HTTPS adalah saluran HTTP yang aman yang melindungi konten yang dikirimkan melalui Content Delivery Network (CDN). Ini memungkinkan klien menjelajahi situs web dengan aman dan efisien sambil mengakses konten pada kecepatan tinggi. Topik ini menjawab pertanyaan-pertanyaan umum (FAQ) tentang HTTPS.
Apakah ada biaya tambahan untuk mengaktifkan akselerasi HTTPS untuk CDN?
Bagaimana cara mengunggah sertifikat pihak ketiga yang berisi beberapa file .crt?
Saya sudah mengonfigurasi HTTPS. Mengapa klien masih mengakses situs saya melalui HTTP?
Bagaimana cara menghapus perlindungan kata sandi dari file kunci privat?
Apa itu HTTPS?
Hypertext Transfer Protocol Secure (HTTPS) adalah protokol keamanan yang mengenkripsi data yang ditransmisikan melalui HTTP. Protokol HTTP mengirimkan konten dalam teks biasa dan tidak menyediakan enkripsi data. HTTPS adalah versi aman dari HTTP yang membungkus protokol HTTP dengan SSL atau TLS. Keamanan HTTPS didasarkan pada SSL atau TLS. HTTPS menyediakan verifikasi identitas dan komunikasi terenkripsi. Ini banyak digunakan untuk komunikasi sensitif keamanan di World Wide Web, seperti transaksi pembayaran. Saat Anda mengonfigurasi HTTPS di Alibaba Cloud CDN, Anda harus menyediakan sertifikat untuk nama domain Anda. Sertifikat tersebut kemudian diterapkan ke semua titik kehadiran (POP) CDN untuk mengaktifkan transmisi data terenkripsi di seluruh jaringan.
Apa saja jenis serangan HTTP yang umum?
HTTPS hanyalah satu bagian dari akses yang aman. Untuk memastikan keamanan jaringan secara menyeluruh, Anda juga perlu menggunakan pertahanan seperti WAF dan DDoS. Berikut adalah jenis serangan HTTP yang umum:
Injeksi SQL: Seorang penyerang dapat menyuntikkan dan mengeksekusi perintah SQL jahat ke mesin database backend melalui aplikasi yang ada. Mereka juga dapat mengakses database situs web yang rentan dengan memasukkan pernyataan SQL jahat dalam formulir web, yang kemudian dieksekusi berbeda dari yang dimaksudkan oleh desainer.
Serangan Cross-site scripting (XSS): Cross-site scripting (XSS) adalah salah satu metode paling umum dan dasar yang digunakan untuk menyerang situs web. Penyerang memposting data yang berisi kode jahat di halaman web. Ketika pengunjung melihat halaman ini, skrip berjalan dengan identitas dan izin pengunjung. XSS dapat digunakan untuk memodifikasi data pengguna dan mencuri informasi pengguna.
Serangan Cross-site request forgery (CSRF): Cross-site request forgery (CSRF) adalah serangan umum lainnya. Seorang penyerang memalsukan permintaan dengan berbagai cara untuk meniru pengguna yang sedang mengirimkan formulir. Ini memungkinkan penyerang memodifikasi data pengguna atau melakukan tugas tertentu. Untuk meniru pengguna, serangan CSRF sering digabungkan dengan serangan XSS. Namun, mereka juga dapat dilakukan dengan cara lain, seperti menipu pengguna untuk mengklik tautan jahat.
Serangan header HTTP: Protokol HTTP digunakan saat Anda menggunakan browser untuk melihat situs web apa pun, terlepas dari teknologi dan kerangka kerja situs web tersebut. Protokol HTTP memiliki baris kosong antara header respons dan konten, yang terdiri dari dua set karakter CRLF (0x0D 0A). Baris kosong ini menandai akhir header dan awal konten. Penyerang dapat mengeksploitasi kerentanan ini. Serangan ini dapat terjadi jika penyerang dapat menyuntikkan karakter apa pun ke dalam header.
Serangan pengalihan: Phishing adalah metode serangan umum. Penyerang phishing biasanya mengirimkan tautan yang tampak sah kepada korban. Ketika korban mengakses tautan tersebut, mereka dialihkan ke situs web jahat. Ini dilakukan untuk menipu korban agar mempercayai situs tersebut dan mencuri informasi mereka. Untuk mencegah hal ini, semua operasi pengalihan harus ditinjau untuk menghindari pengalihan ke lokasi jahat. Salah satu solusi umum adalah menggunakan daftar putih. Anda dapat menambahkan URL pengalihan yang sah ke daftar putih. Pengalihan ke domain yang tidak ada di daftar putih ditolak. Solusi lainnya adalah menggunakan token pengalihan. Anda dapat menambahkan token ke URL yang sah dan memverifikasinya selama pengalihan.
