Mengaktifkan HTTPS di server Anda

Chris Palmer
Chris Palmer

Halaman ini memberikan panduan untuk menyiapkan HTTPS di server, termasuk langkah-langkah berikut:

  • Membuat pasangan kunci publik/pribadi RSA 2048-bit.
  • Membuat permintaan penandatanganan sertifikat (CSR) yang menyematkan kunci publik Anda.
  • Membagikan CSR Anda kepada Certificate Authority (CA) untuk menerima sertifikat atau rantai sertifikat.
  • Menginstal sertifikat akhir Anda di tempat yang tidak dapat diakses dari web seperti /etc/ssl (Linux dan Unix) atau di mana pun IIS memerlukannya (Windows).

Membuat kunci dan permintaan penandatanganan sertifikat

Bagian ini menggunakan program baris perintah openssl, yang umumnya memiliki Sistem Linux, BSD, dan Mac OS X, untuk menghasilkan kunci pribadi dan publik serta CSR.

Membuat pasangan kunci publik/pribadi

Untuk memulai, buat pasangan kunci RSA 2.048 bit. Kunci yang lebih pendek dapat dirusak oleh serangan {i>brute force<i}, dan kunci yang panjang menggunakan sumber daya yang tidak perlu.

Gunakan perintah berikut untuk membuat pasangan kunci RSA:

openssl genrsa -out www.example.com.key 2048

Proses ini memberikan output berikut:

Generating RSA private key, 2048 bit long modulus
.+++
.......................................................................................+++
e is 65537 (0x10001)

Membuat permintaan penandatanganan sertifikat

Pada langkah ini, Anda menyematkan kunci publik dan informasi tentang organisasi Anda dan situs web Anda menjadi permintaan penandatanganan sertifikat atau CSR. openssl meminta metadata yang diperlukan.

Dengan menjalankan perintah berikut:

openssl req -new -sha256 -key www.example.com.key -out www.example.com.csr

Outputnya adalah sebagai berikut:

You are about to be asked to enter information that will be incorporated
into your certificate request

What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CA
State or Province Name (full name) [Some-State]:California
Locality Name (for example, city) []:Mountain View
Organization Name (for example, company) [Internet Widgits Pty Ltd]:Example, Inc.
Organizational Unit Name (for example, section) []:Webmaster Help Center Example
Team
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Untuk memastikan validitas CSR, jalankan perintah ini:

openssl req -text -in www.example.com.csr -noout

Responsnya akan terlihat seperti ini:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=CA, ST=California, L=Mountain View, O=Google, Inc.,
OU=Webmaster Help Center Example Team,
CN=www.example.com/emailAddress=webmaster@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ad:fc:58:e0:da:f2:0b:73:51:93:29:a5:d3:9e:
                    f8:f1:14:13:64:cc:e0:bc:be:26:5d:04:e1:58:dc:
                    ...
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         5f:05:f3:71:d5:f7:b7:b6:dc:17:cc:88:03:b8:87:29:f6:87:
         2f:7f:00:49:08:0a:20:41:0b:70:03:04:7d:94:af:69:3d:f4:
         ...

Mengirimkan CSR Anda ke certificate authority

Otoritas sertifikat (CA) yang berbeda mengharuskan Anda untuk mengirimkan CSR kepada mereka dengan cara yang berbeda. Hal ini dapat mencakup penggunaan formulir di situs web mereka atau pengiriman CSR melalui email. Beberapa CA, atau reseller-nya, bahkan dapat mengotomatiskan sebagian atau semua dari proses, termasuk, dalam beberapa kasus, pasangan kunci dan pembuatan CSR.

Kirim CSR ke CA Anda dan ikuti petunjuk mereka untuk menerima laporan sertifikat atau rantai sertifikat.

CA yang berbeda mengenakan biaya yang berbeda untuk layanan {i>vouching<i} untuk kunci publik Anda.

Ada juga opsi untuk memetakan kunci Anda ke lebih dari satu nama DNS, termasuk beberapa nama yang berbeda (mis. semua {i>example.com<i}, www.example.com, {i>example.net<i}, dan www.example.net) atau "karakter pengganti" nama seperti *.example.com.

