HTTPS

Hypertext Transfer Protocol Secure (HTTPS) adalah ekstensi dari Hypertext Transfer Protocol (HTTP). Ini digunakan untuk komunikasi aman melalui jaringan komputer, dan banyak digunakan di Internet.^[1] Dalam HTTPS, protokol komunikasi dienkripsi menggunakan Transport Layer Security (TLS) atau, sebelumnya, Secure Sockets Layer (SSL). Oleh karena itu, protokol ini juga disebut sebagai HTTP over TLS,^[2] atau HTTP over SSL.

Motivasi utama untuk HTTPS adalah otentikasi situs web yang diakses, dan perlindungan privasi dan integritas data yang dipertukarkan saat dalam proses. Ini melindungi terhadap serangan man-in-the-middle, dan enkripsi komunikasi dua arah antara klien dan server melindungi komunikasi terhadap penyadapan dan gangguan.^[3] Dalam praktiknya, ini memberikan jaminan yang masuk akal bahwa seseorang berkomunikasi dengan situs web yang dimaksud tanpa gangguan dari penyerang.

Aspek otentikasi HTTPS mengharuskan pihak ketiga tepercaya untuk menandatangani sertifikat digital sisi-server. Ini secara historis merupakan operasi yang mahal, yang berarti koneksi HTTPS yang sepenuhnya terautentikasi biasanya hanya ditemukan pada layanan transaksi pembayaran aman dan sistem informasi perusahaan aman lainnya di World Wide Web. Pada 2016, kampanye oleh Electronic Frontier Foundation dengan dukungan pengembang web browser menyebabkan protokol menjadi lebih lazim.^[4]

Gambaran

 

URL dimulai dengan skema HTTPS dan label nama domain WWW

Skema Uniform Resource Identifier (URI) HTTPS memiliki sintaks penggunaan yang identik dengan skema HTTP. Namun, HTTPS memberi sinyal peramban untuk menggunakan lapisan enkripsi tambahan SSL / TLS untuk melindungi lalu lintas. SSL / TLS sangat cocok untuk HTTP, karena dapat memberikan perlindungan bahkan jika hanya satu sisi komunikasi yang diautentikasi. Ini adalah kasus dengan transaksi HTTP melalui Internet, di mana biasanya hanya server yang diautentikasi (oleh klien yang memeriksa sertifikat server).

HTTPS membuat saluran aman melalui jaringan yang tidak aman. Ini memastikan perlindungan yang wajar dari penyadap dan serangan man-in-the-middle, asalkan suite sandi yang memadai digunakan dan bahwa sertifikat server diverifikasi dan dipercaya.

Penggunaan di situs web

Pada April 2018, 33,2% dari 1.000.000 situs web teratas Alexa menggunakan HTTPS sebagai default,^[5] 57,1% dari 137.971 situs web paling populer di Internet memiliki implementasi HTTPS yang aman,^[6] dan 70% dari pemuatan halaman (diukur oleh Firefox Telemetry) menggunakan HTTPS.^[7]

Integrasi peramban

Sebagian besar peramban menampilkan peringatan jika mereka menerima sertifikat yang tidak valid. Peramban yang lebih lama, saat menghubungkan ke situs dengan sertifikat yang tidak valid, akan menghadirkan kotak dialog kepada pengguna yang menanyakan apakah mereka ingin melanjutkan. Peramban yang lebih baru menampilkan peringatan di seluruh jendela. Peramban yang lebih baru juga secara jelas menampilkan informasi keamanan situs di bilah alamat. Sertifikat validasi diperpanjang mengubah bilah alamat menjadi hijau di peramban yang lebih baru. Sebagian besar peramban juga menampilkan peringatan kepada pengguna saat mengunjungi situs yang berisi campuran konten terenkripsi dan tidak terenkripsi. Selain itu, banyak filter web mengembalikan peringatan keamanan saat mengunjungi situs web terlarang.

Electronic Frontier Foundation, berpendapat bahwa "Di dunia yang ideal, setiap permintaan web dapat default ke HTTPS", telah menyediakan add-on yang disebut HTTPS Everywhere untuk Mozilla Firefox, Google Chrome, Chromium, dan Android, yang memungkinkan HTTPS secara default untuk ratusan situs web yang sering digunakan.^[8]

Teknis

Perbedaan dari HTTP

URL HTTPS dimulai dengan "https://" dan menggunakan port 443 secara default, sedangkan, HTTP URL dimulai dengan "http://" dan gunakan port 80 secara default.

HTTP tidak dienkripsi dan karenanya rentan terhadap serangan man-in-the-middle dan penyadapan, yang dapat memungkinkan penyerang mendapatkan akses ke akun situs web dan informasi sensitif, dan memodifikasi halaman web untuk menyuntikkan malware atau iklan. HTTPS dirancang untuk menahan serangan semacam itu dan dianggap aman terhadap serangan itu (dengan pengecualian implementasi HTTPS yang menggunakan versi SSL yang sudah tidak digunakan lagi).

