Gedung A Web Aman: Mengapa Harus Bermigrasi Untuk HTTPS dari HTTP

Kami tidak nongkrong di internet lagi. Kami tinggal di internet.

Sama seperti dunia fisik kita, internet adalah tempat yang lucu - di itu kali unik, pada waktu itu acak, dan pada waktu itu aman. Yah, kami pikir aman.

Sebagai pengembang dan pemilik website, kita bertanggung jawab untuk memberikan pengalaman web yang aman untuk semua pengguna kami.

Sebagai pengguna diri kita sendiri, kita telah melihat semuanya -

• suntikan malware
• Popup memicu pemasangan software
• virus Trojan horse
• dan lain-lain

Untungnya, sebagian besar yang lebih. Browser zaman modern mengurus masalah ini secara default.

Tapi browser yang hanya sebuah wadah yang membuat apa pun server melempar pada itu. Hanya ada begitu banyak yang dapat dilakukan. Pengguna (dan dengan perpanjangan, website) yang masih rentan terhadap  javascript suntikan (baca lebih lanjut  di sini dan di sini ).

Membangun kepercayaan dan kredibilitas dengan pengguna pergi jauh. Dan itu karena ini, pemimpin global seperti Mozilla dan Google menempatkan berat badan mereka di belakang membuat web tempat yang lebih aman.

Hal ini berkontribusi terhadap alasan utama untuk perubahan bertahap dari situs HTTP ke situs web HTTPS.

Apa HTTP dan HTTPS apa?

Sumber: https://websitesdepot.com/google-announces-new-security-measure-website-owners-https/

Sebelum kita menyelam lebih dalam, mari kita mendapatkan pemahaman yang cepat HTTP dan HTTPS.

Ini adalah protokol yang paling sering digunakan di web.

HTTP:

• HyperText Transfer Protocol - protokol sederhana untuk mengirim dan menerima pesan berbasis teks.

HTTPS:

• HyperText Transfer Protocol Secure - protokol yang sama dengan HTTP, tapi teks dienkripsi.

Baca gambaran rinci ini untuk mengembangkan pemahaman yang lebih baik dari HTTP dan HTTPS .

Bagaimana HTTPS menjembatani kesenjangan:

Sumber

Google (dan banyak lainnya) berkomitmen untuk membuat web lebih aman untuk semua pengguna.

Pada tahun 2014, Google telah mereka HTTPS mana-mana kampanye ketika mereka mengumumkan HTTPS sebagai sinyal peringkat  dan mulai mengindeks halaman aman melalui halaman tanpa jaminan .

kondisi pengindeksan Google:

1. Ini tidak boleh mengandung dependensi tidak aman.
2. Hal ini tidak diblokir dari merangkak oleh robots.txt.
3. Seharusnya tidak mengalihkan pengguna ke atau melalui halaman HTTP tidak aman.
4. Tidak harus memiliki tautan rel = "canonical" ke halaman HTTP.
5. Tidak harus berisi robot noindex meta tag .
6. Ini seharusnya tidak di-host yang outlinks untuk HTTP URL.
7. sitemap yang berisi daftar URL HTTPS atau tidak mencantumkan versi HTTP URL.
8. server memiliki sertifikat TLS valid.

Kondisi pertama adalah kebutuhan penting.

Halaman harus tidak termasuk "dependensi tidak aman." Banyak halaman termasuk gambar tidak aman, sematan, video, dan sebagainya. 

• Google bahkan telah membuat panduan mereka sendiri, " Mengamankan Website Anda Dengan HTTPS " .

Sumber: https://www.keycdn.com/blog/http-to-https/

Menurut data dari BuiltWith, sekitar hanya 6,3% dari atas 100.000 situs menggunakan SSL .

Terlepas dari peringkat Google dorongan, ada beberapa alasan lain yang harus Anda pertimbangkan memilih untuk HTTPS sebagai protokol website Anda.

