Seberapa mudah mengaktifkan HTTPS pada CloudFlare?

Pertanyaan dari mas Subhan soal gampang mana memasang sertifikat SSL sendiri atau menggunakan miliknya CloudFlare sempat membuat saya mempertimbangkan beberapa metode mengaktifkan HTTPS. Ada yang secara standar lewat web server atau menggunakan layanan online (semacam reverse proxy). Tapi kalau dari kemudahan ya jelas CloudFlare jawabannya.

Bagusnya lagi saat anda menambahkan nama domain dalam CloudFlare maka sebenarnya sudah dibuatkan sertifikat SSLnya dan untuk mengaktifkannya tinggal 1 langkah lagi. Atau lebih tergantung bagaimana setting websitenya, maksud saya apakah masih HTTPS atau sudah HTTPS.

CloudFlare Domain Crypto Settings

Buka saja dasbor CloudFlare anda, klik nama domainnya, dan buka pengaturan Crypto. Tepat diawal anda akan menemukan opsi SSL, dan ada 3 jenis setelan yang bisa anda pilih:

  • Flexible SSL – Ini kalau websitenya masih pakai HTTP.
  • Full SSL – Kalau situs anda sudah menggunakan SSL tapi sertifikatnya boleh self-signed (membuat sendiri).
  • Full SSL (Strict) – Situsnya harus menggunakan sertifikat SSL yang valid.

Selengkapnya bisa baca Help dari CloudFlare untuk topik ini. Saya cuma menyimpulkan saja dan memang ada detail yang tidak diikutkan.

Yang pasti ada setting HSTS… ini harap anda hati – hati memakainya. Jangan diaktifkan dulu kalau belum paham apa gunanya. Soalnya begitu sekali sudah aktif maka selanjutnya anda harus permanen HTTPS terus. Saya pernah tergigit masalah ini karena memang ada manfaat di kecepatan aksesnya, sederhananya dari sisi resolve protokol apa yang akan digunakan untuk tersambung ke web servernya.

Kemudian jangan lupa anda perlu mengalihkan semua trafik dari HTTP ke HTTPS, ini bisa dilakukan lewat konfigurasi web server anda (htaccess, mod_rewrite, location milik Nginx, Rewrite milik LiteSpeed, dan seterusnya), atau lebih optimal lagi menggunakan fitur Page Rules karena akan langsung diproses oleh CloudFlare.

CloudFlare Domain Page Rules Settings

  1. Tinggal anda tambahkan aturan dengan format URL: http://*nama_domain.tld/*.
  2. Settingnya adalah Always Use HTTPS.
  3. Kemudian klik Save and Deploy.

Mestinya saat itu juga kalau anda mengakses situs tersebut masih lewat HTTP akan otomatis diredirect ke versi HTTPSnya. Kalau anda mencobanya pada bare/naked domain (langsung nama_domain.tld) dan tidak langsung dialihkan maka coba cek lagi format URLnya, jangan sampai tertulis http://*.nama_domain.tld/* karena adanya satu titik itu menandakan subdomain dan jelas saja tidak langsung diredirect.

Oh ya, kadang situs gagal terbuka apabila ada kode redirect juga dalam konfigurasi web servernya, seperti dalam htaccess. Ini saya alami pas menggunakan VestaCP. Cek kembali apabila tidak selancar yang saya ceritakan diatas.

9 Comments

  1. Om Chandra,

    Saya kan ngga pasang SSL di cloudflare, terus saya beli SSL Comodo, waktu SSL udah nempel di situs saya, kenapa cloudflare SSL jadi aktif ya? dan sertifikatnya jadi kebacanya cloudflare gitu.

    Jadi keterangannya: Issued to “123.cloudflare.com”, bukan Issued to “situssaya.com”.

    Tolong solusinya om, saya cek semua situs, issued to “situsmereka.com”, jadi saya pengen kaya gitu juga. hahaha

    Thanks ya

    1. Mas coba cek di setting Crypto pada domainnya, kan ada bagian SSL nah itu jadikan Off.

      Mas ini redirect HTTP ke HTTPS pakai apa ya? Page Rules atau htaccess semacamnya?

      Soalnya CloudFlare ini kan sistemnya reverse proxy, dan ada fitur HTTPS defaultnya aktif walaupun ga terpakai. Jadi pas buka versi HTTPSnya ya terbuka pakai sertifikatnya CloudFlare.

      1. Thanks reply-nya,

        Saya pake 301 redirect htaccess.

        Kalo di SSL di crypto dimatikan, situs saya jadi mati juga, ngga bisa dibuka, “error too many redirects”. hahahaha…

        Ngga apa2 deh, ternyata setelah jalan2, kalo pake cloudflare, sertifikat web emang jadi kebacanya cloudflare, soalnya situs comodo.com juga kebacanya cloudflare.

        Thanks Om Chandra

      2. Rugi mas lewat htaccess kalau pasang CloudFlare, daripada web servernya yang proses (makan resource VPS) lebih baik diurus redirect HTTPSnya pada garis depan oleh CF.

        Itu errornya (mungkin) karena dari sisi htaccess masih aktif pengalihan HTTP ke HTTPSnya, masalahnya pada CloudFlare itu versi HTTPS dari website kita sudah dibuatkan otomatis. Cuma tinggal kita mau pakai atau tidak.

  2. Ketika saya sudah mendapatkan nameserver dari cloudfare, apakah website saya untuk sementara non aktif sampai saya mengubah nameserver di web hosting saya?

  3. mas, web saya masih pake http, dan dah make cloudflare untuk cdn, rencana mo pasang ssl
    bagusan yg Lets Encrypt atau ssl dari Cloudflare mas?
    denger2 ssl cloudflare byk ga support di browser mobile dan pc orang indo … makanya saya mo pake lets encrypt … walau mesti renew per 3 bulan :S
    btw cara settingnya gimana biar ssl yg kita pake tu yg dari lets encrypt bukan dari ssl cloudflare? soalnya klo lets encrypt dah aktif trus nanti saya pilih full brarti yg kepakai dari ssl cloudflare, tp klo pilih off ntar malah looping dan web ga bisa kebuka 😐

    1. Sama saja kok mas asal HTTPS. Soal implementasi versi protokol malah kalau bisa ya 1 atau sama dengan versi terbarunya supaya lebih aman.

      Dan mas jangan khawatir soal tidak support, ini hanya pada angka yang sangat kecil di Indonesia. Mas coba cek browser/handphone mana yang ga support sebelum versi TLS v1.0: https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers

      Sudah ga umum dan saya sendiri ga pernah menemukan perangkat yang dimaksud.

      Ga bisa mas kalau mau pakai LE didepan CloudFlare.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *