Banyak ilmu menarik dapat dipelajari dari jaringan komputer dan internet, setidaknya seorang pemilik situs atau blog mengenal apa itu SSL Security Secure Socket Layer (SSL), protokol HTTP dan protokol HTTPS. Pembahasan ketiga pokok tersebut mungkin bikin pusing kepala, tetapi tidak ada salahnya mengetahui pengetahuan dasar yang memang sangat penting dan mungkin saja bisa berguna suatu saat nanti. Yuk pelajari!
Apa itu SSL Security dan Protokol Https
Pengertian dasar Secure Sockets Layer (SSL) adalah sebuah protokol jaringan komputer yang mengelola otentikasi server, otentikasi klien dan komunikasi terenkripsi antara server dan klien. Untuk menjalankan tugas, SSL memakai sebuah kombinasi enkripsi public-key dan symmetric-key untuk melindungi sebuah koneksi antara dua mesin -biasanya server web atau mail dan mesin klien- yang berkomunikasi via internet dan jaringan internal.
Dengan memakai model acuan OSI sebagai konteks, SSL berjalan di atas protokol TCP/IP -yang bertanggung jawab untuk membawa dan mengarahkan data melalui sebuah jaringan- dan di bawah protokol tingkat lebih tinggi seperti HTTP dan IMAP, mengenkripsi data dari koneksi jaringan dalam lapisan aplikasi dari serangkaian protokol internet. “Sockets” bagian istilah mengacu pada metode sockets yang mengoper data bolak-balik antara klien dan proram server dalam sebuah jaringan, atau antara lapisan program di komputer yang sama.
Sementara itu protokol Transport Layer Security (TLS) berevolusi dari SSL dan sebagian besar telah digantikannya, meskipun demikian istilah SSL atau SSL/TLS umumnya masih digunakan. Sampai saat ini SSL sering digunakan untuk mengacu pada TLS. Kombinasi SSL/TLS saat ini merupakan protokol keamanan paling banyak dikerahkan dan dijumpai dalam beragam aplikasi seperti web browser, email dan situasi apapun dimana data aman dipertukarkan melalui jaringan, entah itu file transfer, koneksi VPN, pesan singkat dan suara via IP.
Setelah mengetahui apa itu SSL Security menarik sekali membahas sejarah protokol SSL yang ternyata dikembangkan oleh Netscape Communications pada tahun 90-an. Waktu itu perusahaan ingin mengenkripsi data yang transit antara browser Netscape Navigator dan web server di internet untuk memastikan data rahasia -seperti nomer kartu kredit- aman terlindungi. Versi 1.0 tidak pernah dirilis ke publik, sedangkan versi 2.0 resmi rilis pada Febuari 1995 meski punya sejumlah kekurangan dari segi keamanan
Sedangkan SSL versi 3.0 rilis pada 1996 dan mengalami desain ulang seutuhnya. Walaupun tak pernah dijadikan standar formal, rancangan SSL 3.0 pada tahun 1996 justru dipublikasikan oleh IETF sebagai sebuah dokumen bersejarah dalam RFC 6101. Dengan demikian versi tersebut jadi standar de facto untuk menyediakan keamanan komunikasi melalui internet.
Usai IETF secara resmi mengambil alih protokol SSL untuk membakukannya melalui proses terbuka, SSL versi 3.1 kemudian dirilis sebagai Transport Layer Security 1.0 dan memperkenalkan beragam pembaruan keamanan untuk mengurangi kelemahan yang pernah ditemukan pada versi terdahulu. Perubahan nama sengaja dilakukan untuk menghindari sedikitpun masalah hukum dengan Netscape.
Banyak sekali serangan terhadap SSL terfokus pada masalah implementasi, tetapi kerentanan POODLE justru dikenal cacat pada protokol SSL 3.0. Kecacatan tersebut tidak bisa dibiarkan begitu saja, malahan berdampak negatif. Hal itu seakan beri kesempatan bagi seseorang tak bertanggung jawab untuk mendekripsi informasi bersifat rahasia seperti otentikasi cookie.
TLS 1.0 buatan IETF justru tidak rentan terhadap serangan tersebut karena telah menentukan bahwa semua lapisan byte atau padding byte harus punya nilai sama dan terverifikasi. Hal penting lain yang membedakan antara SSL dan TLS yang membuat TLS dikenal sebagai protokol lebih aman dan efisien adalah otentikasi pesan, key material generation dan sokongan rangkaian sandi dengan TLS yang mendukung algoritma lebih baru dan aman. Hingga saat ini IETF telah merilis versi terbaru yaitu TLS 1.2.