Menyalin sertifikat ke semua server frontend Anda di server yang tidak dapat diakses dari web seperti /etc/ssl (Linux dan Unix) atau di mana pun yang memerlukan mereka.

Mengaktifkan HTTPS di server

Mengaktifkan HTTPS di server merupakan langkah penting dalam memberikan keamanan bagi laman web Anda.

  • Gunakan alat Konfigurasi Server Mozilla guna menyiapkan server untuk HTTPS dukungan teknis IT.
  • Uji situs Anda secara rutin dengan uji coba Qualys' SSL Server Test dan memastikan Anda mendapatkan setidaknya A atau A+.

Pada tahap ini, keputusan operasi yang sangat penting harus diambil. Pilih salah satu berikut ini:

  • Khususkan alamat IP berbeda untuk setiap nama host yang digunakan server web Anda untuk menyajikan konten dari mereka.
  • Gunakan hosting virtual berbasis nama.

Jika Anda telah menggunakan alamat IP yang berbeda untuk setiap nama {i>host<i}, Anda dapat mendukung HTTP dan HTTPS untuk semua klien. Namun, sebagian besar operator situs menggunakan {i>host<i} virtual untuk menghemat alamat IP dan karena lebih nyaman dalam umum.

Jika layanan HTTPS belum tersedia di server Anda, aktifkan sekarang (tanpa mengalihkan HTTP ke HTTPS. Lihat Mengalihkan HTTP ke HTTPS untuk informasi selengkapnya). Konfigurasi server web untuk menggunakan sertifikat yang Anda yang dibeli dan diinstal. Anda mungkin menemukan konfigurasi Mozilla generator berguna

Jika Anda memiliki banyak nama {i>host<i} atau subdomain, masing-masing perlu menggunakan nama {i>host<i} CA {i>root<i}.

Sekarang, dan secara rutin sepanjang masa aktif situs, periksa HTTPS Anda dengan Qualys' SSL Server Test. Situs Anda harus mendapatkan skor A atau A+. Perlakukan apa pun yang menyebabkan nilai lebih rendah sebagai {i>bug<i}, dan tetap rajin, karena serangan baru terhadap algoritma dan protokol selalu dikembangkan.

Membuat URL intrasitus menjadi relatif

Karena sekarang Anda menayangkan situs di HTTP dan HTTPS, hal-hal yang perlu dengan lancar terlepas dari protokol. Faktor penting adalah menggunakan URL relatif untuk tautan intrasitus.

Pastikan URL intrasitus dan URL eksternal tidak bergantung pada protokol tertentu. Gunakan jalur relatif atau biarkan protokol seperti di //example.com/something.js.

Menyajikan halaman yang berisi resource HTTP menggunakan HTTPS dapat menyebabkan masalah. Saat browser menemukan halaman yang seharusnya aman menggunakan sumber daya yang tidak aman, fitur ini akan memperingatkan pengguna bahwa tidak sepenuhnya aman, dan beberapa {i>browser<i} menolak untuk memuat atau mengeksekusi permintaan HTTP sumber daya, yang membutuhkan halaman. Namun, Anda dapat dengan aman menyertakan HTTPS resource pada halaman HTTP. Untuk panduan lebih lanjut tentang cara memperbaiki masalah ini, lihat Memperbaiki Konten Campuran.

Mengikuti tautan berbasis HTTP ke laman lain di situs Anda juga dapat menurunkan versi pengalaman pengguna dari HTTPS ke HTTP. Untuk memperbaikinya, jadikan URL intrasitus Anda sebagai relatif mungkin, dengan menjadikannya protokol-relatif (tidak , dimulai dengan //example.com) atau host-relatif (dimulai dengan hanya jalur, seperti /jquery.js).