Apakah HTTPS hanya diperlukan untuk login situs web?
Tidak. Pertimbangkan poin-poin berikut:
Keamanan: Jika beberapa halaman menggunakan HTTP dan yang lainnya menggunakan HTTPS, situs web Anda berisiko mengekspos informasi pengguna ketika sumber daya lain, seperti file JS atau CSS, dimuat melalui HTTP atau dari layanan CDN yang tidak aman. Menggunakan HTTPS untuk seluruh situs adalah cara termudah untuk mengurangi risiko ini.
Kinerja: Saat situs web menggunakan protokol HTTPS dan HTTP, beralih di antara keduanya memerlukan beberapa pengalihan server. Pengalihan ini memperlambat waktu pemuatan halaman.
Manfaat jaringan luas: Browser lebih ramah terhadap HTTPS. Mesin pencari juga memberikan dukungan yang lebih baik untuk pengindeksan situs HTTPS.
Sertifikat apa yang perlu saya konfigurasikan untuk HTTPS?
Jika Anda hanya perlu mengenkripsi permintaan dari klien ke CDN POP, Anda harus mengonfigurasi sertifikat HTTPS di CDN.
Jika Anda ingin mengonfigurasi akses HTTPS end-to-end, Anda harus mengonfigurasi sertifikat HTTPS di CDN dan di server asal Anda. Untuk informasi lebih lanjut, lihat Apa itu akselerasi HTTPS.
Apakah ada biaya tambahan untuk mengaktifkan akselerasi HTTPS untuk CDN?
Ya, ada biaya tambahan. Mengaktifkan akselerasi HTTPS untuk CDN mengamankan tautan dari klien ke titik kehadiran (POP) CDN. Jabat tangan SSL dan dekripsi konten memerlukan komputasi, yang meningkatkan konsumsi sumber daya CPU server CDN. Namun, ini tidak meningkatkan konsumsi sumber daya server asal Anda karena tautan dari CDN POP ke server asal Anda masih menggunakan protokol HTTP.
Anda dikenakan biaya tambahan jika Anda membeli jenis sertifikat yang berbeda. Anda juga dapat masuk ke Konsol Layanan Manajemen Sertifikat untuk meminta sertifikat uji individu gratis. Sertifikat uji individu (Edisi Gratis) adalah sertifikat Validasi Domain (DV). Anda dapat meminta satu sertifikat uji individu gratis untuk setiap nama domain yang dipercepat. Sertifikat tersebut berlaku selama tiga bulan dan dapat diperbarui secara otomatis secara gratis saat kedaluwarsa. Setelah Anda mengonfigurasi sertifikat HTTPS, Anda akan dikenakan biaya untuk semua permintaan HTTPS untuk nama domain tersebut di CDN.
Apakah permintaan HTTPS dikenakan biaya ketika diblokir oleh daftar hitam/daftar putih IP atau User-Agent, atau ketika kode status 403/404 dikembalikan?
Ya, mereka dikenakan biaya. Saat permintaan memenuhi aturan kebijakan dan kode status 403 atau 404 dikembalikan, permintaan tersebut dianggap telah direspons dengan benar. Oleh karena itu, permintaan tersebut dihitung sebagai satu permintaan HTTPS. Karena permintaan tersebut tidak membawa konten sumber daya apa pun, lalu lintasnya minimal, dan lalu lintas yang dapat ditagih juga minimal.
Jika server asal saya sudah dikonfigurasi dengan HTTPS, apakah saya masih perlu mengonfigurasikannya di CDN?
HTTPS melibatkan interaksi antara klien dan server. Sebelum Anda menggunakan CDN, klien berinteraksi langsung dengan server asal. Oleh karena itu, server asal harus memiliki HTTPS yang dikonfigurasi. Setelah Anda mulai menggunakan CDN, klien berinteraksi dengan CDN. Jika Anda ingin mengakses CDN melalui HTTPS, Anda harus mengonfigurasi sertifikat HTTPS di CDN. Untuk informasi lebih lanjut tentang cara mengonfigurasi sertifikat HTTPS di CDN, lihat Konfigurasikan sertifikat HTTPS.
Apakah mengaktifkan akselerasi HTTPS mengonsumsi lebih banyak sumber daya atau mengurangi kecepatan akses?