Beberapa manfaat tambahan:

1. Lebih Keamanan - Alasan utama mengapa penting untuk berjalan di atas HTTPS ini tentu saja karena keamanan! Alasan Anda memerlukan sertifikat SSL untuk e-commerce dan situs transaksional lainnya adalah karena mereka memproses informasi sensitif. Untuk situs lain, alasan besar untuk pergi ke HTTPS adalah halaman WordPress login. Jika Anda tidak menjalankan melalui koneksi HTTPS, username dan password yang dikirim dalam bentuk teks melalui internet. Siapapun dapat  mengendus dan menangkap login WordPress melalui koneksi aman menggunakan berbagai alat bantu gratis .
2. Baik Referral data - Alasan lain yang baik untuk bermigrasi adalah bahwa data rujukan diblokir di Google Analytics. Jika situs Web Anda pada HTTP dan Anda pergi virus pada setiap situs HTTPS, data pengarah akan benar-benar hilang dan lalu lintas dari situs HTTPS bisa berakhir di bawah "lalu lintas langsung" (yang tidak sangat membantu). Jika seseorang pergi dari HTTPS ke HTTPS, pengarah akan tetap diteruskan.
3. SSL Membangun Kepercayaan dan Kredibilitas -  Untuk pindah ke HTTPS, Anda memerlukan sertifikat SSL. Sertifikat SSL membangun kepercayaan dan kredibilitas dengan pengunjung Anda. Pengunjung cenderung untuk mencari gembok hijau pada sebuah situs web. Ini memberikan  " SSL kepercayaan " . Hal ini penting untuk membiarkan pengunjung Anda tahu Anda adalah situs yang aman dan bahwa informasi mereka akan aman.

mitos umum sekitar bermigrasi ke HTTPS

Mari kita pergi ke depan dan payudara mitos ini.

1. Situs saya tidak cukup penting untuk HTTPS.

Lebih dari sering, penerbit mempertahankan bahwa sifat-sifat mereka tidak menangani data sensitif pengguna (login info, pembayaran, dll) sehingga mereka dapat melakukan jauh dengan HTTPS.

Penting untuk dicatat bahwa suntikan iklan berbasis Javascript yang terkenal untuk membunuh pengalaman pengguna.

• Baca di sini tentang bagaimana ISP termasuk Airtel dan MTNL telah terlibat dalam kegiatan tersebut .

Selain itu, berjalan pada HTTP membatasi pengembang web menggunakan API key termasuk:

• Geolocation: Anda tidak bisa lagi mencari lokasi pengguna jika Anda berada di HTTP.
• Web Push Notification: pemberitahuan push hanya tersedia di HTTPS.  
• GetUserMedia: Anda dapat izin pemicu tidak lagi menggunakan kamera pengguna / microphone jika Anda berada di HTTP.
• HTTP / 2: Semua browser utama mendukung HTTP / 2 untuk HTTPS.
• EME dan App Cache:  Untuk segera dihapus.

2. HTTPS akan memperlambat situs saya.

Beberapa pengembang telah menyaksikan hasil negatif pasca migrasi ke HTTPS.

Karena itu, ketika Gmail bermigrasi ke HTTP pada tahun 2010, ada ada dampak kinerja yang nyata.

Berikut adalah statistik dari migrasi Gmail ke HTTPS:

Hasil negatif sering karena kurangnya optimasi seperti pindah ke HTTP / 2.

Kita harus memperbarui cara kita berbicara tentang HTTPS dan kinerja.

3. Saya bisa memindahkan situs saya ke HTTPS, tapi bagaimana dengan pihak ke-3 saya bergantung pada?

Perhatian utama lain untuk penerbit adalah dengan mengacu pada konten pihak ketiga di situs web mereka - terutama iklan [paling sering satu-satunya sumber monetisasi].

Kendala utama dengan HTTPS adalah bahwa jika Anda pindah ke HTTPS, semua konten Anda (termasuk konten pihak ketiga) juga harus dilayani melalui HTTPS.

• Catatan: Google AdSense permintaan dan Ad Exchange sudah dilayani melalui HTTPS.

