Meskipun enkripsi yang kuat baru-baru ini menjadi trendi, situs web telah secara rutin menggunakan enkripsi end-to-end yang kuat selama 20 tahun terakhir. Lagi pula, jika situs web tidak dapat dibuat sangat aman, maka tidak ada bentuk perdagangan online seperti belanja atau perbankan yang mungkin dilakukan. Protokol enkripsi yang digunakan untuk ini adalah HTTPS, yang merupakan singkatan dari HTTP Secure (atau HTTP over SSL / TLS). Ini digunakan oleh situs web apa pun yang perlu mengamankan pengguna dan merupakan tulang punggung mendasar dari semua keamanan di internet.


HTTPS juga semakin banyak digunakan oleh situs web yang keamanannya bukan prioritas utama. Hal ini sebagian besar meningkatkan keprihatinan atas privasi internet umum dan masalah keamanan segera setelah wahyu pengawasan massal pemerintah Edward Snowden.

Proyek-proyek seperti inisiatif EFF's Let's Encrypt, program Enkripsi Symantec Everywhere dan Mozilla memilih untuk mendepresiasi hasil pencarian yang tidak dijamin HTTPS, namun, telah mempercepat adopsi umum dari protokol.

Jadi apa yang dilakukan HTTPS?

Ketika Anda mengunjungi situs web HTTP yang tidak aman, semua data yang ditransfer tidak terenkripsi, sehingga siapa pun yang menonton dapat melihat semua yang Anda lakukan saat mengunjungi situs web itu (termasuk hal-hal seperti detail transaksi Anda saat melakukan pembayaran online). Bahkan dimungkinkan untuk mengubah data yang ditransfer antara Anda dan server web.

Dengan HTTPS, pertukaran kunci kriptografis terjadi ketika Anda pertama kali terhubung ke situs web, dan semua tindakan selanjutnya di situs web dienkripsi, dan karenanya tersembunyi dari pengintaian. Perhatikan bahwa siapa pun yang menonton dapat melihat bahwa Anda telah mengunjungi situs web tertentu, tetapi tidak dapat melihat halaman individual apa yang Anda baca, atau data lain yang ditransfer saat berada di situs web tersebut.

Misalnya, situs web ProPrivacy diamankan menggunakan HTTPS. Dengan asumsi bahwa Anda tidak menggunakan saat membaca halaman web ini ISP Anda dapat melihat bahwa Anda telah mengunjungi proprivacy.com, tetapi tidak dapat melihat bahwa Anda membaca artikel khusus ini.

Jika Anda menggunakan VPN, maka penyedia VPN Anda dapat melihat informasi yang sama, tetapi yang bagus akan menggunakan IP yang dibagikan sehingga tidak tahu yang mana dari banyak pengguna yang dikunjungi proprivacy.com, dan itu akan membuang semua log yang berkaitan dengan tetap kunjungi.

Perhatikan bahwa HTTPS menggunakan enkripsi ujung ke ujung, sehingga semua data yang lewat di antara komputer Anda (atau ponsel cerdas, dll.) Dan situs web itu dienkripsi. Ini berarti bahwa Anda dapat dengan aman mengakses situs web HTTPS bahkan ketika terhubung ke hotspot WiFi publik tanpa jaminan dan sejenisnya.

Bagaimana saya tahu jika situs web aman?

Mudah mengetahui apakah situs web yang Anda kunjungi dijamin oleh HTTPS:

  1. Secara keseluruhan, Anda akan melihat ikon gembok yang terkunci di sebelah kiri langsung dari URL utama / kotak pencarian.
  2. Di sebagian besar, alamat web akan dimulai dengan https: //. (Situs web yang tidak aman dimulai dengan http: //, tetapi https: // dan http: // keduanya sering disembunyikan.)

Firefox situs web tanpa jaminan - tanpa HTTPS

Chrome situs web tanpa jaminan

Berikut adalah contoh situs web yang tidak aman (Firefox dan Chrome). Perhatikan bahwa alamat web (URL) tidak dimulai dengan https: dan tidak ada ikon gembok ditampilkan di sebelah kiri bilah pencarian

Situs web aman Firefox

Chrome situs web yang diamankan

Situs web Edge yang aman

Berikut adalah beberapa situs web HTTPS aman di Firefox, Chrome, dan Microsoft Edge. Meskipun semuanya terlihat sedikit berbeda, kita dapat dengan jelas melihat ikon gembok tertutup di sebelah bilah alamat di semuanya. Perhatikan bahwa tidak seperti kebanyakan peramban lain, Edge tidak menampilkan https: // di awal URL. Anda juga akan melihat bahwa ikon dapat berwarna hijau atau abu-abu ...

Apa perbedaan antara ikon gembok hijau dan abu-abu?

Jika ikon gembok ditampilkan, maka situs web aman. Namun, jika ikon berwarna hijau, itu menandakan bahwa situs web telah memberikan browser Anda dengan Extended Validation Certificate (EV). Ini dimaksudkan untuk memverifikasi bahwa sertifikat SSL yang disajikan benar untuk domain dan bahwa nama domain itu milik perusahaan yang Anda harapkan untuk memiliki situs web tersebut..