Anjuran
<h1>Welcome To Example.com</h1>
<script src="/jquery.js"></script>
<link rel="stylesheet" href="/assets/style.css"/>
<img src="/images/logo.png"/>;
<p>A <a href="/2014/12/24">new post on cats!</a></p>
Gunakan URL intrasitus relatif.
Anjuran
<h1>Welcome To Example.com</h1>
<script src="//example.com/jquery.js"></script>
<link rel="stylesheet" href="//assets.example.com/style.css"/>
<img src="//img.example.com/logo.png"/>;
<p>A <a href="//example.com/2014/12/24/">new post on cats!</a></p>
Atau, gunakan URL intrasitus protokol-relatif.
Anjuran
<h1>Welcome To Example.com</h1>
<script src="/jquery.js"></script>
<link rel="stylesheet" href="/assets/style.css"/>
<img src="/images/logo.png"/>;
<p>A <a href="/2014/12/24">new post on cats!</a></p>
<p>Check out this <a href="https://foo.com/"><b>other cool site.</b></a></p>
Gunakan URL HTTPS untuk link ke situs lain jika memungkinkan.

Perbarui tautan Anda dengan skrip, bukan dengan tangan, untuk menghindari kesalahan. Jika konten situs ada dalam database, uji skrip Anda pada salinan pengembangan di skrip untuk menyiapkan database. Jika konten situs Anda hanya terdiri dari file sederhana, uji skrip Anda salinan pengembangan dari file tersebut. Terapkan perubahan ke produksi hanya setelah perubahan lulus QA, seperti biasa. Anda dapat menggunakan skrip Bram van Damme atau yang mirip untuk mendeteksi konten campuran di situs Anda.

Saat menautkan ke situs lain (bukan menyertakan sumber daya dari sana), jangan mengubah protokol. Anda tidak memiliki kontrol atas cara beroperasi situs tersebut.

Agar migrasi menjadi lebih lancar bagi situs besar, sebaiknya gunakan URL protokol-relatif. Jika Anda belum yakin apakah Anda bisa menerapkan HTTPS sepenuhnya, memaksa situs Anda untuk menggunakan HTTPS untuk semua sub sumber daya bisa menjadi bumerang. Mungkin akan ada periode waktu HTTPS masih baru dan aneh bagi Anda, dan situs HTTP harus tetap berfungsi seperti sebelumnya. Seiring waktu, Anda akan menyelesaikan migrasi dan mengunci HTTPS (lihat dua bagian berikutnya).

Jika situs Anda bergantung pada skrip, gambar, atau resource lain yang disalurkan dari Google Cloud, seperti CDN atau jquery.com, Anda memiliki dua opsi:

  • Gunakan URL protokol-relatif untuk resource ini. Jika pihak ketiga tidak menayangkan HTTPS, mintalah mereka. Sebagian besar sudah melakukannya, termasuk jquery.com.
  • Sajikan sumber daya dari server yang Anda kontrol, yang menawarkan penawaran HTTP dan HTTPS. Ini sering kali merupakan ide yang bagus, karena dengan begitu Anda memiliki mengontrol tampilan, performa, dan keamanan situs, serta tidak memiliki untuk mempercayai pihak ketiga guna menjaga keamanan situs Anda.

Mengalihkan HTTP ke HTTPS

Untuk memberi tahu mesin telusur agar menggunakan HTTPS untuk mengakses situs Anda, letakkan link kanonis di di header setiap halaman menggunakan tag <link rel="canonical" href="https://…"/>.

Mengaktifkan Strict Transport Security dan cookie aman

Pada tahap ini, Anda siap untuk "mengikat" penggunaan HTTPS:

  • Gunakan HTTP Strict Transport Security (HSTS) untuk menghindari biaya 301 pengalihan.
  • Selalu tetapkan tanda Aman pada cookie.

Pertama, gunakan Strict Transport Security untuk memberi tahu klien bahwa mereka harus selalu terhubung ke server Anda menggunakan HTTPS, bahkan saat mengikuti referensi http://. Cara ini mengalahkan serangan seperti Penghapusan SSL, dan menghindari biaya pulang pergi 301 redirect yang telah kita aktifkan Alihkan HTTP ke HTTPS.