Ada juga kekhawatiran tentang kemitraan dimana penyedia layanan pihak ke-3 tergantung pada header HTTP pengarah. Ketika seorang pengguna mengikuti sebuah link dari situs HTTPS untuk situs mitra HTTP, browser akan mengupas kepala pengarah mereka untuk alasan privasi.

Ada fitur platform web yang disebut " Kebijakan Pengarah " yang membantu dengan ini.

Penerbit dapat menetapkan kebijakan pengarah untuk memungkinkan mitra mereka untuk melihat mana lalu lintas yang datang dari situs mereka, tetapi mereka tidak akan melihat URL lengkap bahwa pengguna mengunjungi, sehingga privasi pengguna tetap terjaga.  

Kemudian ada jenis masalah umum yang disebut konten campuran .

Konten campuran adalah masalah memuat konten HTTP tidak aman di HTTPS. 

Hal ini penting karena sub sumber non-aman benar-benar dapat membahayakan keamanan dari sebuah situs HTTPS aman. Browser akan benar-benar memblokir konten ini dan benar-benar menghapus semua keamanan yang situs HTTPS.

Website penerbit (yaitu blog) mengandung banyak artikel berita lama yang link ke gambar pihak ketiga yang tidak tersedia melalui HTTPS. Gambar-gambar ini disebut konten pasif dan browser masih akan memungkinkan mereka untuk memuat.

Situs HTTPS tidak akan benar-benar rusak, tapi itu kunci hijau akan pergi.

 

video lengkap:

Berlangganan di Youtube

Header ini pada dasarnya adalah cara bagi penerbit untuk menegaskan ke browser bahwa semua konten harus dimuat melalui HTTPS dan bahwa penerbit ingin menerima laporan tentang setiap konten yang tidak.

Kebijakan Keamanan konten memungkinkan penerbit untuk menemukan dan memperbaiki konten campuran di properti mereka.

Chrome juga memiliki panel keamanan DevTools untuk membuatnya semudah mungkin untuk menemukan dan memperbaiki masalah dengan konfigurasi HTTPS masalah konten seperti campuran.

Pada dasarnya, penyedia pihak ketiga harus mendukung HTTPS agar Anda untuk sepenuhnya memindahkan situs Anda.

• Saksikan lengkap HTTPS m yth penghilang (Progressive Web App Summit 2016) di sini .

Pertanyaan yang Sering Diajukan

• Bagaimana seluruh komunikasi ini berlangsung?

Ketika klien / browser yang meminta untuk sesi aman melalui HTTPS, server merespon dengan sertifikat SSL.

Permintaan dibuat dari ujung client dan server merespon dengan sertifikat dan kunci publik server. Klien / Browser kemudian memeriksa validitas sertifikat SSL ditandatangani oleh CA. Kemudian klien / browser yang mengirimkan kunci sesi dienkripsi dengan kunci publik server. Sekarang server de-diabadikan kunci sesi dengan kunci pribadi.

Dengan ini, sesi aman dibuat untuk transfer data yang aman.

• Bagaimana data yang dikirim melalui HTTPS dijamin?

Data yang dikirim menggunakan HTTPS dijamin melalui protokol Transport Layer Security (TLS), yang menyediakan tiga lapisan utama melindungi informasi Anda:

1. Enkripsi -  Enkripsi data dipertukarkan untuk tetap aman dari penyadap. Enkripsi memastikan bahwa saat browsing, tidak ada yang bisa menyusup ke percakapan, kegiatan track di halaman, atau mendapatkan akses ke informasi.
2. Integritas data - ini  berarti data yang tidak dapat dikompromikan selama transfer dan setiap perubahan dibuat untuk data tidak dapat dengan mudah dideteksi.
3. Authentication -  ini  memastikan bahwa pengguna di situs yang benar. Otentikasi HTTPS melindungi terhadap man-in-the-middle  serangan dan membangun kepercayaan pengguna.

