Like & Share:
- Like & Share : Bagikan jika artikel ini berguna, selalu banyak cara untuk membagikannya termasuk ke pacar anda.
- Comment : Berikan komentar positif dan selalu relevan, komen spam dan tidak relevan tidak akan pernah di publikasikan.
- Thank You : Terima kasih atas partisipasi dan kontribusi anda. ---Thank you for your time!
TokoDaring.Com – HSTS Website eCommerce. Satu hal lagi yang mungkin perlu diimplementasikan pada header website toko daring anda dan ini terkait dengan masalah keamanan. Setelah sebelumnya berhasil mengimplementasikan ssl website eCommerce. Anda perlu untuk mengimplementasikan HSTS.
Feed Ads by Google!
Table of Contents
Artikel Lainnya:
Improvisasi Performa WordPress
HSTS (HTTP Strict Transport Security)
HSTS atau HTTP Strict Transport Security adalah metode pendeklarasian sebuah website/domain bahwa dia hanya dapat diakses dengan protokol koneksi HTTPS dan bukan lagi hanya dengan HTTP semata.
Pada artikel kami sebelumnya tentang ssl website eCommerce, website eCommerce dengan protocol https akan mengenkripsi setiap komunikasi yang terjadi antar jaringan. Namun itu ternyata itu belum cukup untuk benar-benar memberikan keamanan pada transaksi website eCommerce.
SSL memang mengenkripsi data yang di transmisikan antar jaringan. Tapi ternyata masih ada celah bagi man in the middle karena masih ada kesempatan terjadi http request sebelum itu di alihkan (redirect 301) ke https.
Lain halnya jika website toko daring anda mengimplementasikan HSTS. HSTS akan memberikan instruksi ke browser. Bahwa mulai itu di deklarasikan hingga untuk periode lama yang juga di deklarasikan didalam perintah, misalnya 31536000. Setiap koneksi ke situs website dan subdomainnya tidak boleh lagi menggunakan koneksi HTTP.
Feed Ads by Google!
Itu berarti, jika HTTPS tidak tersedia, misalnya sertifikat yang expired atau invalid, atau masalah lainnya pada SSL, maka website anda benar-benar tidak dapat di akses.
HSTS website eCommerce
Sebenarnya tidak ada macam-macam versi untuk HSTS. HSTS, untuk jenis website apapun adalah sama. Semua di deklarasikan via Header Strict-Transport-Security untuk mencover level domain utama dan subdomain via direktif includeSubDomains.
Menciptakan kondisi yang nyaman kepada pengunjung dan pembeli tentu akan berpengaruh baik pada SEO dan revenue website eCommerce anda. Sebenarnya banyak directive https header yang memberikan pengaruh positif pada optimasi SEO anda.
Dalam hal anda ingin menciptakan proses yang aman tentang apapun yang terjadi pada website eCommerce anda, maka anda harus mengadopsi standar keamanan ini.
Meskipun pada kondisi sebaliknya, banyak ketakutan yang terjadi di antara pemilik website yang khawatir bahwa HSTS bisa berakibat pada tidak dapat di aksesnya website dan ini akan merusak SEO.
Feed Ads by Google!
Seperti pada penjelasan di atas, bahwa website yang mengaplikasikan HSTS ini memang benar-benar tidak dapat di akses jika terjadi masalah pada protokol HTTPSnya. Biasanya penyebabnya adalah sebagai berikut :
- Karena SSL yang expired.
- SSL invalid (self signed), atau dari CA (certificate authority) yang tidak diketahui.
- Atau masalah lain pada DNS yang berkaitan dengan SSL.
Sekali mengimplementasikan HSTS pada website, lalu terjadi pada masalah-masalah SSL seperti di atas hingga website tidak dapat di akses. Proses untuk menonaktifkannya memang akan membuat anda berdarah-darah.
Itu yang menyebabkan ketakutan di antara para pemilik website untuk mengaktifkan HSTS. Bahkan, banyak website-website perusahaan besar pun tidak mengimplementasikan ini.
Cara mengaktifkan HSTS
Ok, tekad anda sudah bulat akan mengimplementasikan HSTS di website bisnis eCommerce anda, karena ingin benar-benar memberikan perlindungan level VVIP pada pengunjung dan kustomer.
Berikutnya adalah bagaimana cara mengaktifkan HSTS ini. Tapi sebelum anda benar-benar mengaktifkan HSTS, ada beberapa saran dari kami agar proses ini benar-benar berjalan mulus hingga periode akhirnya.
Feed Ads by Google!
- Konfigurasi SSL yang sudah sempurna.
- Jika anda ingin menggunakan layanan SSL berbayar, maka pilih dan tentukan SSL yang ingin anda gunakan.
- Jangan lupa untuk memperpanjang SSL yang akan ekspired, atau gunakan fitur auto extend / renewal.
- Jika anda berniat untuk menggunakan CDN, lakukan dulu konfigurasi CDN yang anda pilih.
Cara mengaktifkan HSTS adalah semudah anda menuliskan beberapa baris perintah ke dalam file .htaccess sebagai berikut.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadmax-age=31536000 adalah angka dalam satuan detik, (31536000 detik = 365 hari / 1 tahun). Itu berarti sejak HSTS di deklarasikan hingga satu tahun ke depan koneksi ke website harus strict via HTTPS.
