Apa itu SSL (Secure Sockets Layer)?

SSL (Secure Sockets Layer) adalah teknologi keamanan standar untuk membuat hubungan (link) yang dienkripsi antara server dan client. Dalam hal ini yang berperan sebagai server adalah website, dan yang berperan sebagai client adalah browser yang anda gunakan (misalnya Google Chrome, Firefox). Dapat juga antara mail server dan email client (misalnya, Outlook).



SSL memungkinkan informasi sensitif seperti nomor kartu kredit, nomor jaminan sosial, dan login kredensial dapat dikirim dengan aman. Mengapa? Karena biasanya, data yang dikirim antara web browser dan web server dikirim dalam bentuk teks biasa yang sangat rentan terhadap penyadapan. Jika seorang hacker mampu mencegat semua data dan informasi yang dikirim antara browser anda dan web server, mereka dapat melihat, mencuri, dan menggunakan informasi tersebut sesuka hatinya.

Singkatnya, SSL adalah sebuah protokol keamanan. Protokol itu menggambarkan bagaimana algoritma harus digunakan; dalam hal ini, protokol SSL menentukan variabel enkripsi untuk link dan data yang dikirim.

SSL mengamankan jutaan data masyarakat di internet setiap hari, terutama selama transaksi online atau ketika informasi rahasia ditransmisikan melalui internet. Pengguna Internet dapat mengetahui apakah sebuah transaksi telah diamankan dengan SSL dengan memperhatikan apakah situs web yang dibukanya menampilkan ikon kunci atau address bar berwarna hijau yang dilengkapi dengan keterangan validasi SSL. URL website yang telah diproteksi dengan SSL juga dimulai dengan https bukan http.


Sejarah SSL

Protokol SSL pada awalnya dikembangkan oleh Netscape. Algoritma dasar SSL dibuat oleh Dr. Taher Elgamal, Ilmuwan Kepala di Netscape. Berkat hasil kerjanya, Dr. Elgamal kini dikenal sebagai "bapak" SSL.

SSL versi 1.0 tidak pernah diterapkan karena memiliki kerentanan atau celah keamanan yang serius pada protokolnya. Protokol SSL versi 2.0 kemudian dirilis pada Februari 1995, namun juga memiliki sejumlah lubang keamanan yang membuat pengembangnya segera mendesain protokol SSL versi 3.0. Versi terakhir ini kemudian dirilis pada 1996, menjadi versi perbaikan yang lengkap yang dilakukan oleh tiga software engineer Netscape yaitu Paul Kocher, Phil Karlton, dan Alan Freier.

Bagaimana Mekanisme Kerja SSL?

Semua web browser terkemuka memiliki kemampuan untuk berinteraksi dengan secured web server menggunakan protokol SSL. Namun, browser dan server membutuhkan apa yang disebut Sertifikat SSL untuk dapat membuat sambungan aman.

Apakah yang dimaksud dengan Sertifikat SSL dan Bagaimana cara kerjanya?

Sertifikat SSL memiliki sepasang kunci: public dan private key. Kedua kunci ini bekerja sama untuk membangun koneksi terenkripsi. Sertifikat juga mengandung apa yang disebut "subjek," yang merupakan identitas pemilik sertifikat / website.

Untuk mendapatkan sertifikat, Anda harus membuat Permintaan Penandatanganan Sertifikat (Certificate Signing Request, CSR) pada server Anda. Proses ini menciptakan sebuah kunci pribadi dan kunci publik pada server Anda. CSR data file yang Anda kirim ke penerbit sertifikat SSL (disebut Otoritas Sertifikat atau Certificate Authority, CA) berisi kunci publik. CA ini menggunakan CSR data file untuk membuat struktur data untuk mencocokkan kunci pribadi Anda tanpa mengorbankan kunci itu sendiri. Dengan kata lain, CA tidak pernah melihat kunci pribadi.

Setelah Anda menerima (membeli) sertifikat SSL, Anda harus menginstalnya pada server Anda. Anda juga menginstal sepasang sertifikat perantara yang membangun kredibilitas Sertifikat SSL Anda dengan mengikat ke sertifikat root CA Anda. Petunjuk untuk menginstal dan menguji sertifikat Anda akan berbeda tergantung pada server Anda.