Berikut adalah daftar lengkap pertanyaan yang sering diajukan

Mendapatkan sertifikat SSL Anda

Ada banyak pilihan yang dapat dicairkan untuk mendapatkan  sertifikat SSL saat bergerak dari HTTP ke HTTPS.

Berikut adalah tiga pilihan besar:

	SSLMat e masalah sertifikat tunggal domain untuk $ 16 / tahun . Lihat panduan untuk menginstal sertifikat dan s etting dengan host umum lainnya .
	Mari kita Encryp t - Dapatkan Anda benar-benar GRATIS  SSL  sertifikat dari Mari Encrypt! Anda dapat memilih sejumlah  pilihan dari sertifikat yang tersedia mereka. Validasi Domain : domain tunggal atau subdomain, tidak ada dokumen (hanya email validasi), murah, dikeluarkan dalam beberapa menit. Bisnis / Organisasi Membutuhkan verifikasi bisnis dan menyediakan tingkat keamanan yang tinggi, yang diterbitkan dalam waktu 1-3 hari. Extended Validation : Membutuhkan verifikasi bisnis yang menyediakan tingkat keamanan yang lebih tinggi, yang diterbitkan dalam waktu 2-7 hari. Anda dapat memeriksa Dokumentasi lengkap dan mendapatkan sertifikat SSL Anda dari https://letsencrypt.org/
	Sertifikat Manajer AWS (ACM). Sertifikat ini adalah gratis dan dikeluarkan langsung oleh Amazon dan bertahan kurang lebih satu tahun. Namun, mereka saat ini membutuhkan penerbitan panduan melalui validasi email, dan tidak mendukung Sertifikat Transparansi . Berikut adalah panduan ACM baik untuk Jekyll .

Hal yang dapat dilakukan sementara membuat switch

Pertama-tama, membeli dan mengaktifkan sertifikat SSL jika Anda belum melakukannya.

Selama migrasi, mungkin ada beberapa rintangan mengulur-ulur proses.

Kesalahan dapat terjadi ketika Google mulai merangkak versi HTTP dari website Anda dan menghasilkan masalah duplikasi konten , dengan kedua HTTPS dan versi HTTP dari halaman yang ditampilkan dan versi yang berbeda dari halaman yang menunjukkan pada HTTP dan HTTPS.

Check out these lainnya perangkap umum dalam menggunakan HTTPS / TLS .

praktik terbaik ketika melakukan migrasi ke HTTPS:

Sumber

1. Menggunakan sertifikat keamanan yang kuat. Sebuah s bagian dari memungkinkan HTTPS untuk website Anda, Anda harus mendapatkan sertifikat keamanan (sertifikat SSL). Sertifikat ini dikeluarkan oleh otoritas sertifikat (CA) yang mengambil langkah-langkah untuk memverifikasi bahwa alamat web Anda benar-benar milik organisasi Anda. Sementara pengaturan sertifikat, memastikan tingkat keamanan yang tinggi dengan memilih kunci 2048-bit. Jika Anda sudah memiliki sertifikat dengan kunci lemah (1024-bit), upgrade akan menjadi cara yang bagus untuk pergi.
2. Mengalihkan pengguna Anda dan mesin pencari ke halaman HTTPS atau sumber daya dengan server-side 301 HTTP.
3. Menggunakan web server yang mendukung HTTP Strict Transport Security (HSTS) dan pastikan bahwa itu diaktifkan.

Ide di balik seluruh HTTP ke HTTPS switch adalah untuk memberikan pengalaman web yang lebih aman, memastikan informasi pribadi Anda tetap pribadi dan tidak mendapatkan disalahgunakan. 

Apa saja bisa menjadi pribadi untuk Anda atau pengguna akhir Anda.

Bahkan jika Anda sedang mencari "Nexus 5 biaya di India", pencarian yang bisa swasta untuk Anda. Apakah Anda browsing atau mencari produk atau membaca sebuah artikel, Anda biasanya tidak ingin apa yang Anda lakukan untuk menjadi informasi publik.

Sumber: https://www.shoutmeloud.com/why-migrate-https-http.html

Share this post