Sedangkan includeSubDomains; preload, itu berarti koneksi hanya via HTTPS juga termasuk atau megcover seluruh subdomain yang anda miliki.
Submit/preloading domain melalui halaman inisiasi HSTS, -hstspreload.org
Selanjutnya, kunjungi halaman inisiasi preload HSTS di alamat https://hstspreload.org/ dan submit domain anda disana (dengan minimum max age = 1 tahun).
Beberapa cara berikut adalah cara lainnya untuk mengaktifkan HSTS.
Feed Ads by Google!
Cara mengaktifkan HSTS website WordPress menggunakan plugin Really Simple SSL
Setelah sukses memasang SSL, maka HSTS bisa diaktifkan dengan menggunakan salah satu fitur plugin really simple SSL. Tapi ini hanya bisa di lakukan menggunakan versi plugin really simple SSL versi premium.
Jika tertarik untuk menggunakan plugin really simple SSL premium, silahkan download di halaman plugin Really Simple SSL Premium. Proses implementasi HSTS semudah anda mengONkan toggle saja (OFF to ON).
Cara mengaktifkan HSTS melalui CDN Cloudflare
Cloudflare CDN juga memiliki fasilitas untuk mengaktifkan HSTS. Baik customer cloudflare versi berbayar maupun customer versi gratis dapat mengaktifkan HSTS, dengan cara sebagai berikut.
- Akses dashboard cloudflare dan menu SSL/TLS.
- Pada tab Edge Certificates :
- Pastikan Always Use HTTPS diaktifkan ke ON.
- Lalu pada bagian bawahnya HTTP Strict Transport Security (HSTS) klik enable HSTS.
- Baca dulu tab Acknowledgement jika oke, centang checkbox I understand dibagian bawah.
- Selanjutnya pada tab Configure klik semuanya menjadi ON.
- Max Age Header (max-age) set ke periode berapa bulan yang menurut anda nyaman (cloudflare merekomendasikan setidaknya 6 bulan).
- Lalu klik Save.
Biarkan berjalan selama beberapa hari /minggu atau bulan untuk mengobservasi kondisi website, apakah ada hal-hal yang janggal dari sisi trafik dan lainnya. Jika semua OKE dan komitment anda sudah full untuk menikahi website anda dengan HSTS, balik lagi ke setting tersebut dan set Max Age Header menjadi 1 tahun.
Cara mengaktifkan HSTS via file .htaccess (apache)
# Penentuan max age (6 bulan, 1 tahun atau 2 tahun) convert ke detik
<IfModule mod_headers.c>
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
</IfModule>Anda dapat memeriksa response header melalui browser chrome. Implementasi HSTS di website dengan status sukses jika :
Feed Ads by Google!
Akses melalui http, response headers = Non-Authoritative-Reason: HSTS dan request header, Upgrade-Insecure-Requests: 1. Atau akses melalui https, response headers = strict-transport-security: max-age=31536000; includeSubDomains; preload dan request header Upgrade-Insecure-Requests: 1.
Cara menonaktifkan HSTS
Sepertinya banyak webmaster yang mengalami masalah terkait dengan HSTS, hingga websitenya tidak dapat di akses. Kami melihat pencarian google search dengan query “Cara menonaktifkan HSTS” tampak begitu tinggi.
Cara menonaktifkan HSTS semudah melakukan preload. Tapi seperti kami utarakan di atas bahwa permintaan penonaktifan hsts tidak dapat dibatalkan dengan mudah. Domain dapat dihapus, tetapi perlu waktu berbulan-bulan agar perubahan dapat menjangkau pengguna pada setiap browser (Chrome, mozila, safari dan lainnya.
Untuk itu jangan pernah, kami ingatkan lagi jangan melakukan preload HSTS kecuali anda yakin bahwa website eCommerce anda dapat mendukung HTTPS untuk seluruh situs (main dan subdomain) dalam jangka panjang.
Untuk meminta penghapusan, kunjungi halaman hsts removal dan ketikan domain anda pada label yang tersedia.
Feed Ads by Google!
Dengan menggunakan form removal tersebut, domain mungkin baru akan terhapus, setelah 6-12 minggu untuk browser chrome atau browser lainnya.
Cara menonaktifkan HSTS via file .htacces
Untuk benar-benar menonaktifkan HSTS, juga bisa dilakukan dengan mengirim entri direktif via file .htaccess dengan perintah sebagai berikut:
Ketat-Transportasi-Keamanan: usia maks = 0
Jika Anda ingin dihapus dari daftar pramuat tetapi tidak sepenuhnya ingin menonaktifkan HSTS, terserah Anda apakah Anda ingin menghapus direktif includeSubDomains atau mengubah nilai usia maksimum, selama Anda menghapus direktif pramuat.
Cara menghapus HSTS di Chrome
Ini cara menghapus HSTS di chrome browser :
Feed Ads by Google!
- Buka Google Chrome.
- Pada URL bar, ketikan
chrome://net-internals/#hsts. - Masukan nama domain yang ingin di hapus pada label
Query HSTS/PKP domain. - Lalu, pada bagian Delete domain security policies, masukkan nama domain yang ingin di hapus.
Artikel terkait :