Mempelajari cara kerja protokol SSL itu gampang-gampang susah. Pastinya protokol ini terdiri atas dua sub-protokol yaitu record dan handshake. Keduanya memungkinkan klien untuk mengkonfirmasi server dan membangun koneksi SSL terenkripsi. Ketika server sudah terkonfirmasi, maka klien dan server membangun pengaturan sandi dan kunci bersama untuk mengenkripsi informasi yang ditukar selama sesi berjalan. Hal ini memastikan kerahasiaan dan integritas data. Pada tahapan ini pengguna tidak bisa melihat langsung secara kasat mata.
Apa itu protokol HTTP
Setelah memahami apa itu SSL Security selanjutnya kita akan membahas tentang protokol http. Istilah HTTP seringkali terlihat pada kolom halaman web browser dan masih banyak orang tak mengetahui pengertian dasarnya. Sebagaimana dilansir dari laman wikipedia, HTTP singkatan Hypertext Transfer Protocol yakni sekumpulan peraturan untuk transfer file seperti teks, gambar grafik, suara, video dan multimedia di dunia maya alias World Wide Web.
Ketika pengguna internet membuka web browser, maka secara tidak langsung memanfaatkan HTTP. Sebagai informasi tambahan, HTTP merupakan sebuah protokol aplikasi berjalan di atas rangkaian protokol TCP/IP yang dianggap protokol fondasi untuk internet.
Konsep HTTP meliputi ide bahwa file dapat mengandung acuan atau petunjuk ke file lain yang kemudian diseleksi ketat. Hasil seleksi nantinya mengeluarkan permintaan transfer tambahan. Setiap mesin web server mengandung HTTP daemon, yakni sebuah program yang dirancang untuk menunggu beragam permintaan HTTP dan menangani semuanya ketika datang.
Web browser adalah klien HTTP yang mengirimkan beragam permintaan ke mesin server. Ketika pengguna browser memasukkan permintaan file seperti membuka URL atau meng-klik tautan hypertext, maka browser membangun permintaan HTTP dan mengirimnya ke Internet Protocol address (IP address). HTTP daemon pada mesin server akan menerima permintaan dan mengirimnya kembali ke browser. Kini perkembangan HTTP telah mencapai versi 1.1.
Apa itu protokol HTTPS
HTTPS -singkatan dari Hypertext Transfer Protocol Secure- yakni penggunaan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) sebagai sub-layer di bawah lapisan aplikasi HTTP reguler. HTTPS mengenkripsi dan mendekripsi permintaan halaman, begitu juga halaman yang dikembalikan oleh web server. Penggunaan HTTPS bertujuan melindungi pencurian data bersifat rahasia. Sebagaimana dilansir dari laman wikipedia, HTTPS dikembangkan oleh Netscape.
Baik antara HTTPS dan SSL dukung penggunaan sertifikat digital X.509 dari server. Sementara itu HTTPS menggunakan port 443 ketimbang HTTP port 80 dalam berinteraksi dengan lapisan lebih rendah, yakni TCP/IP. Contoh kasus, pengguna mengunjungi sebuah situs untuk melihat katalog online. Ketika siap melakukan order, maka bakal menuju halaman situs dengan Uniform Resource Locator (URL) yang dimulai https://. Ketika meng-klik tombol “Send” untuk mengirim halaman kembali menuju katalog, maka lapisan HTTPS pada browser akan mengenkripsinya.
Pernyataan resmi yang diterima dari server akan melintas dalam bentuk terenkripsi, datang dengan https:// URL, dan bisa didekripsi oleh HTTPS sublayer milik web browser. Efektivitas HTTPS dapat terbatasi oleh implementasi buruk dari browser atau perangkat server atau kurang dukungan untuk sejumlah algoritma. Meskipun HTTPS melindungi data ketika melintas antara server dan klien, ketika data terdekripsi di tujuannya, maka selanjutnya tingkat keamanan hanya selevel komputer host.
Demikian pembahasan mengenai apa itu SSL Security, protokol http dan protokol https. Berdasar pengertian diatas, memang agak sulit bagi pemula untuk mengenal dan mempelajari lebih dekat terkait Secure Socket Layer (SSL), protokol HTTP dan protokol HTTPS. Pastinya ketiga unsur tersebut memiliki peran nyata dalam menghadirkan keamanan data selama terhubung jaringan internet.