Saat server asal mengaktifkan HTTPS, konsumsi sumber daya komputasi meningkat dibandingkan dengan akses melalui HTTP. Ini terutama disebabkan oleh konsumsi enkripsi dan dekripsi asimetris selama jabat tangan HTTPS. Konsumsi sumber daya meningkat secara signifikan dalam skenario konkurensi tinggi. Konsumsi enkripsi dan dekripsi simetris pada dasarnya sama dengan HTTP. Oleh karena itu, Anda perlu meningkatkan tingkat penggunaan ulang sesi. Namun, mengakses server asal langsung melalui HTTPS membutuhkan waktu lebih lama daripada mengaksesnya langsung melalui HTTP.
Saat Anda menggunakan akselerasi dinamis untuk akses HTTPS end-to-end, waktu jabat tangan SSL rata-rata dipersingkat. Dalam skenario konkurensi tinggi, tingkat penggunaan ulang sesi server asal meningkat secara signifikan, dan konsumsi sumber daya server asal berkurang.
Untuk konten statis: Menggunakan distribusi tepi mengurangi waktu transmisi tetapi meningkatkan waktu jabat tangan. Oleh karena itu, waktu akses keseluruhan berkurang. Sumber daya statis tidak memerlukan pengambilan asal, yang mengurangi interaksi dengan server asal dan menurunkan konsumsi sumber dayanya.
Untuk konten dinamis: Pemilihan jalur lebih terkendali dan optimal dibandingkan dengan akses jaringan publik tradisional. Permintaan dinamis harus diambil dari asal. Menggunakan akselerasi dinamis untuk pengambilan asal dapat meningkatkan tingkat penggunaan ulang sesi dan meningkatkan kecepatan transmisi keseluruhan. Karena permintaan dinamis harus diambil dari asal, enkripsi dan dekripsi asimetris sangat penting, yang meningkatkan konsumsi sumber daya server asal. Namun, menggunakan akselerasi dinamis untuk pengambilan asal guna mencapai akses HTTPS end-to-end adalah solusi paling optimal dalam hal konsumsi sumber daya keseluruhan.
Bagaimana cara mengonfigurasi sertifikat HTTPS?
Anda dapat mengonfigurasi sertifikat HTTPS di konsol CDN. Untuk informasi lebih lanjut, lihat Konfigurasikan sertifikat HTTPS.
Apa yang harus saya lakukan jika muncul kesalahan "sertifikat duplikat" saat saya mengunggah sertifikat HTTPS?
Saat Anda mengunggah sertifikat tipe Upload Custom Certificate (Certificate+Private Key), jika sistem menunjukkan bahwa sertifikat tersebut merupakan duplikat, ubah nama sertifikat dan unggah kembali.
Bagaimana cara mengunggah sertifikat pihak ketiga yang berisi beberapa file .crt?
File sertifikat yang dikeluarkan oleh otoritas sertifikasi perantara (CA) berisi beberapa sertifikat. Anda harus menggabungkan sertifikat server dan sertifikat perantara menjadi satu sertifikat lengkap sebelum mengunggahnya.
Buka semua file sertifikat *.PEM di editor teks. Tempatkan sertifikat server terlebih dahulu dan sertifikat perantara kedua. Tidak boleh ada baris kosong di antara sertifikat. Biasanya, CA penerbit memberikan instruksi saat menerbitkan sertifikat. Pastikan untuk membaca aturan dan instruksi.
Sertifikat gabungan ditampilkan pada gambar berikut.
Bagaimana cara mengonversi sertifikat jika muncul kesalahan "format sertifikat tidak valid" selama konfigurasi?
Konfigurasi HTTPS hanya mendukung sertifikat berformat PEM. CA yang berbeda memiliki persyaratan berbeda untuk mengunggah konten sertifikat. Untuk persyaratan format spesifik, lihat Persyaratan format sertifikat. Jika sertifikat Anda tidak dalam format PEM, Anda harus mengonversi formatnya sebelum mengunggah. Untuk informasi lebih lanjut, lihat Mengonversi format sertifikat.
Jika sertifikat HTTPS di server asal saya diperbarui, apakah saya perlu menyinkronkan pembaruan ke CDN?
Tidak, tidak perlu. Memperbarui sertifikat HTTPS di server asal Anda tidak memengaruhi sertifikat HTTPS di CDN. Anda hanya perlu memperbarui sertifikat HTTPS di CDN ketika akan kedaluwarsa atau sudah kedaluwarsa. Untuk informasi lebih lanjut, lihat Konfigurasikan sertifikat HTTPS.
Jika saya mengaktifkan "Termasuk Subdomain" saat mengonfigurasi HSTS, apakah saya juga perlu mengaktifkan HSTS pada subdomain?
