Jika Anda mengumpulkan informasi sensitif apa pun di situs web Anda (termasuk email dan kata sandi), maka Anda harus aman. Salah satu cara terbaik untuk menjaga diri Anda tetap aman adalah dengan mengaktifkan sertifikat HTTPS, juga dikenal sebagai SSL (Secure Sockets Layers), sehingga semua informasi yang masuk dan dari server Anda dienkripsi secara otomatis. Sertifikat HTTPS mencegah peretas meretas informasi rahasia pengguna Anda saat disimpan di Internet. Mereka akan merasa aman saat melihat sertifikat HTTPS saat mengakses situs Anda - mengetahui bahwa situs Anda dilindungi oleh sertifikat keamanan.
Manfaat sertifikat
Hal terbaik tentang sertifikat SSL, seperti halnya HTTPS, adalah mudah disiapkan, dan setelah selesai, Anda harus mengarahkan orang untuk menggunakan sertifikat HTTPS alih-alih HTTP. Jika Anda mencoba mengakses situs Anda dengan menempatkan https:// di depan URL Anda sekarang, Anda akan mendapatkan kesalahan sertifikat HTTPS. Ini karena Anda belum menginstal sertifikat SSL HTTPS. Tapi jangan khawatir, kami akan segera menyiapkannya!
Pengunjung Anda akan merasa lebih aman di situs Anda ketika mereka melihat sertifikat HTTPS saat mengakses situs Anda- mengetahui bahwa itu dilindungi oleh sertifikat keamanan.
Apa itu
HTTP atau HTTPS ditampilkan di awal setiap URL situs web di browser web. HTTP adalah singkatan dari Hypertext Transfer Protocol dan S dalam HTTPS adalah singkatan dari Secure. Secara umum, ini menjelaskan protokol pengiriman data antara browser Anda dan situs web yang Anda lihat.
Sertifikat HTTPS memastikan bahwa semua komunikasi antara browser Anda dan situs web yang Anda lihat dienkripsi. Ini berarti aman. Hanya komputer penerima dan pengirim yang dapat melihat informasi saat data sedang ditransfer (orang lain dapat mengaksesnya, tetapi tidak dapat membacanya). Di situs aman, browser web menampilkan ikon kunci di area URL untuk memberi tahu Anda.
HTTPS harus ada di situs web mana pun yang mengumpulkan kata sandi, pembayaran, informasi medis, atau data sensitif lainnya. Tetapi bagaimana jika Anda bisa mendapatkan sertifikat SSL gratis dan valid untuk domain Anda?
Bagaimana cara kerja perlindungan situs web?
Untuk mengaktifkan sertifikat keamanan HTTPS, Anda perlu menginstal SSL (Secure Socket Layer). Ini berisi kunci publik yang diperlukan untuk memulai sesi dengan aman. Saat koneksi HTTPS ke halaman web diminta, situs mengirimkan sertifikat SSL ke browser Anda. Mereka kemudian memulai "jabat tangan SSL", yang melibatkan berbagi "rahasia" untuk membuat koneksi yang aman antara browser Anda dan situs web.
SSL Standar dan Diperpanjang
Jika situs menggunakan sertifikat SSL standar, Anda akan melihat ikon kunci di area URL browser Anda. Jika sertifikat Extended Validation (EV) digunakan, bilah alamat atau URL akan berwarna hijau. Standar EV SSL lebih unggul dari standar SSL. EV SSL memberikan bukti identitas pemilik domain. Memperoleh sertifikasi EV SSL juga mengharuskan pelamar melalui proses evaluasi yang ketat untuk memverifikasi keaslian dan kepemilikan mereka.
Apa yang terjadi jika Anda menggunakan HTTPS tanpa sertifikat?
Bahkan jika situs web Anda tidak menerima atau membagikan data sensitif, ada beberapa alasan mengapa Anda mungkin ingin memiliki situs web yang aman dan menggunakan sertifikat SSL gratis dan valid untuk domain Anda.
Kinerja. SSL dapat meningkatkan waktu yang diperlukan untuk memuat halaman.
Optimasi mesin pencari (SEO). Tujuan Google adalah menjaga internet tetap aman dan terlindungi untuk semua orang, bukan hanya mereka yang menggunakan Google Chrome, Gmail, dan Drive, misalnya. Perusahaan mengatakan bahwa keamanan akan menjadi faktor dalam menentukan peringkat situs dalam hasil pencarian. Sejauh ini ini tidak cukup. Namun, jika Anda memiliki situs web yang aman dan pesaing Anda tidak, peringkat situs Anda mungkin lebih tinggi, yang mungkin diperlukan untuk meningkatkan popularitasnya dari halaman hasil pencarian.
Jika situs Anda tidak aman dan mengumpulkan sandi atau kartu kredit, pengguna Chrome 56 (dirilis Januari 2017) akan melihat peringatan bahwabahwa situs tersebut tidak aman. Pengunjung yang tidak terbiasa dengan teknologi (sebagian besar pengguna situs web) mungkin terkejut melihat kotak "kesalahan sertifikat HTTPS" dan meninggalkan situs Anda hanya karena mereka tidak mengerti apa artinya. Di sisi lain, jika situs Anda aman, itu bisa membuat pengunjung merasa lebih nyaman, membuat mereka lebih cenderung mengisi formulir pendaftaran atau meninggalkan komentar di situs Anda. Google memiliki rencana jangka panjang untuk menampilkan semua situs HTTP sebagai tidak aman di Chrome.
