Baru-baru ini, tularnya beberapa tulisan di Facebook yang mendakwa HTTPS menandakan sesebuah laman web itu berdaftar dengan Bank Negara Malaysia. Ini adalah dakwaan yang dangkal serta meleset dari teori keselamatan web yang sebenar.
Adalah melucukan jika dikatakan bahawa laman web www.google.com berdaftar dengan Bank Negara kerana Google merupakan sebuah syarikat gergasi yang berpangkalan di Amerika Syarikat. Mana mungkin mereka memerlukan pengesahan dan pendaftaran Bank Negara jika benar apa yang di dakwa.
Apakah Sebenarnya HTTPS?
Pernahkah anda melihat pelayar web anda menunjukkan perkataan ‘HTTPS’ di bar pencarinya? Apakah perbezaan antara HTTP dan HTTPS? HTTP (Hyper Text Transfer Protocol) atau Protokol Pemindahan Hiperteks merupakan sebuah protokol untuk memaparkan kandungan web dikomputer anda. Imbuhan ‘S’ di hujung perkataan ‘HTTP’ bermaksud ‘secured’ atau selamat. HTTPS merupakan sebuah keadaan yang menandakan hubungan antara pelayan dan pelayar web adalah selamat serta sah. Ia dijamin melalui penggunaan sistem SSL (Lapisan Soket Selamat).
Untuk memperoleh status ‘selamat’ dan mendapat tanda ‘HTTPS’ ketika anda melayari sesuatu laman web, laman web tersebut perlulah mempunyai sijil digital (digital certificates) yang dikeluarkan oleh Pihak Berkuasa Perakuan (Certificate Authorities). Sijil digital ini digunakan untuk memberi kepastian identiti kepada mana-mana pelayan web yang ingin memaparkan kandungan mereka kepada anda.
Sebagai contoh, syarikat seperti Verisign akan mengeluarkan sijil digital ini kepada laman web yang dikelolakan Bank A supaya pengguna internet (melalui pelayar web) boleh memastikan yang sesebuah hubungan itu sememangnya dibuat antara pelayan web Bank A dengan pengguna tersebut.
Sijil digital yang dikeluarkan oleh mana-mana Pihak Berkuasa Perakuan akan disahkan dan ditandatangani secara digital. Pengesahan ini melibatkan proses penyulitan (encryption) dan cincangan (hashing). Tanpa sijil digital ini, hubungan yang dibuat mungkin didalangi penyamar yang kelihatan seperti Bank A, tetapi sebenarnya bukan Bank A.
Sejarah Ringkas HTTPS
Mutakhir ini, dunia web dan teknologi semakin berkembang dan mencakupi rangkaian ke seluruh pelosok dunia. Disebabkan pengaruh dan capaiannya yang meluas, keselamatan dan sekuriti menjadi sesuatu keperluan untuk menyempurnakan apa-apa perkhidmatan yang disediakan di jaringan sejagat (World Wide Web).
Antara mekanisme sekuriti yang menjadi tulang belakang kepada keampuhan dan keselamatan sistem ini ialah SSL (Secure Socket Layer) ataupun dikenali sebagai Lapisan Soket Selamat.Lapisan Soket Selamat ialah sebuah sistem yang direka oleh Netscape pada tahun 1996, yang bertujuan untuk menyediakan sambungan yang selamat serta sah antara pelayar (browser) dan pelayan (server) web.
SSL jugak sering ditulis bersama TLS (Transport Layer Security) seperti SSL/TLS. IETF (Internet Engineering Task Force) telah menggelar SSL versi ke 3 sebagai TLS, tetapi komuniti internet mengekalkan nama SSL kerana SSL merupakan sebuah sistem yang dibina menggunakan OpenSSL, sebuah perisian popular yang melaksanakan protokol-protokol yang terkandung di dalam SSL/TLS.
Mengapa pentingnya sistem SSL/TLS dan HTTPS?
Sistem SSL/TLS membolehkan transaksi yang selamat untuk perniagaan atas talian. Ia menyediakan kerahsiaan dan pengesahan yang mapan, agar data-data seperti maklumat kredit kad dan identiti pembeli disampaikan tanpa intipan pihak ketiga yang berniat jahat.
Sistem protokol jabat tangan (handshaking) SSL membolehkan sesuatu maklumat disulitkan (encrypted) apabila ia dihantar kepada pelayan web (pengguna) kemudian dinyahsulit (decrypted) oleh pengguna yang sebenar (bukan penyamar) melalui sistem kriptografi tidak simetri (asymmetricalcryptography).
Sistem kriptografi ini menggunakan kekunci awam (public key) dan kekunci persendirian (private key) untuk menyulit dan menyahsulit data.
Syarikat teknologi gergasi seperti Google sudah memberikan komitmen mereka dan memerlukan hubungan HTTPS untuk semua transaksi data sah dan selamat. Hal ini bermakna jika laman web anda tidak mempunyai hubungan HTTPS, Google Chrome akan memberi amaran kepada pengguna lantas memberi imej buruk kepada syarikat anda.
Langkah-Langkah Mendapatkan status HTTPS untuk laman web anda.
1. Menganjur laman web menggunakan alamat IP berdedikasi
Untuk memastikan keselamatan yang kuat dan terjamin, SSL/TLS memerlukan sebuah laman web dianjurkan (hosted) pada alamat IP yang terdedikasi. Selalunya, laman web akan dianjur pada alamat IP yang dikongsi oleh beberapa laman web yang lain.
