Posted on

Apa Itu HSTS Dan Bagaimana mengimplementasikan HSTS

Apa Itu HSTS

wpJakarta.Com – Apa Itu HSTS Dan Bagaimana Mengimplementasikan HSTS Pada Sebuah Website. Berbicara tentang mendesain website, mungkin saat ini adalah perkara mudah. Namun website, seharusnya bukan hanya sekedar perkara membuat website.

Apa Itu HSTS Dan Bagaimana mengimplementasikan HSTS

Namun harus di pikirkan juga bagaimana memanage secara berkelanjutan website tersebut. Termasuk perlindungan data pengguna. Apalagi website toko online, atau website yang menerima kunjungan (registrasi dan login) dari pengguna lain. Sudah menjadi kewajiban bagi pengelola / pemilik website untuk memberikan perlindungan terhadap data pengunjung. Jika tidak bisa memberikan perlindungan pada data pengunjung, maka sebaiknya jangan menjaring atau menyimpan data pengunjung tersebut.

Baca juga

Apa itu HSTS

Artikel tentang apa itu HSTS, HSTS adalah singkatan dari HTTP Strict Transport Security. Metode yang digunakan oleh situs website untuk menyatakan bahwa server, konten dan secara keseluruhan website mereka hanya boleh diakses menggunakan koneksi aman (HTTPS). Jika situs website menyatakan kebijakan HSTS, maka browser harus menolak semua koneksi HTTP dan mencegah penggunanya menerima sertifikat SSL yang tidak aman. HSTS saat ini sudah di dukung oleh sebagian besar browser web utama (chrome, firefox, edge, IE, safari, opera dan lain-lain).

Untuk apa itu HSTS

Tentang apa itu HSTS. HTTP Strict Transport Security didefinisikan sebagai standar keamanan web pada tahun 2012 di RFC 6797. Tujuan utama pembuatan standar HSTS adalah untuk membantu menghindari “serangan man-in-the-middle” yang menggunakan stripping SSL. SSL stripping adalah teknik di mana hacker akan memaksa browser untuk terhubung ke situs menggunakan HTTP sehingga mereka dapat memindai paket dan mencegat atau mengubah informasi informasi sensitif. HSTS juga merupakan metode yang baik untuk melindungi website dari pembajakan cookie.

Artikel tentang WordPress

Apa itu HSTS dan cara kerjanya

Ketika kita ingin mengakses situs website dengan memasukkan alamat URL di browser. biasanya orang tidak akan mengetik http atau https. Misalnya, orang hanya akan mengetik “wpjakarta.com”, tidak mengetik http://wpjakarta.com atau tidak juga mengetik secara lengkap https://wpjakarta.com. Dalam kasus seperti itu, browser berasumsi bahwa pengunjung ingin menggunakan protokol HTTP sehingga ia membuat permintaan HTTP lebih dulu ke wpjakarta.com. Pada tahap ini, server website membuat redirection (301) dari HTTP ke HTTPS. Pada tahap proses inilah metode keamanan HSTS mulai menggunakan header respons HTTP.

  • Singkatnya kira-kira seperti berikut :
    • Tanpa HSTS : Pengunjung mengetik URL –> Request HTTP (Tidak aman) –> Request HTTPS –> Server membalas dengan HTTPS.
    • Dengan HSTS : Pengunjung mengetik URL –> Server membalas dengan HTTPS.

Bagaimana mengimplementasikan HSTS

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload. Perintah di atas akan memberikan instruksi khusus untuk browser website. Mulai sekarang, setiap koneksi ke situs dan subdomainnya untuk dua tahun ke depan (63072000 detik) sejak header ini diterima harus berupa koneksi HTTPS. Koneksi HTTP tidak diperbolehkan sama sekali. Jika browser menerima permintaan untuk memuat sumber daya menggunakan HTTP, browser harus mencoba permintaan HTTPS sebagai gantinya. Jika HTTPS tidak tersedia, koneksi harus diakhiri alias website tidak dapat di akses.

Tips-trik WooCommerce

Apa itu HSTS dan konsekwensinya tanpa valid SSL

Jika sertifikat SSL tidak valid, server website tidak akan dapat membuat koneksi (situs website menjadi tidak bisa di akses). Baca juga : https://wpjakarta.com/blog/cara-pasang-ssl-gratis-cpanel/. Biasanya, jika sertifikat SSL tidak valid browser akan menampilkan peringatan agar menghindari website tersebut seolah situs website tersebut berbahaya dan dapat membuat “praktik ilegal”. Itu karena biasanya server website tersebut hanya melayani koneksi HTTPS. Namun karena masalah SSL yang tidak valid maka browser melakukan pembatasan karena di anggap terdapat aktivitas tidak biasa.

Caranya agar website dapat kembali di akses, maka harus di lakukan “permintaan” untuk mengeluarkan domain anda dari daftar HSTS browser. Namun kabarnya permintaan untuk mengeluarkan domain dari daftar HSTS browser bukanlah hal yang bisa cepat dilakukan. Paling tidak hal tersebut dapat mempengaruhi SEO website. Maka yang harus di perhatikan adalah pastikan bahwa website selalu terintegrasi dengan SSL yang valid.

Apakah HSTS benar benar aman ?

HSTS di pastikan aman, paling tidak di bandingkan dengan situs website tanpa HSTS. Namun kabarnya ada satu metode serangan yang saat ini diketahui yang dapat digunakan untuk melewati HSTS. Yaitu serangan berbasis NTP. Tentang bagaimana memuat situs website ke dalam daftar preload HSTS, kunjungi artikel kami berikut. https://wpjakarta.com/blog/cara-mengaktifkan-hsts-website-wordpress/. Untuk mengeleuarkan dari daftar HSTS di masing-masing browser, baca artikel berikut.