Pengaturan server

Untuk menyiapkan server web untuk menerima koneksi HTTPS, administrator harus membuat sertifikat kunci publik untuk server web. Sertifikat ini harus ditandatangani oleh otoritas sertifikat tepercaya agar peramban web dapat menerimanya tanpa peringatan. Otoritas menyatakan bahwa pemegang sertifikat adalah operator dari server web yang menyajikannya. Peramban web umumnya didistribusikan dengan daftar sertifikat penandatanganan otoritas sertifikat utama sehingga mereka dapat memverifikasi sertifikat yang ditandatangani oleh mereka.

Sejarah

Netscape Communications menciptakan HTTPS pada 1994 untuk peramban web Netscape Navigatornya.^[9] Awalnya, HTTPS digunakan dengan protokol SSL. Saat SSL berkembang menjadi Transport Layer Security (TLS), HTTPS secara resmi ditentukan oleh RFC 2818 pada Mei 2000. Google mengumumkan pada Februari 2018 bahwa browser Chrome-nya akan menandai situs HTTP sebagai "Tidak Aman" setelah Juli 2018.^[10] Langkah ini untuk mendorong pemilik situs web untuk menerapkan HTTPS, sebagai upaya untuk mengamankan internet.

Keamanan

Artikel utama: Transport Layer Security § Keamanan

Keamanan HTTPS adalah TLS yang mendasarinya, yang biasanya menggunakan kunci publik dan pribadi jangka panjang untuk menghasilkan kunci sesi jangka pendek, yang kemudian digunakan untuk mengenkripsi aliran data antara klien dan server. Sertifikat X.509 digunakan untuk mengotentikasi server (dan terkadang klien juga). Sebagai konsekuensinya, otoritas sertifikat dan sertifikat kunci publik diperlukan untuk memverifikasi hubungan antara sertifikat dan pemiliknya, serta untuk menghasilkan, menandatangani, dan mengelola validitas sertifikat. Meskipun ini bisa lebih bermanfaat daripada memverifikasi identitas melalui jaringan kepercayaan, pengungkapan pengawasan massal 2013 menarik perhatian otoritas sertifikat sebagai titik lemah potensial yang memungkinkan serangan man-in-the-middle.^[11]

Lihat pula

• Bullrun (program dekripsi) - program anti-enkripsi rahasia yang dijalankan oleh Badan Keamanan Nasional AS
• Keamanan komputer
• HTTPsec
• Protokol diameter

Referensi

Pranala luar

• HTTP Over TLS

• : Protokol Keamanan Lapisan Transportasi 1.2

  Protokol Lapisan Soket Aman (SSL) Versi 3.0

• Bagaimana cara kerja HTTPS ... dalam komik!

1. ""What is HTTPS?"". www.instantssl.com. Diarsipkan dari versi asli tanggal 2015-02-12. Diakses tanggal 2020-07-04. 
2. Rescorla, E. "HTTP Over TLS". tools.ietf.org (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2020-10-29. Diakses tanggal 2020-07-04. 
3. "HTTPS Everywhere FAQ". Electronic Frontier Foundation (dalam bahasa Inggris). 2016-11-07. Diarsipkan dari versi asli tanggal 2018-11-14. Diakses tanggal 2020-07-04. 
4. "Encrypting the Web". Electronic Frontier Foundation (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-11-18. Diakses tanggal 2020-07-04. 
5. "HTTPS usage statistics on top 1M websites". STATOPERATOR (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-02-09. Diakses tanggal 2020-07-04. 
6. "Qualys SSL Labs - SSL Pulse". www.ssllabs.com. Diarsipkan dari versi asli tanggal 2021-03-08. Diakses tanggal 2020-07-04. 
7. "Let's Encrypt Stats - Let's Encrypt - Free SSL/TLS Certificates". letsencrypt.org. Diarsipkan dari versi asli tanggal 2023-01-15. Diakses tanggal 2020-07-04. 
8. Eckersley, Peter (2010-06-17). "Encrypt the Web with the HTTPS Everywhere Firefox Extension". Electronic Frontier Foundation (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2023-03-26. Diakses tanggal 2020-07-04. 
9. Walls, Colin (2006). Embedded Software: The Works (dalam bahasa Inggris). Elsevier. ISBN 978-0-7506-7954-1. Diarsipkan dari versi asli tanggal 2023-04-02. Diakses tanggal 2020-07-04. 
10. "A secure web is here to stay". Chromium Blog (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-04-24. Diakses tanggal 2020-07-04. 
11. Singel, Ryan (2010-03-24). "Law Enforcement Appliance Subverts SSL". Wired. ISSN 1059-1028. Diarsipkan dari versi asli tanggal 2023-03-17. Diakses tanggal 2020-07-04.