Dengan alamat IP terdedikasi, anda dan sistem SSL/TLS akan mampu memberi jaminan bahawa apa-apa trafik yang melalui hubungan yang dicipta ditujukan hanya untuk laman web anda dan bukan laman web yang lain.
Jika anda sudah menganjur laman web anda di mana-mana penganjur laman web terkenal, mereka mungkin mempunyai kemudahan untuk menaiktaraf laman web anda untuk menggunakan alamat IP terdedikasi. Barangkali akan terdapat cas-cas tambahan untuk perkhidmatan ini, tetapi demi sekuriti dan keselamatan, cas-cas ini sewajarnya berbaloi.
2. Membeli sijil digital dari Pihak Berkuasa Berakuan (Certificate Authorities)
Membeli sijil digital adalah perlu untuk meyakinkan pengguna bahawa laman web yang terpapar ialah laman web dari penganjur web anda (yang tidak dipalsukan). Anda boleh mendapatkan sijil digital ini di laman web seperti NameCheap atau GeoTrust QuickSSL untuk jenis berbayar. Untuk sijil digital percuma, anda boleh mencuba https://letsencrypt.org.
3. Mengaktifkan sijil digital tersebut
Setelah anda membeli sijil digital ini, anda perlu mendapatkan CSR (Certificate Signing Request) atau Permintaan Pengesahan Sijil. Proses ini paling mudah jika dilakukan di panel anjuran web anda. Bagi contoh c-Panel atau WHM, anda bolehlah ke pautan ‘Generate a SSL and Signing Request’ atau yang serupa dengannya.
Disini, anda perlu mengisikan maklumat mengenai laman web anda seterusnya ia akan mengeluarkan kod yang anda perlu masukkan ke dalam akaun di belian sijil digital anda tadi untuk mengaktifkannya. Kemudian, ia akan menghantar fail sijil tersebut ke emel yang dianjurkan domain laman web anda.
Sebagai contoh, jika laman web anda beralamat www.otakit.com, maka penjual sijil digital tadi akan menghantar fail .crt ke alamat emel [email protected] (atau yang serupa dengannya). Jika anda masih tidak mempunyai akses kepada alamat emel ini, anda perlu membuat akaun agar anda boleh menerima fail sijil digital yang dihantar tersebut.
4. Memasang sijil digital di sistem penganjur web
Untuk memasang sijil digital yang telah anda peroleh, anda hanya perlu menampal kod ke dalam ruang kotak yang disediakan pada pautan ‘Install an SSL Certificate and Setup the Domain’ (jika anda menggunakan WHM.cPanel). Hantar dan anda sudah boleh mengakses laman web anda menggunakan imbuhan HTTPS.
5. Mengemaskini kod di pelayan web anda agar menggunakan sijil digital yang telah dipasang
Setelah memasang sijil digital tadi, laman web anda sudah boleh digunakan dengan imbuhan HTTPS. Namun, ia tidak menjamin bahawa pengguna akan sentiasa boleh mengakses HTTPS jika anda mempunyai laman-laman lain di bawah laman utama anda.
Jika pengguna mengakses laman-laman ini pelayar web masih mungkin membawanya ke versi laman web yang masih tidak selamat atau laman web yang cuba menyamar sebagai anda. Oleh itu, anda perlu meletakkan sedikit kod untuk mengalih arah trafik ke laman kecil ini untuk menjadikannya berstatus HTTPS.
Kod yang perlu diletakkan berbeza mengikut kerangka bahasa pengaturcaraan laman web anda. Untuk memudahkan proses, pastikan anda mengalihkan trafik hanya pada laman yang memproses data-data sensitif. Anda tidak perlu melakukannya untuk semua laman-laman kecil dalam laman web anda.
Sijil SSL/TLS Percuma Letsencrypt.org
Let’s Encrypt adalah pihak berkuasa pensijilan, automatik dan terbuka (Certificate Authority, CA), yang menawarkan SSL/TLS secara percuma. Perkhidmatan ini disediakan oleh Internet Security Research Group (ISRG). Jika bayaran tahunan yang dikenakan oleh syarikat pengeluar sijil SSL/TLS terlampau tinggi atau di luar bajet, Let’s Encrypt adalah alternatif terbaik. Perkhidmatan ini diwujudkan atas kerjasama pelbagai pihak dan bukan dibawah kawalan satu organisasi .
Tujuan ia diedarkan secara percuma adalah kerana Let’s Encrypt ingin mewujudkan web yang lebih selamat dan menghormati privasi. Ia juga bertujuan untuk memberikan faedah kepada komuniti dan terbuka kepada sesiapa sahaja yang ingin menggunakan kod sumber untuk diadaptasikan. Sesiapa sahaja boleh mendapatkan Let’s Encrypt secara percuma tanpa kos dengan syarat, memiliki laman web.
***
Sudahkan anda mendapatkan status HTTPS untuk laman web anda? Apakah masalah-masalah yang anda hadapi dalam proses tersebut? Kongsikan bersama kami.
Saya merupakan salah seorang yang menggunakan Let’s Encrypt SSL.
Sangat mudah dan yang penting, percuma!
Hehehe.
pada mulanya saya tidak kisah..
lama kelamaan terpkasa juga terima perubahan