Technology

Pro dan Kontra Layanan HTTPS, Tradisional vs Let’s Encrypt vs Cloudflare

Jika anda memiliki website property yang diverifikasi di Google Search Console, dan situs web itu tidak dilindungi HTTPS, kemungkinan anda telah melihat beberapa bentuk pesan berikut di dashboard anda baru-baru ini:

Setelah berbulan-bulan pembicaraan dan spekulasi, Google akhirnya mulai bergerak maju dengan rencananya untuk mengamankan web dengan memberlakukan HTTPS. Meskipun HTTPS sebelumnya hanya menjadi perhatian situs e-commerce atau situs dengan fungsionalitas login, pembaruan terbaru ini memengaruhi jauh lebih banyak situs. Sebagian besar situs web memiliki halaman kontak (atau yang serupa) yang berisi formulir kontak atau langganan. Formulir tersebut hampir selalu berisi kolom masukan teks seperti yang diperingatkan oleh Google di pesan di atas. Peringatan “TIDAK AMAN” telah muncul di situs yang tidak aman yang mengumpulkan informasi pembayaran atau kata sandi. Terlihat seperti ini di URL bar pengguna:

Sekarang setelah peringatan ini akan ditampilkan untuk persentase web yang jauh lebih besar, webmaster tidak dapat menunda implementasi HTTPS lagi. Sayangnya, saran Google kepada para webmaster untuk memecahkan masalah ini tidak jelas dan tidak membantu seperti yang terlihat di bawah ini:

Menerapkan HTTPS bukanlah proses yang sederhana. The Washington Post menerbitkan sebuah posting blog yang menguraikan migrasi HTTPS mereka selama 10 bulan pada tahun 2015 lalu, dan banyak situs telah melaporkan mengalami fluktuasi lalu lintas yang besar setelah migrasi mereka. Waktu dan sumber daya yang dibutuhkan untuk bermigrasi ke HTTPS bukanlah investasi kecil; kita berbicara tentang perbaikan situs web yang substansial. Terlepas dari hambatan ini, Google hanya bersimpati sedikit terhadap nasib para webmaster.

Fokus tunggal Google di bidang ini adalah untuk memberikan pengalaman pengguna yang lebih baik kepada para pengunjung web dengan meningkatkan keamanan Internet. Di permukaannya, tidak ada yang salah dengan gerakan ini. Namun, Google dengan terang-terangan mengabaikan kompleksitas yang terjadi oleh hal ini bagi para webmaster, dan hal ini meninggalkan rasa kurang enak di mulut, terlepas dari niat baik mereka.

Untungnya, ada sedikit silver lining untuk masalah HTTPS ini. Selama beberapa tahun terakhir, kami telah bekerja dengan sejumlah klien yang berbeda untuk menerapkan HTTPS di situs mereka dengan menggunakan berbagai metode yang berbeda. Setiap pengalaman itu unik dan menghadirkan tantangan dan hambatan tersendiri. Di posting lain, ada tulisan tentang langkah-langkah yang harus dilakukan sebelum, selama, dan setelah migrasi berdasarkan pengalaman kita. Dalam posting ini, fokusnya adalah menyoroti pro dan kontra dari berbagai layanan HTTPS, termasuk implementasi non-tradisional.

Berikut adalah tiga metode yang telah kami lakukan untuk klien kami:

Traditional HTTPS implementation
Let’s Encrypt
Cloudflare

Metode 1: Implementasi HTTPS tradisional

Implementasi HTTPS tradisional dimulai dengan membeli sertifikat SSL dari penyedia terpercaya, seperti Digicert atau Comodo (petunjuk: jika situs yang menjual sertifikat SSL tidak dilindungi HTTPS, jangan membelinya!). (* CATATAN: Google baru saja mengumumkan minggu ini bahwa mereka tidak akan lagi mempercayai sertifikat yang dikeluarkan oleh Symantec, yang mencakup merek Thawte, VeriSign, Equifax, GeoTrust, dan RapidSSL.) Setelah itu, Anda harus memverifikasi sertifikat yang telah anda beli dengan Certificate Authority melalui Certificate Signing Request (CSR); ini hanya membuktikan bahwa anda benar-benar mengelola situs yang anda klaim untuk dikelola. Pada titik ini, sertifikat SSL anda akan divalidasi, namun anda tetap harus menerapkannya di seluruh situs anda. Namecheap memiliki artikel bagus tentang memasang sertifikat SSL tergantung pada jenis server anda. Setelah sertifikat itu SSL terinstal, situs anda akan diamankan, dan anda dapat melakukan langkah tambahan untuk mengaktifkan HSTS atau menulis ulang HTTPS secara paksa pada saat ini.

