Ceklis sebelum menggunakan HTTPS

Topik kali ini atas permintaan mbak Shafira yang tampaknya sudah sangat berminat migrasi dari HTTP ke HTTPS. 😀 Mungkin selanjutnya pasang AMP juga. 😛 Kurang lebih isi pembahasan kali ini banyak share pengalaman dan link – link ke artikel yang berhubungan. Bisa diikuti tapi tidak wajib. Suka – suka saja. 🙂

Aslinya yang diperlukan cuma:

  1. Sertifikat SSL
  2. Web Server yang mendukung HTTPS. Ini rasanya bisa semua.
  3. CMS yang dipakai diganti URLnya dari HTTP ke HTTPS.
  4. Redirect dari HTTP ke HTTPS.

Sekian.

Pra HTTPS

Siapkan sertifikat SSL yang akan dipasang

Terserah anda. 🙂

Pemasangan HTTPS

Tergantung pakai web server apa maka ada panduannya sendiri – sendiri. Atau bisa pakai yang murni dari reverse proxy atau terintegrasi dengan VPS.

Bisa dipilih mana yang cocok dengan kondisi VPS anda.

Setelah terpasang

Saran saya setelah memasang sertifikat SSLnya maka tes lewat browser akses port 443 dari situs anda. Kalau lancar ya lanjutkan dengan yang dibawah.

Tambahan/Opsional

Apabila HTTPS sudah bekerja normal maka materi dibawah bisa dipelajari.

Mana yang termudah? Terus terang paling enak pakai CloudFlare. 😀 Tinggal klik – klik saja. Mungkin yang kedua termudah adalah Let’s Encrypt, asalkan lancar jaya pasangnya.

Catatan saja, ini masih WIP (Work In Progress) dan akan saya update kalau ingat ada hal yang bisa dishare lagi. Silahkan kalau ada pertanyaan atau ada yang kurang jelas. Sementara masih polosan dan agak tidak rapi.

18 pemikiran pada “Ceklis sebelum menggunakan HTTPS”

  1. trims mas chandra 🙂
    selain manfaat untuk enskripsi apa ada perbedaan performa sebelum dan sesudah migrasi mas? maksudnya waktu load 🙂

      • Langsung jadikan HTTP/2 mbak baru optimal, dan malah bisa lebih ringan dari HTTP.

        Ini ada referensi dari yang lebih ahli: https://istlsfastyet.com/

        Oh ya, HSTS bisa memotong satu langkah lagi. Nanti kalau browser pengunjung sudah pernah mengunjungi websitenya dan ada HSTS maka selanjutnya si browser tidak menebak/mengecek versi HTTPnya tapi langsung ke versi HTTPSnya. Tapi ini kalau salah setting bisa fatal akibatnya. Minimal kalau sudah niat murni HTTPS dan tidak kembali ke HTTP bisa dipertimbangkan pakai HSTS.

    • Hmmm… kalau hanya HTTPS aslinya ga ada bedanya dengan HTTP mbak, tapi ini hanya pakai perasaan. 😀

      Yang kerasa kenceng kalau sudah aktifkan HTTP/2, ini kalau halaman websitenya sebelumnya cukup besar (ukuran MB) akan langsung muncul instan (tapi ga penuh) dan bertahap ditambahkan. Progresif jadinya. Pakai perasaan juga pas buka – buka halaman situsnya. 🙂

  2. trims mas chandra untuk infonya yang super duper komplit 🙂
    lagi pilih2 ssls atau gogetssl, antara keduanya kalau mas chandra pilh yg mana?

    • Haha 😀 Saya sendiri ga sadar sudah nulis sebanyak itu tentang HTTPS. 🙂 Disini cuma katalognya saja. 😀

      Saya ambil GoGetSSL sekarang mbak. Lebih murah. Aslinya sama saja mbak semua sertifikat SSL itu, cuma beda penerbit saja dan tentu harganya. Yang jaminan sekian ribu USD itu abaikan saja, ga ada manfaatnya buat kita.

      Oh ya, Walau GGSSL itu mungkin meragukan. Tapi pas mbak dapat sebenarnya diterbitkan Comodo. Ini dari punya saya: COMODO RSA Domain Validation Secure Server CA

      Dan mbak saya sarankan di GoGetSSL ambil trialnya dulu, lumayan 90 hari mbak. Buat test drive bisa atau tidak. Kalau sudah yakin baru beli. Saya dulu gitu mbak. Daripada terlanjur beli dan salah data dalam pembeliannya, dan nanti pemasangannya kurang sreg.

      Atau kalau mbak ga mau keluar biaya ya setiap 90 hari reissue sertifikat baru. Bisa seperti ini. Tapi kalau saya capek mbak ingat – ingat beginian, jadi mending beli saja dan 3 tahun kemudian dipikir lagi. 😀

      Oh ya, tidak semua data yang diminta dalam pembuatan sertifikat SSL itu wajib diisi mbak. Yang wajib (setahu saya) Common Name, Country dan Email. Jadi kalau alasan privasi tidak ingin lengkap – lengkap dibaca dari sertifikat SSLnya (karena bisa dibaca umum) ya dibatasi saja pas inputnya.

