Defaults.Exposed › Perbaikan › HTTPS & pengalihan paksa ke koneksi aman

Cara memperbaiki HTTPS & pengalihan paksa ke koneksi aman

HTTPS adalah gembok di bilah browser — ini mengenkripsi semua yang berjalan antara website Anda dan pelanggan sehingga tidak bisa dibaca atau dimanipulasi saat transit. Pengalihan paksa ke koneksi aman memastikan pengunjung secara otomatis mendarat di versi terenkripsi itu, bahkan saat mereka mengetikkan alamat Anda tanpa 'https://'. Bersama-sama keduanya adalah hal paling mendasar yang dibutuhkan website agar dianggap aman sama sekali.

Intinya bagi bisnis Anda: Tanpa HTTPS, setiap kata sandi, nomor kartu, dan pesan yang dikirim pelanggan melewati internet sebagai teks yang bisa dibaca, dan Chrome, Edge, Safari, serta Firefox semuanya mencap website Anda 'Tidak aman' bagi setiap pengunjung sebelum mereka membaca satu kata pun. Tanpa pengalihan, bahkan website yang memiliki sertifikat membiarkan kunjungan pertama tidak terlindungi. Keduanya menggerus kepercayaan, penjualan, dan peringkat pencarian — dan keduanya gratis untuk diperbaiki dalam hitungan menit.

Kerugian yang dapat ditimbulkan

• Pengunjung pertama kali melihat peringatan besar 'Tidak aman' begitu halaman Anda dimuat. Sebagian besar mengasumsikan website itu palsu, rusak, atau tidak aman dan pergi ke kompetitor — dan Anda bahkan tidak pernah tahu penjualan itu hilang.
• Pelanggan memasukkan detail kartu atau masuk melalui koneksi yang tidak terenkripsi dari kafe, hotel, atau bandara. Seseorang di WiFi yang sama membacanya dalam teks biasa, dan tagihan penipuan yang mengikutinya disalahkan kepada Anda.
• Tim pengadaan atau keamanan klien besar menjalankan pemindaian cepat sebelum menandatangani, melihat tidak ada HTTPS atau pengalihan paksa ke koneksi aman yang hilang, dan menunda kontrak sampai Anda bisa membuktikannya sudah diperbaiki.
• Google menempatkan Anda di bawah kompetitor yang menyajikan HTTPS, sehingga Anda diam-diam kehilangan traffic pencarian selama bertahun-tahun tanpa pernah menghubungkannya dengan kesenjangan ini.
• Regulator atau penyedia pembayaran Anda memperlakukan pengiriman data pribadi atau kartu yang tidak terenkripsi sebagai kegagalan yang harus dilaporkan, mengubah perbaikan gratis lima menit menjadi masalah kepatuhan.

Mengapa ini penting. HTTPS adalah lantai, bukan langit-langit, keamanan web — inilah yang membuat gembok muncul dan yang menghentikan semua yang dikirimkan pelanggan Anda agar tidak dibaca atau diubah di tengah perjalanan. Pengalihan paksa ke koneksi aman menutup celah yang ditinggalkan sertifikat sendiri: orang hampir tidak pernah mengetikkan 'https://', sehingga tanpa pengalihan permintaan pertama mereka berjalan tidak terlindungi sebelum versi aman pernah dimuat. Website yang kehilangan salah satu dari ini terlihat tidak aman bagi pengunjung, mendapat peringkat lebih rendah dalam pencarian, dan mengekspos data pelanggan nyata — itulah mengapa ini adalah kegagalan berbobot terberat tunggal yang kami nilai.

Penjelasan dalam bahasa sederhana

HTTPS adalah versi aman dan terenkripsi dari website Anda — yang menampilkan gembok di bilah alamat. Ketika pengunjung menggunakan HTTPS, semua yang melewati antara browser mereka dan website Anda (halaman yang mereka lihat, formulir yang mereka isi, kata sandi mereka, detail kartu mereka) diacak sehingga tidak ada yang di antaranya bisa membaca atau mengubahnya. Versi biasa, HTTP, mengirimkan semua itu sebagai teks yang bisa dibaca yang bisa dicegat siapa pun di jaringan yang sama.