Kelebihan

Keamanan lengkap. Dengan sertifikat SSL yang telah divalidasi sepenuhnya yang terinstal di server root anda, tidak ada kemungkinan koneksi yang berbahaya antara server dan situs anda, atau antara situs anda dan pengunjung situs.
Dapat disesuaikan. Salah satu fitur implementasi SSL lengkap adalah anda dapat membeli sertifikat SSL Extended Validation (EV). Ini tidak hanya menyediakan gembok hijau anda di bilah browser, namun juga menyertakan nama perusahaan anda untuk memberikan kepastian lebih lanjut kepada pengunjung bahwa situs anda aman dan dilindungi.
Lebih mudah diimplementasikan di beberapa subdomain. Jika anda memiliki banyak subdomain, yang mungkin anda perlukan untuk penerapan HTTPS anda adalah sertifikat SSL terpisah untuk setiap subdomain atau sertifikat wildcard untuk semua variasi domain anda. Layanan SSL tradisional seringkali merupakan cara termudah untuk membuat sertifikat wildcard jika anda perlu mengamankan beberapa variasi.

Kekurangan

Mahal. Meskipun sertifikat SSL dasar mungkin tersedia paling murah hanya seharga $ 150, tergantung pada kompleksitas situs anda, biaya ini dapat meningkat dengan cepat menjadi beberapa ribu dolar jika anda memerlukan fitur keamanan yang lebih canggih, jaringan CDN yang lebih baik, dll. Ini juga belum menyertakan biaya untuk membuat pengembang menerapkan sertifikat SSL, yang juga bisa menambah biaya lagi.
Waktu untuk mengimplementasikan. Seperti disebutkan di atas, Washington Post membutuhkan waktu 10 bulan untuk menyelesaikan migrasi HTTPS mereka. Perusahaan lain telah melaporkan kerangka waktu yang sama, terutama untuk situs web yang lebih besar dan kompleks. Sangat sulit untuk mengetahui sebelumnya jenis masalah apa yang harus anda atasi dengan konfigurasi situs anda, jenis konten campuran apa yang mungkin anda hadapi, dan sebagainya, jadi rencanakan banyak waktu ekstra untuk mengatasi masalah ini jika anda melakukan implementasi standar.

Metode 2: Let’s Encrypt

Let’s Encrypt adalah layanan nirlaba gratis yang disediakan oleh Internet Security Research Group untuk mempromosikan keamanan web dengan memberikan sertifikat SSL gratis. Menerapkan Let’s Encrypt sangat mirip dengan penerapan HTTPS tradisional: anda masih perlu memvalidasi Certificate Authority, instal sertifikat SSL di server anda, kemudian mengaktifkan HSTS atau Forced HTTPS rewrites. Namun, menerapkan Let’s Encrypt seringkali jauh lebih sederhana melalui bantuan layanan seperti Certbot, yang akan menyediakan kode implementasi yang diperlukan untuk konfigurasi khusus perangkat lunak dan server anda.

Kelebihan

Gratis. Biayanya nol. Tidak ada detail tersembunyi atau tulisan kecil.
Kemudahan implementasi. SSL dari Let’s Encrypt sering kali lebih mudah diterapkan di situs Anda daripada penerapan HTTPS tradisional. Meski tidak sesederhana Cloudflare (lihat di bawah), kemudahan implementasi ini bisa menyelesaikan banyak rintangan teknis bagi orang yang ingin memasang sertifikat SSL.
Keamanan lengkap. Seperti halnya dengan implementasi HTTPS tradisional, keseluruhan koneksi antara pengunjung situs dan server situs aman, sehingga tidak memungkinkan adanya koneksi yang membahayakan.

Kekurangan

Masalah kompatibilitas. Let’s Encrypt dikenal tidak kompatibel dengan beberapa platform yang berbeda, meskipun yang tidak kompatibel kemungkin tidak akan menjadi sumber utama lalu lintas ke situs anda (Blackberry, Nintendo 3DS, dll.).
Sertifikat 90 hari. Sementara sertifikat SSL tradisional sering kali berlaku selama satu tahun atau lebih, sertifikat Let’s Encrypt hanya berlaku selama 90 hari, dan mereka merekomendasikan untuk memperbaharui setiap 60 hari. Jika anda lupa untuk memperbaharui sertifikat dengan frekuensi yang diperlukan ini dapat membahayakan situs anda.
Kustomisasi terbatas. Let’s Encrypt hanya akan menawarkan sertifikat Domain Validation, artinya anda tidak dapat membeli sertifikat untuk mendapatkan sertifikat SSL untuk EV green bar. Juga, Let’s Encrypt saat ini tidak menawarkan sertifikat wildcard untuk mengamankan semua subdomain anda, meskipun mereka telah mengumumkan bahwa itu akan diluncurkan pada bulan Januari 2018.