Tidak, Anda tidak perlu. Setelah Anda mengaktifkan "Termasuk Subdomain", kebijakan HSTS berlaku pada semua subdomain. Pastikan bahwa semua subdomain mendukung akses HTTPS. Jika tidak, subdomain tersebut akan menjadi tidak dapat diakses.
Saya sudah mengonfigurasi HTTPS, jadi mengapa klien masih mengakses situs saya melalui HTTP?
Apakah klien menggunakan HTTP atau HTTPS untuk mengakses situs Anda ditentukan oleh perilaku klien. Jika Anda ingin memaksa klien menggunakan HTTPS, Anda dapat mengaktifkan pengalihan paksa ke HTTPS di CDN. Untuk informasi lebih lanjut, lihat Konfigurasikan pengalihan paksa.
Mengapa sebagian besar perangkat dapat mengakses nama domain yang dipercepat HTTPS, tetapi beberapa perangkat tidak bisa?
Ini terutama karena CDN bergantung pada Indikasi Nama Server (SNI) untuk memproses permintaan HTTPS. SNI adalah ekstensi protokol TLS. Ini memungkinkan klien menentukan nama host yang ingin diakses saat memulai permintaan koneksi HTTPS.
Namun, beberapa klien yang lebih lama atau dikonfigurasi khusus mungkin tidak mendukung SNI atau mungkin tidak mengirimkan informasi SNI saat memulai permintaan HTTPS. Contohnya termasuk versi lama Android atau iOS, Java 6 dan sebelumnya, dan beberapa perangkat Internet of Things (IoT). Dalam kasus ini, CDN POP tidak dapat menentukan situs tepat yang ingin diakses klien. Akibatnya, POP tidak dapat menyediakan sertifikat SSL/TLS yang benar. Upaya koneksi HTTPS gagal, dan pengguna tidak dapat mengakses konten situs web.
Untuk menyelesaikan masalah ini, Anda dapat mengambil langkah-langkah berikut:
Perbarui sistem klien: Pastikan Anda menggunakan versi terbaru sistem operasi dan perangkat lunak untuk mendapatkan dukungan SNI.
Perbarui firmware perangkat IoT: Untuk perangkat IoT, secara teratur periksa dan instal pembaruan firmware terbaru dari produsen.
Bagaimana cara menghapus perlindungan kata sandi dari file kunci privat?
Konfirmasi apakah kunci dilindungi kata sandi
Jika Anda yakin bahwa kunci privat dilindungi kata sandi dan Anda mengetahui metode enkripsinya, lanjutkan ke langkah 2 untuk mendekripsinya. Jika Anda tidak yakin apakah kunci privat dilindungi kata sandi atau Anda tidak mengetahui metode enkripsinya, Anda dapat melakukan langkah-langkah berikut:
Kunci privat dienkripsi dengan algoritma RSA
Jalankan perintah berikut menggunakan OpenSSL. Jika kunci privat dienkripsi, OpenSSL akan meminta Anda untuk memasukkan kata sandi:
Enter pass phrase for <encrypted_private_key_file>:. Jika kunci privat tidak dienkripsi, OpenSSL tidak akan meminta kata sandi dan langsung menampilkan informasi kunci privat. Jika ada kesalahan, kunci privat bukan file terenkripsi RSA.openssl rsa -in <encrypted_private_key_file> -text -nooutKunci privat dienkripsi dengan algoritma ECC atau SM2
Jalankan perintah berikut menggunakan OpenSSL. Jika kunci privat dienkripsi, OpenSSL akan meminta Anda untuk memasukkan kata sandi:
Enter pass phrase for <encrypted_private_key_file>:. Jika kunci privat tidak dienkripsi, OpenSSL tidak akan meminta kata sandi dan langsung menampilkan informasi kunci privat. Jika ada kesalahan, kunci privat bukan file terenkripsi ECC atau SM2.openssl ec -in <encrypted_private_key_file> -text -noout
Solusi dekripsi
Jika algoritma enkripsi sertifikat adalah RSA, jalankan perintah berikut pada komputer dengan OpenSSL atau BabaSSL terinstal untuk mendekripsi kunci privat.
openssl rsa -in <encrypted_private_key_file> -passin pass:<private_key_password> -out <decrypted_private_key_file>Jika algoritma enkripsi sertifikat adalah ECC atau SM2, jalankan perintah berikut pada komputer dengan OpenSSL atau BabaSSL terinstal untuk mendekripsi kunci privat.
openssl ec -in <encrypted_private_key_file> -passin pass:<private_key_password> -out <decrypted_private_key_file>