Ada dua bagian untuk mendapatkan ini dengan benar, dan kami memeriksa keduanya:

• Apakah HTTPS tersedia sama sekali? Apakah website Anda memiliki sertifikat keamanan yang berfungsi sehingga versi aman dengan gembok ada? Ini yang lebih serius dari keduanya — tanpa itu tidak ada enkripsi sama sekali.
• Apakah website Anda memaksa pengunjung ke sana? Hampir tidak ada yang mengetikkan “https://” secara manual. Jika seseorang mengetikkan nama domain Anda saja, browser mereka mencoba versi HTTP biasa terlebih dahulu. Pengalihan paksa ke koneksi aman secara otomatis memantulkan permintaan itu ke versi terenkripsi. Tanpanya, momen pertama setiap kunjungan tidak terlindungi bahkan ketika Anda memiliki sertifikat.

Anda menginginkan keduanya. Sertifikat tanpa pengalihan adalah pintu depan yang terkunci yang bisa pengunjung kelilingi begitu saja.

Taruhan bisnis

Ini adalah sinyal paling dasar dari apakah sebuah website aman — dan yang penting, inilah yang bisa dilihat pelanggan Anda sendiri. Setiap browser modern (Chrome, Edge, Safari, Firefox) melabeli website tanpa HTTPS sebagai “Tidak aman” tepat di bilah alamat, dan menampilkan peringatan jika ada yang mencoba mengetikkan ke formulir. Pengunjung Anda tidak perlu tahu apa itu sertifikat untuk bereaksi terhadap kata itu.

Di luar peringatan yang terlihat, ini mempengaruhi tiga hal yang langsung dipedulikan pemilik: kepercayaan (orang meninggalkan website yang terlihat tidak aman), peringkat pencarian (Google telah menggunakan HTTPS sebagai sinyal peringkat selama bertahun-tahun dan lebih menyukai website yang aman), dan eksposur nyata (data yang dikirimkan melalui HTTP biasa memang bisa dibaca orang lain di jaringan yang sama).

Dampak finansial yang perlu diketahui

• Pentalan diam-diam. Calon pelanggan mengklik dari hasil pencarian atau iklan, dan halaman dimuat dengan lencana abu-abu “Tidak aman” — atau lebih buruk, peringatan layar penuh. Mereka tidak mengirim email untuk bertanya mengapa; mereka hanya menutup tab dan mengklik hasil berikutnya. Anda membayar untuk kunjungan itu dan kehilangan sebelum mereka membaca satu kata pun.
• Login atau pembayaran yang dicegat. Pelanggan masuk atau checkout saat menggunakan WiFi bersama di hotel atau kafe. Karena koneksi tidak terenkripsi, seseorang di dekatnya menangkap kata sandi atau nomor kartu mereka dalam teks biasa. Penipuan yang mengikutinya dilaporkan sebagai pelanggaran Anda, dan Andalah yang merespons panggilan marah dan chargeback.
• Kesepakatan yang terhenti. Calon pelanggan yang lebih besar siap menandatangani, tapi proses pengadaan mereka menyertakan pemeriksaan keamanan cepat pada website Anda. Hasilnya menandai tidak ada HTTPS, atau pengalihan paksa ke koneksi aman yang hilang. Tiba-tiba Anda menjelaskan kesenjangan keamanan dasar alih-alih menutup — dan kontrak menunggu, atau diam-diam pergi ke kompetitor yang lolos pemeriksaan.
• Kebocoran peringkat yang perlahan. Dua bisnis menawarkan hal yang sama; satu menyajikan HTTPS yang aman dan satu tidak. Mesin pencari mendorong yang aman lebih tinggi. Selama berbulan-bulan Anda kehilangan aliran traffic gratis yang stabil dan tidak pernah menghubungkannya dengan satu pengaturan ini.
• Konten yang disuntikkan yang tidak pernah Anda tulis. Pada koneksi yang tidak terenkripsi, siapa pun di tengah — jaringan publik yang tidak baik, router yang dikompromikan — bisa memasukkan pop-up palsu, penawaran penipuan, atau malware ke halaman Anda saat pengunjung memuatnya. Bagi pengunjung itu, terlihat seperti website Anda yang melakukannya.

