Apa Itu HTTPS, dan Mengapa Saya Harus Peduli?
HTTPS, ikon kunci di bilah alamat, sambungan situs web terenkripsi — dikenal sebagai banyak hal. Meskipun pernah dicadangkan terutama untuk sandi dan data sensitif lainnya, seluruh web secara bertahap meninggalkan HTTP dan beralih ke HTTPS.
"S" di HTTPS adalah singkatan dari "Secure". Ini adalah versi aman dari "protokol transfer hypertext" standar yang digunakan browser web Anda saat berkomunikasi dengan situs web.
Bagaimana HTTP Membuat Anda Berisiko
Saat Anda terhubung ke situs web dengan HTTP biasa, browser Anda mencari alamat IP yang sesuai dengan situs web tersebut, menghubungkan ke alamat IP itu, dan menganggapnya terhubung ke server web yang benar. Data dikirim melalui koneksi dalam bentuk teks yang jelas. Seorang penyadap di jaringan Wi-Fi, penyedia layanan internet Anda, atau badan intelijen pemerintah seperti NSA dapat melihat halaman web yang Anda kunjungi dan data yang Anda transfer bolak-balik.
TERKAIT: Apa Itu Enkripsi, dan Bagaimana Cara Kerjanya?
Ada masalah besar dengan ini. Untuk satu hal, tidak ada cara untuk memverifikasi bahwa Anda terhubung ke situs web yang benar. Mungkin Anda mengira telah mengakses situs web bank Anda, tetapi Anda berada di jaringan yang disusupi yang mengarahkan Anda ke situs web penipu. Kata sandi dan nomor kartu kredit tidak boleh dikirim melalui koneksi HTTP, atau penyadap dapat dengan mudah mencurinya.
Masalah ini terjadi karena koneksi HTTP tidak dienkripsi. Koneksi HTTPS adalah.
Bagaimana Enkripsi HTTPS Melindungi Anda
TERKAIT: Bagaimana Browser Memverifikasi Identitas Situs Web dan Melindungi dari Penipu
HTTPS jauh lebih aman daripada HTTP. Saat Anda terhubung ke server yang diamankan HTTPS — situs aman seperti bank Anda akan secara otomatis mengarahkan Anda ke HTTPS — browser web Anda memeriksa sertifikat keamanan situs web dan memverifikasi bahwa itu dikeluarkan oleh otoritas sertifikat yang sah. Ini membantu Anda memastikan bahwa, jika Anda melihat "//bank.com" di bilah alamat browser web Anda, Anda benar-benar terhubung ke situs web bank Anda yang sebenarnya. Perusahaan yang menerbitkan jaminan sertifikat keamanan untuk mereka. Sayangnya, otoritas sertifikat terkadang mengeluarkan sertifikat yang buruk dan sistem rusak. Meskipun tidak sempurna, HTTPS masih jauh lebih aman daripada HTTP.
Saat Anda mengirim informasi sensitif melalui koneksi HTTPS, tidak ada yang bisa mengupingnya saat transit. HTTPS adalah hal yang memungkinkan perbankan dan belanja online yang aman.
Ini juga memberikan privasi tambahan untuk penjelajahan web normal juga. Misalnya, mesin telusur Google sekarang secara default menggunakan koneksi HTTPS. Artinya, orang tidak dapat melihat apa yang Anda telusuri di Google.com. Hal yang sama berlaku untuk Wikipedia dan situs lain. Sebelumnya, siapa pun di jaringan Wi-Fi yang sama akan dapat melihat pencarian Anda, seperti halnya penyedia layanan Internet Anda.
Mengapa Semua Orang Ingin Meninggalkan HTTP
HTTPS awalnya ditujukan untuk kata sandi, pembayaran, dan data sensitif lainnya, tetapi seluruh web sekarang bergerak ke arah itu.
Di AS, penyedia layanan Internet Anda diizinkan untuk mengintip riwayat penjelajahan web Anda dan menjualnya kepada pengiklan. Jika web berpindah ke HTTPS, penyedia layanan Internet Anda tidak dapat melihat sebanyak mungkin data itu — mereka hanya melihat bahwa Anda terhubung ke situs web tertentu, bukan halaman individual mana yang Anda lihat. Ini berarti lebih banyak privasi untuk penjelajahan Anda.
Lebih buruk lagi, HTTP memungkinkan penyedia layanan Internet Anda merusak halaman web yang Anda kunjungi, jika mereka mau. Mereka dapat menambahkan konten ke halaman web, mengubah halaman, atau bahkan menghapus sesuatu. Misalnya, ISP dapat menggunakan metode ini untuk memasukkan lebih banyak iklan ke halaman web yang Anda kunjungi. Comcast sudah memasukkan peringatan tentang batas bandwidth-nya, dan Verizon telah memasukkan supercookie yang digunakan untuk melacak iklan. HTTPS mencegah ISP dan siapa pun yang menjalankan jaringan merusak halaman web seperti ini.