      • sip mas chandra, coba yg trial dulu, nanti test di vps dari xvm, kalau lancar baru ke DO, salah satu alasan migrasi juga katanya dengan https bisa blokir iklan dari provider, apa betul ya mas? karna cukup menggangu juga.

      • Saya ga mantengin sih mbak. Tapi kalau modelnya yang inject ke halaman website seperti Telkom memang iya. Karena HTTPS trafiknya dienkripsi ya tidak bisa dibongkar sama ISPnya. 😀

        Tapi kalau yang pakai frame kurang tahu juga, kebetulan ISP dan operator seluler yang saya pakai ga ada aneh – anehnya. Mungkin dites saja buka website yang ada HTTPSnya muncul tidak?

        Yang pasti ada beberapa optimasi soal security headernya: https://servernesia.com/1302/mengenal-security-header-https/ mungkin bisa jadi solusi.

  3. akhirnya berhasil pasang https, kesan pertama loadingnya agak lola tapi yang penting berhasil dipasang jadi musti lanjut ke langkah selanjutnya 😀

    sesuai info mas chandra di atas, setelah cek info di bar browser memang GGSL ini diterbitkan ama comodo, sip dah 🙂

  4. sudah aktifasi opsi HTTP/2 dan performanya mantap, ini vps xvm-lab serasa droplet SG-nya DO hehe 😀

    sekarang lagi coba2 atur ssl stapling.
    tambahan. di bagian ssl_ciphers saya pakai konfigurasi ini :

    ssl_ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS;

    sesuai list yang ada di : https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28default.29 di bagian Intermediate compatibility (default), mungkin listnya kebanyakan tidak seperti list yang mas chandra contohkan di artikel aktifasi https di nginx, apa pengaruh di performa nggak ya mas?

    • Kalau ambil dari Mozilla aman rasanya mbak. Ga asal nulis kaya saya. 😛

      Saya nulis sedikit cipher listnya (kalau ga salah) dulu sempat ada masalah pada browser, langsung error karena ga kompatibel. Mungkin di Android, sudah lupa sejarahnya.

      Sep, OSCP Stapling ini memang tahap selanjutnya. HPKP dan HSTS bisa dipertimbangkan juga kalau mau.

      Kalau performa tampaknya sangat minim efeknya mbak. Pemahaman saya tidak semuanya dipakai, tapi diproses pakai algoritma enkripsi yang terkuat dulu baru turun. Ini cuma announcement ke browser Nginx bisa pakai yang mana saja dan sisanya jabat tangan sepakat pakai yang mana. 🙂

    • Ga bisa mbak, permanen ini.

      Sebentar. Maksudnya ini sertifikat SSL yang sudah dibuat diganti domainnya? Atau nambah sertifikat lagi? Kalau yang pertama ya ga bisa mbak. Yang kedua tinggal buat baru saja.

  5. halo mas chanda, sebelumnya salah satu blog saya (www.mygundamtricks.com) abis pakai ssl, ssl berhasil terpasang dan hijau di address bar tapi untuk homepage aja, kenapa dibagian posting belum hijau address barnya ya?

    • Gambarnya mas, masih pakai HTTP. Saya contohkan dari salah satu artikelnya:

      Memuat konten tampilan campuran (tidak aman) "http://www.mygundamtricks.com/wp-content/uploads/2017/02/gundamfigura.jpg" pada laman yang aman[Pelajari Lebih Lanjut]  memanfaatkan-runner-gundam
      Memuat konten tampilan campuran (tidak aman) "https://www.mygundamtricks.com/wp-content/uploads/2017/02/gundamfigura.jpg" pada laman yang aman[Pelajari Lebih Lanjut]  memanfaatkan-runner-gundam
      Memuat konten tampilan campuran (tidak aman) "http://www.mygundamtricks.com/wp-content/uploads/2017/02/gundampartheadset1.jpg" pada laman yang aman[Pelajari Lebih Lanjut]  memanfaatkan-runner-gundam
      Memuat konten tampilan campuran (tidak aman) "https://www.mygundamtricks.com/wp-content/uploads/2017/02/gundampartheadset1.jpg" pada laman yang aman[Pelajari Lebih Lanjut]  memanfaatkan-runner-gundam
      

      Kalau sudah pakai HTTPS maka semua konten statis (gambar, js, css dan sebagainya) harus pakai HTTPS juga. Kalau tidak minimal kasusnya seperti yang mas alami atau malah tampilannya rusak.

    • Udah di coba aktifkan “Automatic HTTPS Rewrites” pada Tab “Crypto” di Cloudflare nya? Kalo belum coba aktifkan dan setelah itu Purge Cache nya 🙂

Tinggalkan komentar