Untuk mengaktifkan Creator, setel header Strict-Transport-Security. Halaman dataset OWASP memiliki link ke petunjuk untuk berbagai jenis perangkat lunak server.

Sebagian besar server web menawarkan kemampuan yang serupa untuk menambahkan header kustom.

Anda juga perlu memastikan bahwa klien tidak pernah mengirim cookie (seperti untuk autentikasi atau preferensi situs) melalui HTTP. Misalnya, jika cookie otentikasi ditampilkan dalam teks biasa, maka jaminan keamanan untuk seluruh sesinya akan dihancurkan, meskipun Anda sudah melakukan semua hal lainnya benar.

Untuk menghindari hal ini, ubah aplikasi web Anda agar selalu menyetel tanda Aman pada cookie yang yang sudah ditetapkan. Halaman OWASP ini menjelaskan cara menetapkan tanda Aman dalam beberapa framework aplikasi. Setiap framework aplikasi memiliki cara untuk menetapkan flag.

Sebagian besar server web menawarkan fitur pengalihan yang sederhana. Gunakan 301 (Moved Permanently) untuk menunjukkan kepada mesin telusur dan browser bahwa versi HTTPS bersifat kanonis, dan mengalihkan pengguna ke versi HTTPS situs Anda dari HTTP.

Menelusuri peringkat

Google menggunakan HTTPS sebagai kualitas penelusuran positif indikator. Google juga memublikasikan panduan cara mentransfer, memindahkan, atau memigrasikan sambil tetap mempertahankan dalam peringkat pencarian. Bing juga memublikasikan pedoman untuk webmaster.

Performa

Jika lapisan konten dan aplikasi sudah disesuaikan dengan baik (lihat Steve Souders buku untuk saran), sisa TLS masalah kinerja umumnya kecil dibandingkan dengan biaya keseluruhan aplikasi. Anda juga dapat mengurangi dan mengamortisasi biaya tersebut. Untuk saran tentang TLS pengoptimalan, lihat Jaringan Browser Performa Tinggi dengan Ilya Grigorik, dan juga Ivan Ristic OpenSSL Cookbook dan SSL dan TLS anti peluru.

Dalam beberapa kasus, TLS dapat meningkatkan kinerja, terutama sebagai hasil dari membuat HTTP/2 mungkin. Untuk informasi selengkapnya, baca artikel Chris Palmer bahas performa HTTPS dan HTTP/2 di Chrome Dev Summit 2014.

Header perujuk

Jika pengguna mengikuti link dari situs HTTPS ke situs HTTP lain, maka jangan mengirim header Perujuk. Jika ini menjadi masalah, ada beberapa cara untuk memecahkannya:

  • Situs lainnya harus dimigrasikan ke HTTPS. Jika situs penerima rujukan melengkapi Bagian Aktifkan HTTPS di server Anda pada panduan ini, Anda dapat mengubah tautan di situs Anda ke situs mereka dari http:// ke https:// atau gunakan link protokol-relatif.
  • Untuk mengatasi berbagai masalah pada header Perujuk, gunakan Standar Kebijakan Perujuk.

Pendapatan iklan

Operator situs yang memonetisasi situs mereka dengan menampilkan iklan ingin memastikan bermigrasi ke HTTPS tidak mengurangi tayangan iklan. Namun, karena pencampuran masalah keamanan konten, <iframe> HTTP tidak berfungsi di halaman HTTPS. Operator situs tidak dapat bermigrasi ke HTTPS hingga pengiklan memublikasikannya melalui HTTPS tanpa kehilangan pendapatan iklan; tetapi hingga operator situs dimigrasikan ke HTTPS, pengiklan memiliki sedikit motivasi untuk memublikasikan HTTPS.

Anda dapat memulai proses pemecahan kebuntuan ini dengan menggunakan pengiklan yang menawarkan layanan iklan melalui HTTPS, dan meminta pengiklan yang tidak menayangkan HTTPS di setidaknya untuk menjadikannya sebuah pilihan. Anda mungkin perlu menunda penyelesaian Buat URL IntraSitus relatif hingga cukup banyak pengiklan dapat saling beroperasi dengan benar.