Untuk merealisasikan keamanan yang unggul untuk seluruh situs web pemerintah daerah, provinsi, dan nasional, Program DotGov Administrasi Layanan Umum (General Service Administration) mengumumkan bahwa domain pemerintahan yang baru akan ditambahkan ke daftar HSTS Preloading pada musim gugur nanti sebagai bagian langkah besar untuk migrasi HTTPS. Sertifikat SSL/TLS disarankan untuk segera digunakan untuk memberikan keamanan HTTPS yang kuat.
Apa yang ada dipikiran Anda dari informasi di atas?
Perubahan besar? Dadakan? Lambat?
Tidak perlu dikatakan, migrasi ke HTTPS ini terjadi jauh lebih lambat dari yang kita inginkan. Namun, terlepas itu ada kabar baik yang ingin kami bagikan ke Anda; Program DotGov mengumumkan rencana untuk menambahkan domain.gov baru ke daftar HSTS Preloading mulai 1 September 2020. Yang menunjukan komitmen mereka untuk menyediakan situs web melalui koneksi protokol yang aman (HTTPS).
Akan tetapi, apa manfaatnya HSTS bagi situs web pemerintahan? Bukan ‘kah hanya terdapat pengumuman publik yang disediakan di situs web sehingga tidak perlu websecurity seperti yang dilakukan oleh pemerintah di Indonesia?
Mari cari tahu.
HSTS Preloading dan Manfaatnya Bagi Keamanan
Pendeknya dari HTTP Strict Transport Security, merupakan kebijakan websecurity yang memaksa browser untuk hanya mengamankan koneksi protokol HTTPS (Hyper Text Transfer Protokol Secure) dengan website yang relevan. HSTS ini akan memaksa browser hanya untuk mengakses situs manapun dalam versi HTTPS dan resource di dalamnya. Sederhananya, apabila Anda mengetik pada address bar http:// maka browser akan mengabaikan permintaan tersebut dan menggunakan https:// bagaimanapun juga.
Hebat, bukan? Kebijakan ini akan memaksa browser untuk terus menggunakan koneksi aman dalam keadaan apapun. Akan tetapi, ada satu peringatan bagi HSTS: harus menggunakan header untuk berkomunikasi dengan parameter keamanan yang terbatas. Yang artinya Anda harus mengunduh header sebelum browser tahu untuk selalu terhubung ke situs web melalui HTTPS ke depannya nanti.
Karena kebijakan diterapkan seperti ini, maka tidak ada peluang celah hacker untuk menyusup selama konseksi pertama (SSL Stripping).
Dan di sinilah HSTS Preloading menyelamatkan segalanya. Daftar HSTS Preloading merupakan sekumpulan situs web yang ditanam (hardcoded) ke browser untuk menggunakan protokol keamanan transportasi (SSL/TLS) yang ketat. Saat seseorang mencoba terhubung ke website yang ada di daftar HSTS Preload untuk pertama kalinya, browser telah mengetahui untuk harus terhubung dengan hanya menggunakan koneksi HTTPS, demikian juga mengeliminasi peluang bagi Hacker.
Sejauh ini daftar tersebut telah dihimpun oleh Google dan dimanfaatkan oleh Chrome, Firefox, Safari, dan Internet Explorer. Situs-situs tersebut tidak bergantung pada penerbitan header response HSTS untuk menjalankan kebijakan, sebaliknya browser telah menyadari bahwa situs-situs tersebut membutuhkan sertifikat SSL/TLS berkualitas sebelum terjadinya komunikasi browser-server. Ini bukan berarti kalau situs web harus berhenti menerbitkan header response HSTS, justru harus dijalankan di browser yang tidak menggunakan daftar HSTS Preloading.
Jadi dengan menambahkan situs-situs web pemerintahan ke daftar HSTS Preloading, dimana para browser yang menggunakan daftar tersebut sudah mengetahui bahwa mereka hanya bisa terhubung menggunakan HTTPS (demikian mengapa dikatakan sebagai ‘HSTS Preloading’ karena Anda pra memuat daftar dengan domain-domain yang telah ditentukan).
Manfaat tambahan yang ditambahkan dari HSTS Preloading adalah pengguna akan mengalami kecepatan loading page karena browser tidak lagi memerlukan server redirect dari HTTP ke HTTPS.
Bagaimana Data Ditransfer Tanpa Menggunakan HTTPS
Kenapa HSTS Preloading dan menggunakan protokol HTTPS sangat dibutuhkan? Sepertinya itu tidak akan mempengaruhi proses transmisi data selama menyeberangi internet.
Tidak sayang, itu salah.
Informasi apapun yang dikirimkan di antara dua pihak (dalam kasus ini biasanya adalah browser sebagai pengguna dan server sebagai pemilik website) masih dalam bentuk plaintext, informasi ini akan sangat mudah dibaca oleh penyusup. Dan ini terjadi apabila menggunakan koneksi HTTP yang tidak aman. Selain menjadi masalah besar, kasus ini juga merupakan masalah keamanan yang menyebabkan pencurian identitas dan serangkaian tujuan jahat lainnya.
Pada dasarnya, HTTPS adalah koneksi HTTP yang hanya saja diberikan perlindungan (S for Secured) yang dijadikan sebagai koneksi aman melalui lapisan keamanan transportasi dan dikombinasikan dengan tanda tangan digital (digital signing). Koneksi jenis ini memungkinkan komunikasi yang terenkripsi antar dua pihak dan memastikan data transmisi aman.
Berdasarkan pernyataan dari situs DotGov:
“HTTPS is a key protection for websites and web users. It offers security and privacy when connecting to the web, and provides governments the assurance that what they publish is what is delivered to users. In the last few years, HTTPS has become the default connection type on the web.”
Terjemahan:
“HTTPS merupakan kunci perlindungan bagi website dan pengguna. Dengan menawarkan keamanan dan privasi saat terhubung ke web dan memberikan pemerintah jaminan bahwa apa yang mereka publikasikan adalah apa yang disampaikan ke pengguna. Dalam beberapa tahun terakhir, HTTPS menjadi jenis koneksi default di web.”
Laporan data transparansi Google terbaru (21 Juni 2020) menujukan 95% pengguna menggunakan koneksi HTTPS.
Ini merupakan peningkatan yang bagus untuk mendekati angka 100%—karena kita tahu kalau Candi Borobudur tidak bisa dibangun dalam satu malam. Dan mempertimbangkan bahwa internet aslinya dibuat sebagai tempat bagi pemerintah untuk; penelitian, pelaporan, pembagian data–namun, inovasi peradaban yang kita alami akan terus berkembang hingga mencakup urusan bisnis dan pribadi, dari sini sedikit bisa dipahami kalau perubahan besar membutuhkan waktu.
Ada hal penting yang perlu dicatat, meskipun HTTPS menjamin integrasi keamanan komunikasi di antara dua pihak, itu tidak menjamin apabila pihak maupun sistem yang sedang berkomunikasi dengan Anda adalah asli, bukan penipu.
Peran Sertifikat SSL/TLS Sebagai Keamanan Web
Menggunakan enkripsi di website tidak juga memberikan hal bagus jika Anda malah terhubung ke perangkat Hacker bukannya server tujuan. Tetapi, ada satu solusi yang bisa Anda lakukan untuk menghadapi situasi tersebut; menginstal sertifikat SSL/TLS berbasis EV (high assurance) atau minimal SSL/TLS OV berkualitas dari Otoritas Sertifikat yang kredibel. Dengan begitu Anda bisa memastikan data yang ditransmisi di antara pengguna dan Anda aman.
- Otentikasi web server klien – Memungkinkan klien untuk memverifikasi kalau mereka sedang terhubung dengan pihak asli. Karena pengguna bisa menyaksikan sendiri bukti legitimasi pihak tersebut melalui sertifikat SSL/TLS yang telah divalidasi.
- Menggunakan kunci enkripsi untuk mengamankan – Apa yang dilakukan kunci ini adalah mengirimkan data yang dienkrip melalui koneksi aman dan siapapun yang di luar tidak bisa mendekripnya maupun membaca data tersebut karena mereka tidak memiliki private key.
Menggunakan sertifikat SSL/TLS sudah memfasilitasi koneksi website HTTPS untuk melawan eavesdropping ataupun serangan MIM. Namun, tidak akan ada yang thu dengan siapa lawan mereka selama berkomunikasi, kecuali menggunakan sertifikat SSL/TLS EV atau OV yang didukung dengan jaminan identitas dan kepercayaan.
Apa yang menjadi perhatian di sini adalah bukan 95% situs yang telah dilaporkan oleh Google, melainkan 5% sisanya. Jika Anda mempersempit koneksi traffic ke domain pemerintahan, tetap masih ada banyak orang-orang di situ dan berpotensi melakukan kesalahan koneksi apabila tidak diproses dengan tepat.
Dan 5% tersebut termasuk juga bagi situs-situs web pemerintah di Indonesia, baik daerah, provinsi, bahkan nasional. Sudah menjadi rahasia umum, jika situs web pemerintah lokal memiliki tingkat keamanan yang rendah bahkan dengan rata-rata 98% situs rentan terhadap serangan. Memang benar, pemerintah kita masih belum memiliki infrastruktur yang memadai seperti negara lainnya, namun tidak menutupi celah kerentanan pada website juga akan membawa dampak berkepanjangan bahkan di saat-saat kritis. Masih ingat kasus peretasan situs web KPU tahun lalu? Sebagai penyedia informasi bagi publik terkait pemilihan umum, seharusnya keamanan siber; server, pusat data, dan situs web sudah dilakukan penilaian sehingga tidak menyebabkan downtime pada situs.
Kesenjangan kesadaran terhadap websecurity menjadi masalah utama keamanan siber di Indonesia. Mengapa situs besar seperti KPU menggunakan shared hosting dan Administrator yang minim pengalaman? Karena kurangnya kesadaran tentu saja. Dan akan lebih baik juga jika menggunakan sertifikat SSL/TLS berkualitas serta HSTS untuk memberikan totalitas keamanan informasi dan performa situs.
Selanjutnya, perubahan ke HTTPS melalui HSTS Preloading memberikan arti bahwa protokol yang tidak aman alias HTTP semakin dekat dengan penghapusan permanen.