Dan, tentu saja, tidak mungkin membicarakan enkripsi di web tanpa menyebut Edward Snowden. Dokumen yang dibocorkan oleh Snowden pada tahun 2013 menunjukkan bahwa pemerintah AS sedang memantau halaman web yang dikunjungi oleh pengguna internet di seluruh dunia. Ini menyalakan api di bawah banyak perusahaan teknologi untuk bergerak menuju peningkatan enkripsi dan privasi. Dengan beralih ke HTTPS, pemerintah di seluruh dunia memiliki waktu yang lebih sulit untuk melihat semua kebiasaan penjelajahan Anda.
Bagaimana Browser Mendorong Situs Web untuk Membuang HTTP
Karena keinginan untuk pindah ke HTTPS, semua standar baru yang dirancang untuk membuat web lebih cepat memerlukan enkripsi HTTPS. HTTP / 2 adalah versi baru utama dari protokol HTTP yang didukung di semua browser web utama. Itu menambahkan kompresi, pipelining, dan fitur lain yang membantu membuat halaman web memuat lebih cepat. Semua browser web mengharuskan situs menggunakan enkripsi HTTPS jika mereka menginginkan fitur HTTP / 2 baru yang bermanfaat ini. Perangkat modern memiliki perangkat keras khusus untuk memproses enkripsi AES yang dibutuhkan HTTP juga. Ini berarti HTTPS seharusnya lebih cepat dari HTTP.
Sementara browser membuat HTTPS menarik dengan fitur-fitur baru, Google membuat HTTP tidak menarik dengan menghukum situs web karena menggunakannya. Google berencana menandai situs web yang tidak menggunakan HTTPS sebagai tidak aman di Chrome, dan Google ingin memprioritaskan situs web yang menggunakan HTTPS di hasil penelusuran Google. Ini memberikan insentif yang kuat bagi situs web untuk bermigrasi ke HTTPS.
Cara Memeriksa Apakah Anda Terhubung ke Situs Web Menggunakan HTTPS
Anda dapat mengetahui bahwa Anda terhubung ke situs web dengan koneksi HTTPS jika alamat di bilah alamat browser web Anda dimulai dengan "//". Anda juga akan melihat ikon gembok, yang dapat Anda klik untuk informasi lebih lanjut tentang keamanan situs web.
Ini terlihat sedikit berbeda di setiap browser, tetapi sebagian besar browser memiliki // dan ikon gembok yang sama. Beberapa browser sekarang menyembunyikan "//" secara default, jadi Anda hanya akan melihat ikon gembok di sebelah nama domain situs web. Namun, jika Anda mengeklik atau mengetuk di dalam bilah alamat, Anda akan melihat bagian “//” dari alamat tersebut.
TERKAIT: Mengapa Menggunakan Jaringan Wi-Fi Publik Bisa Berbahaya, Bahkan Saat Mengakses Situs Web Terenkripsi
Jika Anda menggunakan jaringan yang tidak dikenal dan Anda terhubung ke situs web bank Anda, pastikan Anda melihat HTTPS dan alamat situs web yang benar. Ini membantu Anda memastikan bahwa Anda benar-benar terhubung ke situs web bank, meskipun ini bukan solusi yang sangat mudah. Jika Anda tidak melihat indikator HTTPS di halaman login, Anda mungkin terhubung ke situs web penipu di jaringan yang disusupi.
Waspadai Trik Phishing
TERKAIT: Keamanan Online: Meruntuhkan Anatomi Email Phishing
Kehadiran HTTPS sendiri bukanlah jaminan bahwa situs tersebut sah. Beberapa phisher yang cerdik telah menyadari bahwa orang-orang mencari indikator HTTPS dan ikon gembok, dan mungkin berusaha keras untuk menyamarkan situs web mereka. Jadi, Anda harus tetap waspada: jangan mengklik link di email phishing, atau Anda mungkin akan menemukan halaman yang disamarkan dengan cerdik. Scammer juga bisa mendapatkan sertifikat untuk server scam mereka. Secara teori, mereka hanya dicegah untuk meniru situs yang tidak mereka miliki. Anda mungkin melihat alamat seperti //google.com.3526347346435.com. Dalam kasus ini, Anda menggunakan koneksi HTTPS, tetapi Anda benar-benar terhubung ke subdomain dari sebuah situs bernama 3526347346435.com — bukan Google.
Penipu lain mungkin meniru ikon gembok tersebut, mengubah favicon situs web mereka yang muncul di bilah alamat menjadi gembok untuk mencoba menipu Anda. Perhatikan trik-trik ini saat memeriksa koneksi Anda ke situs web.