Secara teori, maka, Anda harus memiliki kepercayaan yang lebih besar pada situs web yang menampilkan gembok hijau. Namun dalam praktiknya, sistem validasi dapat membingungkan.

nwolb

Misalnya, di Inggris, alamat perbankan online NatWest bank (www.nwolb.com) diamankan oleh EV yang dimiliki oleh pengamat biasa yang mungkin dianggap sebagai pesaing utama - Royal Bank of Scotland. Kecuali Anda tahu bahwa NatWest dimiliki oleh RBS, ini dapat menyebabkan ketidakpercayaan Sertifikat, terlepas dari apakah browser Anda telah memberinya ikon hijau.

Kebingungan juga dapat disebabkan oleh kenyataan bahwa browser yang berbeda kadang-kadang menggunakan kriteria yang berbeda untuk menerima Firefox dan Chrome, misalnya, menampilkan gembok hijau ketika mengunjungi Wikipedia.com, tetapi Microsoft Edge menunjukkan ikon abu-abu.

Secara umum, akal sehat harus menang. Jika Anda mengunjungi Google dan URL-nya adalah www.google.com, maka Anda dapat yakin bahwa domain tersebut milik Google, apa pun ikon gemboknya.!

Ikon gembok lainnya

Anda juga dapat menemukan ikon gembok lain yang menunjukkan hal-hal seperti konten campuran (situs web hanya sebagian dienkripsi dan tidak mencegah penyadapan) dan sertifikat SSL yang buruk atau kedaluwarsa. Situs web tersebut adalah tidak aman.

Informasi tambahan

Di semua browser, Anda dapat menemukan informasi tambahan tentang sertifikat SSL yang digunakan untuk memvalidasi koneksi HTTPS dengan mengklik ikon gembok.

HTTPS info lebih lanjut

Sebagian besar browser memungkinkan penggalian lebih lanjut, dan bahkan melihat sertifikat SSL itu sendiri

Bagaimana cara kerja HTTPS sebenarnya?

Nama Hypertext Transfer Protocol (HTTP) pada dasarnya menunjukkan standar tanpa jaminan (itu adalah protokol aplikasi yang memungkinkan halaman web untuk terhubung satu sama lain melalui hyperlink).

Halaman web HTTPS diamankan menggunakan enkripsi TLS, dengan dan algoritma otentikasi ditentukan oleh server web.

Detail TLS

Sebagian besar browser akan memberi Anda detail tentang enkripsi TLS yang digunakan untuk koneksi HTTPS. Ini adalah enkripsi yang digunakan oleh ProPrivacy, seperti yang ditampilkan di Firefox. Informasi lebih lanjut tentang banyak istilah yang digunakan dapat ditemukan di sini

Untuk menegosiasikan koneksi baru, HTTPS menggunakan X.509 Public Key Infrastructure (PKI), sistem enkripsi kunci asimetris di mana server web menyajikan kunci publik, yang didekripsi menggunakan kunci pribadi browser. Untuk memastikan terhadap serangan orang di tengah, X.509 menggunakan Sertifikat HTTPS - file data kecil yang secara digital mengikat kunci kriptografi publik situs web ke detail organisasi.

Sertifikat HTTPS dikeluarkan oleh Otoritas Sertifikat yang diakui (CA) yang mengesahkan kepemilikan kunci publik oleh subjek bernama sertifikat - bertindak dalam istilah kriptografi sebagai pihak ketiga (TTP) yang tepercaya.

Jika sebuah situs web menunjukkan browser Anda sertifikat dari CA yang dikenal, browser Anda akan menentukan situs tersebut asli (a menunjukkan ikon gembok tertutup). Dan seperti yang disebutkan sebelumnya, Extended Validation Certificates (EVs) adalah upaya untuk meningkatkan kepercayaan pada sertifikat SSL ini.

HTTPS Everywhere

Banyak situs web yang dapat digunakan tetapi tidak secara default. Sedemikian sering mungkin untuk mengaksesnya dengan aman hanya dengan mengawali alamat web mereka dengan https: // (daripada: //). Namun, solusi yang jauh lebih baik adalah dengan menggunakan HTTPS Everywhere.

Ini adalah ekstensi peramban sumber terbuka dan gratis yang dikembangkan oleh kolaborasi antara dan Electronic Frontier Foundation. Setelah terinstal, HTTPS Everywhere menggunakan "teknologi pintar untuk menulis ulang permintaan ke situs-situs ini ke HTTPS."

Jika koneksi HTTPS tersedia, ekstensi akan mencoba menghubungkan Anda dengan aman ke situs web melalui HTTPS, bahkan jika ini tidak dilakukan secara default. Jika tidak ada koneksi HTTPS sama sekali, Anda akan terhubung melalui HTTP reguler yang tidak aman.

Dengan HTTPS Everywhere terinstal, Anda akan terhubung ke lebih banyak situs web dengan aman, dan oleh karena itu kami sangat merekomendasikan menginstalnya. HTTP Everywhere tersedia untuk Firefox (termasuk Firefox untuk Android), Chrome dan Opera.

