Berulang kali, kami mendengar adanya insiden yang melibatkan pencurian identitas, pencurian password akun, pemasangan malware dari sumber web, dan bahkan ransomware.
Semua pelanggaran keamanan ini memiliki vektor serangan tertentu yang sama, dan itu adalah teknik sosial – saat Anda ditipu untuk mengklik tautan yang tidak seharusnya Anda lakukan, dan saat Anda membuka file atau aplikasi dari sumber yang meragukan. Ini adalah kesalahan yang mudah dilakukan, terutama saat situs web terlihat sah, namun juga mudah dihindari – jika Anda tahu SSL apa adanya.
Jika Anda memikirkannya, Anda mungkin akan ingat bahwa ada ikon gembok hijau di situs online banking Anda, dan biasanya mencakup nama bank Anda. Itu SSL dan itulah yang akan menyelamatkan Anda dari menjadi korban hacks yang jahat.
Pada artikel ini, saya akan menjelaskan, dalam istilah awam, apa arti SSL, dan kepentingannya dalam komputasi sehari-hari sekarang ini.
Apa itu SSL, dan bagaimana cara kerjanya?
Mari kita mulai dengan dasar-dasar: SSL singkatan dari Secure Sockets Layer.
SSL adalah implementasi standar untuk membangun hubungan aman dan terenkripsi antara dua titik di internet – misalnya komputer dan server web Anda.
Sejak itu telah diupdate ke SSL / TLS atau Secure Sockets Layer / Transport Layer Security, namun tetap dikenal hanya sebagai SSL untuk kesederhanaan. Ini juga merupakan dasar untuk HTTP atau HTTPS yang aman – pada dasarnya adalah sebuah situs web yang diangkut melalui protokol transfer hypertext yang melalui koneksi terenkripsi yang aman.
Terlalu banyak jargon? Mari kita sederhanakan lebih jauh lagi, dengan beberapa analogi.
Misalkan Anda ingin membuka rekening dengan bank lokal Anda. Anda mendekati teller, tapi dia tidak ingin membukanya untuk Anda, karena dia tidak mengenal Anda (dan karena akun Anda akan menjadi dasar transaksi di masa depan). Salah satu pilihan adalah agar bank memanggil pihak berwenang (departemen negara bagian misalnya, atau jaminan sosial, atau departemen kendaraan bermotor) karena mereka memiliki identifikasi Anda.
Tapi itu tampaknya membosankan, jadi dia meminta identifikasi. Anda menyediakan paspor Anda, yang berisi data pribadi, biometrik, dan lain-lain. Ini berfungsi sebagai dokumen yang mengotentikasi identitas Anda. Namun, dokumen itu sendiri tidak ada yang luar biasa kecuali mengidentifikasikan Anda. Anda tidak dapat menggunakannya untuk menarik uang dari bank Anda, per se.
Namun, karena paspor Anda adalah dokumen pengenal yang dikeluarkan oleh otoritas terpercaya (pemerintah, departemen negara bagian pada khususnya), Anda dapat menggunakannya untuk membuka rekening, mengakuisisi dan kartu ATM, yang kemudian dapat Anda gunakan untuk menarik diri dari bank.
Demikian pula, skenario yang sama terjadi saat Anda mengakses situs web yang aman. Klien Anda mencari otentikasi dan identifikasi dari server web, yang disajikan melalui sertifikat SSL-nya. Situs web tidak bisa hanya mengatakan “Saya adalah bank Amerika” – dibutuhkan penyedia sertifikat terpercaya untuk menetapkan identitas ini. Ini benar – benar berbentuk jabat tangan SSL , yang merupakan komunikasi balik dan terus-menerus untuk membangun koneksi dan identifikasi sebelum browser web benar-benar meminta informasi yang dibutuhkan.
Apa itu sederhana, kalau begitu? Tidak bisakah saya mendapatkan sertifikat dari penyedia murah?
Sekarang, tidak semua sertifikat SSL dan penyedia sertifikat dibuat sama.
Beberapa adalah sertifikat kelas enterprise dan harganya cukup mahal (bernilai ribuan dolar setiap tahunnya), sementara ada yang praktis terbebas, seperti LetsEncrypt.
Sebuah analogi di sini adalah paspor Anda adalah indikasi aman bagi kewarganegaraan Anda ke sebuah negara, dan ini adalah dokumen yang dapat dipercaya yang menetapkan kewarganegaraan dan identitas Anda. Bahkan bisa digunakan untuk bepergian ke negara lain. Namun, perlu dicatat bahwa tidak semua paspor sama saja. Ada yang lebih “kuat” daripada yang lain, karena seorang pembawa dapat melakukan perjalanan ke lebih banyak negara tanpa memerlukan visa. Untuk pembawa paspor lainnya, mereka diminta untuk mendapatkan dokumen tambahan (visa atau dokumen perjalanan lainnya) sebelum diberi akses ke negara lain.
Dalam napas yang sama, sertifikat SSL berbeda. Pada contoh di atas, misalnya, nama sertifikat itu sendiri ditampilkan di browser, dan ini adalah salah satu jenis sertifikat kelas atas. Sebagian besar sertifikat kelas bawah hanya menunjukkan ikon “Aman”, namun nama pemilik sertifikat tidak disajikan.
Memang, tidak semua situs web memerlukan keamanan situs bank.
Jika Anda menjalankan blog kecil, maka keamanan itu diapresiasi, tapi bukan deal-breaker. Jika Anda menjalankan situs web e-niaga atau perusahaan fintech, pengguna harus membagikan detail seperti alamat, nomor kartu, dan sejenisnya. Dalam kasus ini, perlu memiliki sertifikat SSL tingkat atas.
Sertifikat SSL masuk dalam kelas yang berbeda, seperti yang dinilai oleh platform seperti ssllabs.com. Misalnya, Lifeloe memiliki sertifikat A +.
Salah satu cara untuk membuat sertifikat A + grade tanpa menghabiskan banyak adalah dengan menerapkan infrastruktur situs web atau aplikasi Anda melalui jaringan pengiriman konten yang memiliki sertifikat Grade A +, di mana situs web Anda akan mewarisi sertifikat sertifikat SSL milik CDN sendiri.
Mari kita rekap
Ini tidak menghalangi bahaya potensial lainnya, seperti serangan rekayasa sosial, serangan spoofing, dan vektor serangan lainnya yang dapat menghindari keamanan koneksi.
Untuk menyimpulkan dengan analogi saya sebelumnya, ini seperti seseorang yang menciptakan ID palsu dan berpura-pura menjadi Anda saat melakukan transaksi di bank, atau seseorang yang mencuri kartu ATM atau kartu kredit Anda dan menggunakannya untuk membeli barang atau menarik uang (dengan PIN yang benar).
Namun, SSL tentu saja sangat minim untuk menjamin keamanan transaksi dan komunikasi lintas klien dan server. Tidak ada situs web atau aplikasi yang seharusnya tanpa itu, dan Anda, sebagai pengguna, harus mewaspadai pengiriman informasi melalui koneksi yang tidak aman.
Leave a Reply