Teliti sebelum mengaktifkan HSTS

HTTPS memang sekarang semakin mudah diterapkan dan sertifikat SSLnya sendiri bisa didapatkan secara gratis. Kalau anda sedang mempelajari pemasangan sertifikat SSL untuk nama domain anda atau telah mengaktifkan HTTPS mungkin akan ada satu fitur yang bisa diaktifkan. Yup, yang saya bicarakan disini adalah HSTS (HTTP Strict Transport Policy) dan memang cukup sering disarankan agar diaktifkan.

Saya tidak bicara mengenai masalah teknisnya karena saya sendiri juga masih belajaran. 😀 Jadi fungsi dari HSTS ini adalah memberi instruksi ke browser (Chrome, Firefox, Safari, Opera, Internet Explorer dan sebagainya) bahwa alamat website tersebut harus diakses menggunakan HTTPS. Jelas terlihat manfaatnya kan? Jadi walaupun anda ketik secara manual alamat websitenya menggunakan http:// tetap saja yang dibuka ada versi https://. Ini tanpa perlu kode pengalihan protokol karena sudah tersimpan settingnya dalam browser. Dengan syarat sebelumnya sudah pernah kita akses alamat situsnya.

Apa yang terjadi kalau kita nonaktifkan SSLnya? Efeknya adalah muncul pesan error karena sertifikatnya bermasalah, tidak ada atau error. Pengaruhnya hanya terjadi ke pengunjung yang pernah sebelumnya mengakses, untuk pengunjung baru tetap bisa membukanya seperti biasa.

Nah… ini yang saya alami kemarin. Karena implementasi HTTPS pada Nginx yang entah bagaimana sebelumnya (bukan saya yang mengelolanya), sekarang halaman webnya kadang nyangkut tidak dimuat – muat. Harus direload baru bisa. Cukup aneh. 🙁 Yang jadi masalah setelah saya nonaktifkan kok malah tidak bisa sama sekali mengakses websitenya karena error HSTS ini.

Darimana kita tahu kalau HSTS aktif? Mudah saja, tinggal ada cek header website anda dan apakah muncul kode seperti berikut:

Strict-Transport-Security: max-age=31536000

Jadi selama setahun akan disimpan dalam daftar HSTS internal browsernya.

Solusinya? Cukup mudah aslinya. Antara hilangkan dari daftar HSTS browser (tapi pengunjung belum tentu paham caranya).atau kita perbaiki implementasi HTTPSnya. Bisa juga anda mensetting header usia header HSTS ke max-age=0, dari spesifikasi protokolnya seharusnya akan menginstruksikan browser untuk membersihkan settingnya untuk domain tersebut.

Ya… ini bisa dikatakan curhat dan share pengalaman soal aktivasi HTTPS. Kesimpulannya yakni pastikan dulu HTTPS untuk website anda bisa digunakan dengan normal, kalau sudah yakin baru aktifkan HSTS supaya tidak ribet pas ada masalah seperti yang saya alami.

Semoga ga tambah bingung. 🙂

8 Comments

  1. Jadi pingin aktifkan hsts karna nggak ada alasan balik lagi ke non https 😀 berarti kalau misalnya diatur sebulan hstsnya, bulan berikutnya boleh nggak pakai hsts apa dengan begitu nggak ada error yg muncul di browser pengunjung?

    Itu cara nonaktifkan cukup dihapus kodenya atau diubah age=0 ?

    1. Lebih tepatnya pada browser pengunjung yang sebelumnya pernah akses mbak. Jadi nanti dicatat sama browsernya bahwa website ini hanya boleh dibuka lewat HTTPS. Menyingkat 1 request, tidak tanya HTTP lagi.

      Dan kalau mbak sudah yakin, kirimkan ke Google kalau ini permanen: https://hstspreload.org/

      1. saya lihat ada tambahan kode preload seperti ini :

        Strict-Transport-Security: max-age=15552000; includeSubDomains; preload
      2. Yup betul mbak, itu sebagai konfirmasi kalau kita ingin ikut dalam daftar preload resminya. Harus yakin ini. 🙂

  2. Ini bisa mempercepat akses Website, karena tidak perlu redirect dari protokol HTTP dulu ke HTTPS entah pakai .htaccess, JS, dsb

    Hanya berlaku ketika kita mengakses langsung mengetik Domain di Address Bar Browser tanpa mengetikkan protokolnya (default = http), maka Browser langsung mengakses pakai protokol HTTPS, bukan mampir dulu ke HTTP 😀

    Tapi ya itu tadi, harus teliti sebelum mengaktifkan 😀

    Salah-salah, Pengunjung Setia yang sering kembali mengakses Blog/Web kita jadi bermasalah ketika mengakses.

    Di CloudFlare sendiri, mendukung HSTS, dan banyak sekali informasi yg harus dipelajari sebelum mengaktifkan itu di CloudFlare 😀

    Blog saya sudah menerapkan DNSSEC, masih mempelajari HSTS ini lebih dalam sebelum mengaktifkan.

    Thanks ya sudah memberikan gambaran mengenai HSTS ini, sehingga saya bisa lebih teliti lagi 😀

    1. Betul, saya dulu asal mengaktifkan saja. Walaupun sudah dinonaktifkan HSTS tapi kalau sudah ada visitor dan kembali lagi langsung error karena browser menyimpan data bahwa untuk situs tersebut aksesnya lewat HTTPS. Untungnya cuma di subdomain forum dan trafiknya bisa dikatakan nihil.

      Yang DNSSEC ini menarik, sangat opsional, tapi melindungi DNS request agar tidak dibajak atau dipalsukan. Sayangnya belum semua TLD support. Tiap ada waktu saya selalu aktifkan sih.

  3. kalau kasus sprt mas ini pengalaman saya. kalau sslnya pernah non aktif atau pernah expired lalu bikin lagi yang baru tanpa mmbuang(menghapus key, pem) yg lama. kasus yg terjadi pada saya waktu itu pake letsencrypt. jadi saya bersihkan dulu 4 file sslnya lalu sy buat baru lagi.

  4. Wah kalo udh ke set di pengunjung selama 1 tahun dan error ya sudh wasalm webnya hehe g bisa di akses pengunjung

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *