Meskipun HTTPS versi amannya HTTP, tidak menutup kemungkinan situs tersebut juga rentan terkena serangan. SSL Stripping merupakan serangan yang digunakan untuk menghindari keamanan sertifikat SSL/TLS di situs web ber-HTTPS. Dalam kata lain, serangan ini adalah teknik yang menurunkan koneksi HTTPS Anda menjadi HTTP yang tidak aman dan memancing aksi eavesdropping maupun MIM Attack.
Teknisnya, serangan ini sering digunakan sebagai pengalihan 301 (permanen) dan 302 (sementara):
- Pengguna mengetik pusatssl.com pada address bar.
- Browser awalnya mencoba memuat http://pusatssl.com sebagai default.
- “pusatssl.com” diatur dengan penglihan permanen (301) ke https://pusatssl.com.
- Browser melihat pengalihan dan mulai memuat https://pusatssl.com sebagai gantinya.
Dalam semisal gambaran kasus di atas, penjahat bisa mengambil 3-4 langkah untuk memblokir permintaan pengalihan dan menghentikan browser untuk memuat versi amannya (HTTPS) dan situs HTTP lah yang diteruskan kepada pengguna. Pada situs ber-HTTP (not secured) segala informasi yang ditransmisi tidak dienkripsi dan peluang pencurian identitas maupun kredensial adalah 100%. Karena koneksi diturunkan keamanannya dari HTTPS menjadi HTTP, maka serangan ini juga dikenal sebagai HTTP Downgrade Attack.
Akan tetapi, SSL/TLS dan HTTPS merupakan gagasan penting yang memberikan inovasi bagi websecurity. Dan jalan keluar untuk setiap kendala sebuah gagasan akan selalu ada, berikut 2 hal yang bisa Anda lakukan untuk meningkatkan keamanan website HTTPS:
- Aktifkan protokol HTTPS di seluruh halaman website – konten dan gambar termasuk.
- Menjalankan kebijakan HSTS (kebijakan yang memerintah browser untuk hanya membuka situs ber-HTTPS).