Di mana saya bisa mendapatkan sertifikat HTTPS gratis?
Anda menerima sertifikat SSL dari otoritas sertifikat. Sertifikat tersebut berlaku selama 90 hari, tetapi disarankan untuk memperbarui selama 60 hari. Beberapa sumber gratis yang andal:
- Cloudflare: Gratis untuk situs web dan blog pribadi.
- FreeSSL: gratis untuk organisasi nonprofit dan startup saat ini; tidak dapat menjadi klien Symantec, Thawte, GeoTrust, atau RapidSSL.
- StartSSL: Sertifikat berlaku selama 1 hingga 3 tahun.
- GoDaddy: Sertifikat untuk proyek sumber terbuka, berlaku selama 1 tahun.
Jenis sertifikat dan masa berlaku tergantung pada sumbernya. Sebagian besar otoritas menawarkan sertifikat SSL standar secara gratis dan mengenakan biaya untuk sertifikat SSL EV jika mereka menyediakannya. Cloudflare menawarkan paket gratis dan berbayar serta berbagai opsi tambahan.
Apa yang harus dipertimbangkan saat menerimaSertifikat SSL?
Google merekomendasikan sertifikat dengan kunci 2048-bit di sini. Jika Anda sudah memiliki sertifikat 1024-bit yang lebih lemah, disarankan untuk memperbaruinya.
Anda perlu memutuskan apakah Anda memerlukan satu, beberapa domain, atau sertifikat wildcard:
- Satu sertifikat akan digunakan untuk satu domain (misalnya www.example.com).
- Sertifikat multi-domain akan digunakan untuk beberapa domain terkenal (misalnya www.example.com, cdn.example.com, example.co.uk).
- Sertifikat wildcard akan digunakan untuk domain aman dengan banyak subdomain dinamis (mis. a.example.com, b.example.com).
Bagaimana cara menginstal sertifikat SSL?
Host web Anda dapat memasang sertifikat secara gratis atau berbayar. Beberapa host sebenarnya memiliki opsi untuk menginstal Let's Encrypt di cPanel pribadi mereka, yang membuat segalanya lebih mudah. Tanyakan host Anda saat ini atau temukan yang menawarkan dukungan langsung untuk Let's Encrypt. Jika tuan rumah tidak menyediakan layanan ini, perusahaan atau pengembang pemeliharaan situs web Anda dapat memasang sertifikat untuk Anda. Anda harus siap dengan kenyataan bahwa Anda harus sering memperbarui sertifikat. Periksa jangka waktu dengan sertifikat.
Apa lagi yang perlu dilakukan?
Setelah mendapatkan dan memasang sertifikat SSL, Anda perlu menerapkan SSL di situs. Sekali lagi, Anda dapat bertanya kepada host web, perusahaan layanan, ataupengembang untuk melakukan tindakan ini. Namun, jika Anda lebih suka melakukannya sendiri dan situs Anda didukung oleh WordPress, Anda dapat melakukannya dengan mengunduh, menginstal, dan menggunakan plugin. Dengan opsi terakhir, pastikan untuk memeriksa kompatibilitas dengan versi WordPress Anda.
Dua plugin penegakan SSL yang populer: SSLWP sederhana, plugin SSLSSL yang diberlakukan. Pastikan untuk mencadangkan situs Anda dan berhati-hatilah saat melakukannya. Jika Anda salah mengonfigurasi sesuatu, itu dapat memiliki konsekuensi yang sangat buruk: pengunjung tidak akan dapat melihat situs Anda, gambar tidak akan ditampilkan, skrip tidak dapat dimuat, yang akan memengaruhi fungsi beberapa hal di situs Anda, seperti tipografi dan warna cara tidak ditampilkan dengan benar.
Anda perlu mengarahkan pengguna dan mesin pencari ke halaman HTTPS menggunakan 301 redirect di file.htaccess di folder root di server. File.htaccess adalah file yang tidak terlihat, jadi pastikan program FTP Anda diatur untuk menampilkan file tersembunyi. Di FileZilla, misalnya, buka Server> Force view of hidden files. FileZillaSebelum menambahkan pengalihan, sebaiknya buat cadangan file.htaccess Anda. Di server, ganti nama file untuk sementara dengan menghapus periode (yang membuatnya tidak terlihat di tempat pertama), unduh file (yang sekarang akan terlihat di komputer Anda sebagai akibat dari periode yang dihapus), lalu tambahkan periode kembali dengan apa yang ada di server.
Ubah pengaturanGoogle Analytics
Setelah menyelesaikan langkah-langkah ini, Anda perlu mengubah URL pilihan Anda di akun Google Analytics untuk menampilkan versi HTTPS domain Anda. Jika tidak, statistik lalu lintas Anda akan dinonaktifkan karena versi HTTP URL diperlakukan sebagai situs yang sama sekali berbeda dari versi HTTPS sertifikat. Google Search Console juga memperlakukan HTTP dan HTTPS sebagai domain terpisah, jadi tambahkan akun domain HTTPS ke dalamnya. Ingat, saat Anda beralih dari sertifikat HTTP ke HTTPS, jika situs Anda memiliki tombol akses khusus, penghitung akan direset.