bawah Crypto settings, temukan opsi Always use HTTPS dan nyalakan.
Aktifkan HTTP Strict Transport Security (HSTS)
Masalah dengan hanya 301 mengarahkan lalu lintas HTTP ke HTTPS adalah bahwa permintaan awal yang tidak aman masih melewati kabel yang berarti dapat dibaca oleh siapa saja yang memiliki akses ke lalu lintas.
HSTS adalah header respons yang memperbaiki masalah itu dengan memberi tahu browser bahwa ia mungkin tidak membuat permintaan yang tidak aman ke situs web selama durasi waktu tertentu.
Seperti inilah tampilan tajuk:
strict-transport-security: max-age=31536000
Setelah browser menerima tajuk ini, itu tidak akan membuat permintaan yang tidak aman ke situs Anda selama 31.536.000 detik berikutnya (senilai 1 tahun). Sebaliknya, semua permintaan HTTP akan ditingkatkan secara internal ke HTTPS sebelum dikirim melalui jaringan.
Jika Anda ingin mencegah semua subdomain diakses melalui HTTP, Anda memerlukan includeSubdomains
arahan. Anda juga dapat menambahkan preload
arahan untuk mengizinkan vendor browser memanggang situs Anda ke dalam browser itu sendiri sebagai HTTPS saja.
strict-transport-security: max-age=31536000; includeSubdomains; preload
Setelah Anda mengaktifkan HSTS di domain Anda, Anda dapat yakin bahwa setelah seseorang memuat situs web Anda melalui HTTPS, mereka hanya akan dapat mengaksesnya melalui skema aman untuk selanjutnya.
Jadi sebelum Anda mengaktifkan HSTS di situs Anda, pastikan Anda yakin bahwa semua lalu lintas Anda akan dilayani melalui HTTPS jika tidak, Anda akan mengalami masalah.
Untuk mengaktifkan ini di Cloudflare, buka pengaturan Crypto dan gulir ke bawah ke bagian HTTP Strict Transport Security (HSTS) . Klik Ubah Pengaturan HSTS, aktifkan semua opsi yang relevan dan tekan Simpan .
Dan jika Anda bertanya-tanya, dukungan browser untuk HSTS cukup bagus.
Perbaiki Referensi Skema Tidak Aman
Jika Anda menyematkan sumber daya pasif (seperti gambar) dengan tidak aman di halaman yang aman, browser masih memuatnya dengan baik. Ini hanya melepas gembok hijau dari bilah alamat. Anda dapat melihat contoh kesalahan ini di sini .
Jika Anda memeriksa konsol browser, Anda akan melihat beberapa peringatan atau kesalahan yang mengarah ke sumber daya yang disematkan secara tidak aman. Dalam hal ini
<img class="mixed" src="http://mixed.badssl.com/image.jpg" alt="HTTP image">
Untuk mengatasinya, cukup ubah skema ke HTTPS dan semuanya akan baik-baik saja.
<img class="mixed" src="https://mixed.badssl.com/image.jpg" alt="HTTP image">
Jika Anda memiliki banyak konten di situs yang disematkan secara tidak aman, mencari dan memperbaikinya bisa jadi cukup membosankan. Tetapi Cloudflare dapat membantu Anda di sini lagi dengan fitur Penulisan Ulang HTTPS Otomatis .
Untuk memastikan bahwa tidak ada konten di situs Anda yang dapat disajikan secara tidak aman, pertimbangkan untuk menerapkan Kebijakan Keamanan Konten di situs Anda.
Sekarang mari kita lihat bagaimana perubahan di atas telah memengaruhi laporan Lab SSL kami. Saya telah menjalankan kembali pengujian di domain saya, dan sekarang kami mendapatkan peringkat A +.
Jika Anda memeriksa peringkat individu di grafik, tidak ada yang berubah tetapi kami masih mendapatkan penerapan SSL yang benar-benar aman secara gratis dan hanya dalam beberapa menit.
Alternatif untuk Cloudflare untuk SSL gratis
Jika Anda memilih untuk tidak menggunakan Cloudflare karena alasan tertentu, ada cara lain untuk mendapatkan situs web Anda di HTTPS secara gratis. Berikut dua opsi yang bisa Anda coba:
1. Pastikan Situs Anda Terenkripsi
Jika Anda memiliki kendali atas server Anda, Anda dapat dengan cepat menerapkan HTTPS di situs Anda menggunakan Let’s Encrypt . Mereka menawarkan sertifikat SSL gratis yang bertahan selama tiga bulan dan dapat diperpanjang secara otomatis.
Meskipun Anda tidak memiliki akses server, hubungi host web Anda. Beberapa host mengizinkan Anda menggunakan Let’s Encrypt SSL tanpa menyediakan akses shell.
2. Manajer Sertifikat Amazon AWS
Amazon juga menerbitkan dan secara otomatis memperbarui sertifikat SSL untuk pelanggan di infrastruktur Amazon Web Services (AWS). Dengan begitu, Anda dapat mengatur dan melupakan HTTPS di situs Anda jika Anda menggunakan sumber daya AWS seperti Cloudfront.
Terlepas dari bagaimana Anda menerapkan HTTPS di situs web Anda, yang paling penting adalah memastikan Anda mendapatkan penyiapan sesegera mungkin sehingga pengguna Anda mendapatkan manfaat keamanan yang diberikannya dan Anda tidak ketinggalan beberapa fitur keren di browser yang akan membantu Anda menciptakan pengalaman web yang lebih baik.
Masih butuh bantuan?
Tools yang digunakan | Pendalaman Materi |
---|---|
– Cloudflare | – Cukup jelas |