Bagian terpenting dari Sertifikat SSL adalah bahwa sertifikat itu secara digital ditandatangani oleh CA yang terpercaya. Siapapun dapat membuat sertifikat, tetapi web browser hanya akan mempercayai sertifikat yang berasal dari organisasi yang ada pada daftar CA terpercaya mereka. Web Browser seperti Internet Explorer, Firefox, Safari, Chrome dan sebagainya yang biasa anda gunakan untuk browsing telah dilengkapi dengan daftar pra-instal CA terpercaya, yang dikenal sebagai Trusted Root CA store. Jika sebuah perusahaan penerbit sertifikat SSL ingin agar namanya dapat ditambahkan ke Trusted Root CA store dan dengan demikian menjadi Otoritas Sertifikat, dia harus mematuhi dan lulus audit standar keamanan dan otentikasi yang ditetapkan oleh browser.

Sertifikat SSL yang dikeluarkan oleh CA untuk sebuah organisasi atau perusahaan dan domainnya/website memverifikasi bahwa pihak ketiga tersebut dapat dipercaya dan identitasnya telah dikonfirmasi. Karena browser mempercayai CA, maka browser sekarang juga percaya pada identitas organisasi/situs web itu juga. Browser memungkinkan pengguna mengetahui bahwa situs tersebut aman, dan pengguna dapat merasa aman melakukan browsing situs dan bahkan memasukkan informasi rahasia mereka (misalnya nomor kartu kredit untuk melakukan pembelian).

Bagaimana cara sertifikat SSL menciptakan koneksi yang aman?

Ketika anda mengakses website yang diamankan dengan SSL, browser anda dan web server membangun koneksi SSL menggunakan proses yang disebut sebagai "SSL Handshake". Perhatikan bahwa SSL Handshake tidak akan terlihat oleh anda sebagai pengguna dan prosesnya terjadi dengan seketika.

Pada dasarnya, ada tiga kunci yang digunakan untuk mengatur koneksi SSL: publik (public key), kunci privat (private key), dan kunci sesi (session key). Apa pun data dan informasi yang dienkripsi dengan kunci publik hanya akan dapat didekripsi (dibuka sandinya) dengan kunci pribadi, dan sebaliknya. Karena proses enkripsi dan dekripsi dengan public dan private key memakan daya CPU yang besar, maka proses tersebut hanya dilakukan sekali pada SSL handshake untuk membuat symmetric session key. Setelah koneksi aman berhasil dibuat, session key digunakan untuk mengenkripsi semua data yang ditransmisikan.


Beginilah urutan prosesnya:

  1. Saat anda mengakses sebuah situs yang menggunakan SSL (https), browser anda melakukan request pada server untuk mengidentifikasikan dirinya.
  2. Server mengirimkan kopi sertifikat SSL miliknya, termasuk dengan public key-nya.
  3. Browser mengecek certificate root tersebut dengan list of trusted CA yang dimilikinya. Jika browser anda mempercayai sertifikat tersebut, dia akan membuat, mengenkripsi, dan mengirim balik sebuah symmetric session key menggunakan public key server.
  4. Server mendekripsi symmetric session key tersebut menggunakan private key-nya dan mengirim balik pengakuan dienkripsi dengan session key tersebut untuk memulai sesi enkripsi.
  5. Server dan browser kini mengenkripsi semua informasi dan data yang ditransmisikan menggunakan session key.

Apakah Anda membutuhkan SSL?

Tergantung. Jika situs anda hanya menampilkan konten yang terbuka dan bersifat informatif belaka (seperti blog atau berita), kebutuhan untuk mengamankan transmisi data dengan sertifikat SSL mungkin tidak terlalu urgent.

Namun jika anda mengoperasikan situs web yang melakukan transaksi pembayaran online atau biasa mentransmisikan data-data pribadi dan rahasia, jawabannya adalah: HARUS! Salah satu komponen yang paling penting dari bisnis online adalah menciptakan lingkungan yang terpercaya di mana pelanggan potensial merasa percaya diri dalam melakukan pembelian. Browser memberikan isyarat visual, seperti ikon kunci atau bar hijau, untuk membantu pengunjung situs mengetahui apakah keamanan koneksi dan pembayaran online mereka dijamin.

Pelanggan Anda ingin tahu bahwa Anda menghargai keamanan mereka dan serius dalam melindungi informasi dan privasi mereka. Semakin banyak pembeli online yang cerdas dan mereka hanya mau bertransaksi dengan pebisnis yang bisa dipercaya.

Komentar

  1. Artikel ini sangat bermanfaat sekali kak. Jangan lupa mampir ya kak kalo butuh layanan SSL murah maxserver.co.id
    Layanan SSL Murah

    Terima kasih

    BalasHapus

Posting Komentar