Masalah dengan HTTPS

Sertifikat SSL Palsu

Masalah terbesar dengan HTTPS adalah bahwa seluruh sistem bergantung pada web kepercayaan - kami percaya CA hanya mengeluarkan sertifikat SSL ke pemilik domain terverifikasi. Namun…

Ada sekitar 1.200 CA yang dapat menandatangani sertifikat untuk domain yang akan diterima oleh hampir semua browser. Meskipun menjadi CA melibatkan banyak formalitas (bukan sembarang orang dapat menjadikan dirinya sebagai CA!), Mereka dapat (dan) disandarkan oleh pemerintah (masalah terbesar), diintimidasi oleh penjahat, atau diretas oleh penjahat untuk mengeluarkan kesalahan. sertifikat.

Ini berarti:

  1. Dengan ratusan Otoritas Sertifikat, hanya dibutuhkan satu egg telur buruk ’yang mengeluarkan sertifikat cerdik untuk mengkompromikan seluruh sistem
  2. Setelah sertifikat dikeluarkan, tidak ada cara untuk mencabut sertifikat itu kecuali pembuat browser untuk mengeluarkan pembaruan penuh browser.

Jika browser Anda mengunjungi situs web yang disusupi dan disajikan dengan apa yang tampak seperti sertifikat HTTPS yang valid, itu akan memulai apa yang dianggapnya sebagai koneksi aman, dan akan menampilkan gembok di URL.

Yang menakutkan adalah bahwa hanya satu dari 1200+ CA yang perlu dikompromikan untuk browser Anda menerima koneksi. Seperti yang diamati artikel EFF ini,

Singkatnya: ada banyak cara untuk memecah HTTPS / TLS / SSL hari ini, bahkan ketika situs web melakukan semuanya dengan benar. Seperti yang saat ini diterapkan, protokol keamanan Web mungkin cukup baik untuk melindungi terhadap penyerang dengan waktu dan motivasi terbatas, tetapi protokol tersebut tidak memadai untuk dunia di mana kontes geopolitik dan bisnis semakin banyak dimainkan melalui serangan terhadap keamanan sistem komputer.

Peter Eckersley

Sayangnya, masalah ini masih jauh dari teori. Sayangnya, tidak ada solusi yang diakui secara umum, meskipun bersama dengan EV, penguncian kunci publik digunakan oleh sebagian besar situs web modern dalam upaya untuk mengatasi masalah tersebut..

Dengan menyematkan kunci publik, browser mengaitkan host situs web dengan sertifikat HTTPS atau kunci publik yang diharapkan (asosiasi ini 'disematkan' ke host), dan jika disajikan dengan sertifikat atau kunci yang tidak diharapkan, akan menolak untuk menerima koneksi dan mengeluarkan Anda dengan peringatan.

Electronic Frontier Foundation (EFF) juga memulai proyek Observatorium SSL dengan tujuan menyelidiki semua sertifikat yang digunakan untuk mengamankan internet, mengundang masyarakat untuk mengirimkannya sertifikat untuk dianalisis. Sejauh yang saya tahu, bagaimanapun, proyek ini tidak pernah benar-benar turun dan telah terbengkalai selama bertahun-tahun.

Analisis lalu lintas

Para peneliti telah menunjukkan bahwa analisis lalu lintas dapat digunakan pada koneksi HTTPS untuk mengidentifikasi setiap halaman web yang dikunjungi oleh target pada situs web yang dilindungi HTTPS dengan akurasi 89..

Meskipun mengkhawatirkan, analisis semacam itu akan merupakan serangan yang sangat bertarget terhadap korban tertentu.

Kesimpulan HTTPS

Meskipun tidak sempurna (tapi apa itu?), HTTPS adalah ukuran keamanan yang baik untuk situs web. Jika tidak, maka tidak ada dari miliaran transaksi keuangan dan transfer data pribadi yang terjadi setiap hari di internet akan mungkin, dan internet itu sendiri (dan mungkin ekonomi dunia!) Akan runtuh dalam semalam.

Implementasi HTTPS yang semakin menjadi standar di situs web sangat bagus untuk privasi dan privasi (karena itu membuat pekerjaan NSA dan sejenisnya jauh lebih sulit!).

Hal utama yang harus diingat adalah untuk selalu memeriksa ikon gembok tertutup ketika melakukan apa pun yang membutuhkan keamanan atau privasi di internet. Jika Anda menggunakan koneksi internet yang tidak aman (seperti hotspot WiFi publik), Anda masih dapat menjelajahi web dengan aman selama Anda hanya mengunjungi situs web terenkripsi HTTPS.

Jika karena alasan apa pun Anda khawatir tentang suatu situs web, Anda dapat memeriksa sertifikat SSL-nya untuk melihat apakah itu milik pemilik yang Anda harapkan dari situs web itu..

TL adalah bahwa berkat HTTPS Anda dapat menjelajahi situs web dengan aman dan pribadi, yang bagus untuk ketenangan pikiran Anda!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me