Mengamankan situs Anda dengan HTTPS

HTTPS (Hypertext Transfer Protocol Secure) adalah protokol komunikasi internet yang melindungi integritas dan kerahasiaan data antara komputer pengguna dan situs. Pengguna menginginkan pengalaman online yang aman dan bersifat pribadi saat menggunakan situs. Sebaiknya gunakan HTTPS untuk melindungi koneksi pengguna ke situs Anda, terlepas dari isi konten situs tersebut.

Data yang dikirim menggunakan HTTPS diamankan melalui protokol Transport Layer Security (TLS), yang memberikan tiga lapis perlindungan utama:

  1. Enkripsi: Mengenkripsi data pertukaran untuk menjaga keamanannya dari penyadap. Artinya, saat pengguna menjelajahi situs, tidak ada yang dapat "menguping" percakapan, melacak aktivitas di berbagai halaman, atau mencuri informasi mereka.
  2. Integritas data: Data tidak dapat diubah atau dirusak selama transfer, dengan sengaja atau tidak, tanpa terdeteksi.
  3. Autentikasi: Membuktikan bahwa pengguna Anda berkomunikasi dengan situs yang diinginkan. Protokol tersebut melindungi dari serangan man in the middle dan membangun kepercayaan pengguna, yang dapat memberikan keuntungan lain untuk bisnis Anda.

Praktik terbaik saat mengimplementasikan HTTPS

Menggunakan sertifikat keamanan yang kuat

Anda harus mendapatkan sertifikat keamanan sebagai bagian dari pengaktifan HTTPS untuk situs. Sertifikat ini diterbitkan oleh certificate authority (CA), yang akan melakukan langkah-langkah untuk memverifikasi bahwa alamat web Anda benar-benar milik organisasi Anda, sehingga akan melindungi pelanggan dari serangan man-in-the-middle. Saat menyiapkan sertifikat, pastikan keamanan tingkat tinggi diterapkan dengan memilih kunci 2048-bit. Jika Anda telah memiliki sertifikat dengan kunci yang lebih lemah (1024-bit), upgrade ke 2048 bit. Saat memilih sertifikat situs, perhatikan hal-hal berikut:

  • Dapatkan sertifikat Anda dari CA yang dapat diandalkan yang menawarkan dukungan teknis.
  • Tentukan jenis sertifikat yang Anda butuhkan:
    • Satu sertifikat untuk satu asal yang aman (www.example.com).
    • Sertifikat multi-domain untuk beberapa asal aman yang telah dikenal (misalnya, www.example.com, cdn.example.com, example.co.uk).
    • Sertifikat karakter pengganti untuk asal yang aman dengan banyak subdomain dinamis (misalnya, a.example.com, b.example.com).

Menggunakan pengalihan sisi server permanen

Alihkan pengguna dan mesin telusur ke resource atau halaman HTTPS dengan pengalihan sisi server permanen.

Memverifikasi bahwa halaman HTTPS dapat di-crawl dan diindeks oleh Google

  • Gunakan Alat Inspeksi URL untuk menguji apakah Googlebot dapat mengakses halaman Anda.
  • Jangan memblokir halaman HTTPS dengan file robots.txt.
  • Jangan menyertakan tag noindex di halaman HTTPS.

Mendukung HSTS

Sebaiknya situs HTTPS mendukung HSTS (HTTP Strict Transport Security). HSTS memberi tahu browser untuk meminta halaman HTTPS secara otomatis, meskipun pengguna memasukkan http di kolom lokasi browser. HSTS juga memberi tahu Google untuk menayangkan URL yang aman dalam hasil penelusuran. Semua tindakan ini mengurangi risiko penayangan konten yang tidak aman kepada pengguna.

Untuk mendukung HSTS, gunakan server web yang mendukung HSTS dan dapat mengaktifkan fungsinya.

Meskipun lebih aman, HSTS membuat strategi rollback Anda semakin rumit. Sebaiknya aktifkan HSTS dengan cara berikut:

  1. Luncurkan halaman HTTPS tanpa HSTS terlebih dahulu.
  2. Mulailah mengirim header HSTS dengan max-age yang singkat. Pantau traffic Anda baik dari pengguna dan klien lain, serta performa yang bergantung pada traffic, seperti iklan.
  3. Tingkatkan max-age HSTS sedikit demi sedikit.
  4. Jika HSTS tidak berdampak buruk kepada pengguna dan mesin telusur, Anda dapat menambahkan situs ke daftar pramuat HSTS, yang digunakan oleh sebagian besar browser utama. Tindakan ini menambah keamanan ekstra dan meningkatkan performa.

Menghindari kesalahan umum berikut

Selama proses mengamankan situs Anda dengan TLS, hindari kesalahan berikut:

Kesalahan umum dan solusinya
Masa berlaku sertifikat berakhir Pastikan sertifikat Anda selalu diperbarui.
Sertifikat didaftarkan untuk nama situs yang salah Pastikan Anda telah memperoleh sertifikat untuk semua nama host yang ditayangkan oleh situs Anda. Misalnya, jika sertifikat Anda hanya mencakup www.example.com, pengunjung yang memuat situs hanya dengan example.com (tanpa awalan www.) akan diblokir karena error terkait nama sertifikat yang tidak sesuai.
Dukungan Server name indication (SNI) tidak ada Pastikan server web Anda mendukung SNI dan audiens Anda menggunakan browser yang didukung, secara umum. Meski SNI didukung oleh semua browser modern, Anda membutuhkan IP khusus jika Anda perlu dukungan pada browser yang lebih lama.
Masalah crawling Jangan memblokir situs HTTPS melakukan crawling menggunakan robots.txt. Pelajari lebih lanjut
Masalah pengindeksan Izinkan pengindeksan halaman dengan mesin telusur jika memungkinkan. Jangan gunakan tag noindex.
Versi protokol lama Versi protokol lama sangat rentan; pastikan Anda memiliki versi library TLS terbaru dan terkini serta menerapkan versi protokol terbaru.
Elemen keamanan tercampur Hanya sematkan konten HTTPS di halaman HTTPS.
Konten yang berbeda di HTTP dan HTTPS Pastikan konten di situs HTTP dan HTTPS Anda sama.
Error kode status HTTP di HTTPS Pastikan situs Anda menampilkan kode status HTTP yang benar. Misalnya, 200 OK untuk halaman yang dapat diakses, atau 404 atau 410 untuk halaman yang tidak ada.

Melakukan migrasi dari HTTP ke HTTPS

Jika Anda memigrasikan situs dari HTTP ke HTTPS, Google akan memperlakukan proses ini sebagai pemindahan situs dengan perubahan URL. Proses ini dapat memengaruhi beberapa jumlah traffic Anda untuk sementara. Pelajari lebih lanjut rekomendasi untuk semua pemindahan situs.

Pastikan Anda menambahkan properti HTTPS baru ke Search Console. Search Console memperlakukan HTTP dan HTTPS secara terpisah; data tidak dibagikan di antara properti di Search Console.

Untuk tips selengkapnya tentang menggunakan halaman HTTPS di situs Anda, lihat FAQ migrasi HTTPS.

Referensi lainnya terkait penerapan TLS

Berikut adalah beberapa referensi tambahan terkait penerapan TLS di situs Anda:

Jika Anda adalah pengguna Search Console dan mengalami masalah keamanan yang terus berlanjut atau tidak dapat diperbaiki di situs, Anda dapat memberi tahu kami.

Laporkan masalah keamanan