Analisa implementasi HTTPS
Memasang sertifikat SSL dan mengaktifkan HTTPS adalah hal yang relatif mudah saat ini. Tapi tidak semua setting default web server dalam melayankan konten lewat HTTPS sudahlah optimal. Selain dari sisi kecepatan dan teknologi, juga ada dari sisi keamanan yang masih bisa disetel lebih jauh lagi. Tahu darimana kita apa – apa saja yang bisa dimaksimalkan?
Untungnya ada beberapa layanan online yang bisa kita manfaatkan untuk analisa implementasi HTTPS untuk website kita. Nanti akan dites dan dideteksi bagaimana cara kerja HTTPS pada situsnya. Apakah enkripsinya kuat? Bagaimana algoritma enkripsi yang didukung? Redirectnya sudah benar? Apakah semua konten statis sudah beralih menggunakan protokol HTTPS juga? Dan seterusnya.
Yang pertama saya gunakan adalah SSL Test dari Qualys: https://www.ssllabs.com/ssltest/index.html. Tinggal diisikan saja alamat websitenya dan tunggu prosesnya sampai selesai.
Intinya sih perhatikan saja grade/skor dari HTTPSnya. Bisa anda lihat saya mendapatkan grade A dan yang tertinggi adalah A+. Kemudian lihat dibawahnya akan muncul informasi yang dikumpulkan dari hasil analisanya, dari sinilah kita bisa mengestimasi dimulai darimana langkah – langkahnya untuk konfigurasi SSL yang terbaik. Anda fokus disini saja dulu.
Yang kedua adalah memakai Observartory dari Mozilla: https://observatory.mozilla.org/. Dan serius sadis sekali penilaiannya. 😥 Saya mendapatkan F untuk ini. Tapi Google sendiri dapat D. 😛 Yang pasti kalau masih pakai HTTP dijamin langsung dicap F.
Kenapa bisa bagai bumi dan langit perbedaannya? Apa ada masalah dengan pengujiannya Qualys? Setelah saya pahami ternyata fokusnya berbeda. Observatory ini mengutamakan keamanan dari pemasangan SSLnya. Dan untungnya kita diberitahu dengan daftar yang mudah dipahami bahwa pada bagian apa saja yang kurang memuaskan. Tinggal cari di Google bagaimana cara konfigurasinya saja.
Rekomendasi saya kejar dulu skor Qualys minimal A dan baru cek miliknya Mozilla, lebih ketat soalnya. Dan ini adalah PR saya nantinya. 😀