Metode 3: Cloudflare

Ini adalah salah satu implementasi HTTPS favorit saya, hanya karena sangat mudah untuk diaktifkan. Cloudflare menawarkan layanan Flexible SSL, yang menghilangkan hampir semua kerumitan penerapan sertifikat SSL langsung di situs anda. Sebagai gantinya, Cloudflare akan meng-host versi cache situs anda di server mereka dan mengamankan koneksi ke pengunjung situs melalui perlindungan SSL mereka sendiri. Anda bisa melihat bentuknya pada gambar di bawah ini:

Dengan melakukan hal itu, Cloudflare membuat proses ini sesederhana mungkin. Semua yang harus anda lakukan adalah memperbarui data DNS anda untuk menunjuk ke nameserver Cloudflare. Boom, selesai. Dan seperti halnya dengan Let’s Encrypt, prosesnya sepenuhnya gratis.

Kelebihan

Gratis. Biayanya sepenuhnya nol. Tidak ada detail tersembunyi atau tulisan kecil. Cloudflare memang menawarkan fitur yang lebih canggih jika anda melakukan upgrade ke salah satu rencana berbayar mereka, namun layanan SSL dasar benar-benar gratis.
Implementasi termudah. Seperti yang disebutkan di atas, semua yang dibutuhkan untuk menerapkan layanan SSL Cloudflare adalah membuat akun dan memperbarui data DNS anda. Tidak ada update ke konfigurasi server dan tidak ada waktu yang dihabiskan untuk mencoba menyelesaikan masalah konfigurasi tambahan. Selain itu, menerapkan HSTS dan forced HTTPS rewrites dapat dilakukan secara langsung melalui dashboard Cloudflare, jadi hampir tidak ada pekerjaan yang diperlukan di pihak anda.
Optimalisasi PageSpeed. Selain keamanan SSL, implementasi HTTPS Cloudflare juga menyediakan beberapa layanan tambahan yang dapat menghemat skor PageSpeed dan waktu buka halaman. Sementara penerapan HTTPS tradisional (atau Let’s Encrypt) sering kali memiliki konsekuensi negatif untuk waktu muat halaman situs anda, Cloudflare menawarkan kemampuan untuk mengurutkan secara otomatis JS, CSS, dan HTML; Accelerated Mobile Pages (AMP); dan Rocket loader untuk waktu muat JS yang lebih cepat. Semua fitur ini (juga dengan Cloudflare menyajikan versi cache situs anda kepada pengunjung) akan membantu mencegah peningkatan waktu pemuatan laman di situs anda.

Kekurangan

Enkripsi tidak lengkap. Seperti yang dapat anda lihat pada gambar di atas, Cloudflare mengenkripsi koneksi antara pengunjung dan versi cache situs anda di Cloudflare, namun tidak mengenkripsi koneksi antara situs anda dan server anda. Meskipun ini berarti pengunjung situs bisa merasa aman saat mengunjungi situs anda, masih ada kemungkinan koneksi server anda akan mengalami bahaya. Meskipun anda dapat meningkatkan versi ke implementasi SSL lengkap yang dapat mengaktifkan setup ini, itu bukan bagian dari layanan gratis.
Masalah keamanan. Cloudflare menjadi terkenal karena mereka telah berhasil diretas (hack) sejak awal tahun ini, memperlihatkan banyak informasi pengguna yang sensitif. Meskipun tampaknya mereka telah menyelesaikan dan memperketat keamanan sejak saat itu, masih penting untuk menyadari perkembangan ini.
Kurangnya kustomisasi. Seperti halnya dengan Let’s Encrypt, layanan SSL gratis Cloudflare tidak menyediakan jenis EV green bar SSL untuk situs anda. Meskipun anda dapat meningkatkan versi ke SSL penuh yang menyediakan fungsi ini, layanan tidak lagi gratis pada saat itu.

Jenis implementasi HTTPS mana yang terbaik?

Ini sangat tergantung pada situs anda. Situs yang lebih kecil yang hanya membutuhkan keamanan hanya cukup sehingga Google tidak akan menghukum situs di Chrome, kemungkinan bisa menggunakan Cloudflare. Hal yang sama berlaku untuk agensi yang memberikan rekomendasi HTTPS kepada para klien yang tidak memiliki kontrol pengembangan situs tersebut. Di sisi lain, situs e-commerce atau publikasi utama akan menginginkan implementasi HTTPS yang sepenuhnya disesuaikan, melalui sarana tradisional (atau melalui sertifikat wildcard Let’s Encrypt, ketika itu terjadi tahun depan). Pada akhirnya, anda harus memutuskan penerapan mana yang paling masuk akal untuk situasi anda.

lina