Penjelasan teknis

Ketika browser terhubung ke website melalui HTTPS, dua hal terjadi. Pertama, website menyajikan sertifikat — kredensial yang dikeluarkan oleh otoritas tepercaya yang membuktikan website adalah yang diklaim. Kedua, browser dan server menyepakati kunci enkripsi dan menggunakannya untuk mengacak semua yang mereka pertukarkan. Pemeriksaan pertama kami, HTTPS tersedia, hanya menanyakan: bisakah kami membuat koneksi TLS yang aman ke website Anda di port aman standar (443) dan mendapatkan sertifikat yang valid kembali? Jika ya, gembok bisa muncul dan enkripsi sudah aktif. Jika tidak, tidak ada versi aman dari website Anda sama sekali — dan itulah kegagalan terberat tunggal yang kami nilai.

Pemeriksaan kedua, pengalihan paksa ke koneksi aman, mencakup celah yang ditinggalkan sertifikat sendiri. Orang mengetikkan “yourbusiness.com”, bukan “https://yourbusiness.com”. Permintaan telanjang itu pergi ke versi HTTP biasa terlebih dahulu. Pengalihan adalah instruksi satu baris yang mengatakan “kirim siapa pun yang tiba di versi tidak aman langsung ke versi aman.” Pemeriksaan kami menanyakan: ketika kami meminta alamat HTTP biasa Anda, apakah website Anda memantulkan kami ke HTTPS? Jika ya, setiap pengunjung berakhir terlindungi tidak peduli bagaimana mereka mengetikkan alamat Anda.

Seperti apa “baik” itu: sertifikat yang valid dan tepercaya sehingga gembok muncul di setiap halaman, dan setiap permintaan HTTP biasa secara otomatis dialihkan ke versi HTTPS (idealnya dengan pengalihan “301” permanen, yang juga meneruskan peringkat pencarian Anda dengan bersih ke alamat yang aman).

Cara memperbaikinya (gratis, ~15 menit)

Berikan bagian ini kepada orang IT atau dukungan penyedia hosting Anda — perbaikannya gratis. Kedua bagian ini tidak ada biaya: sertifikat tepercaya gratis dan memperbarui sendiri, dan mengaktifkan pengalihan adalah satu pengaturan di sebagian besar platform. Tidak ada produk berbayar yang dibutuhkan untuk lolos ini.

Ada dua hal yang perlu diaktifkan. Di sebagian besar hosting modern, melakukan yang pertama sering membuat yang kedua menjadi toggle satu klik.

1. Dapatkan sertifikat agar HTTPS berfungsi (gembok).

• Cloudflare: jika website Anda berada di balik Cloudflare, SSL ditangani untuk Anda. Atur mode SSL/TLS ke “Full” (atau “Full (strict)” jika server asal Anda juga memiliki sertifikat).
• Website builder dan hosting yang dikelola (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, sebagian besar hosting Microsoft 365 / Google Workspace): HTTPS disediakan secara otomatis; pastikan saja sudah diaktifkan di pengaturan website/domain Anda.
• Hosting cPanel: buka SSL/TLS Status dan jalankan AutoSSL, yang menerbitkan sertifikat Let’s Encrypt gratis.
• Server sendiri (VPS): instal Let’s Encrypt dengan Certbot — sudo certbot --nginx -d yourdomain.com (atau --apache). Ini mengambil dan menginstal sertifikat gratis dan mengatur pembaruan otomatis.
• Yang lainnya: hubungi dukungan penyedia hosting Anda dan minta mereka untuk “mengaktifkan sertifikat SSL gratis untuk domain saya.” Hampir semua menawarkan ini tanpa biaya.

2. Paksa setiap pengunjung ke HTTPS (pengalihan).

• Cloudflare: SSL/TLS → Edge Certificates → aktifkan “Always Use HTTPS.” Itu saja tugasnya.
• Website builder (Squarespace, Wix, Shopify, dll.): cari toggle “Force HTTPS” atau “Secure (HTTPS)” di pengaturan website Anda dan aktifkan.
• Nginx: tambahkan server block di port 80 yang mengembalikan pengalihan permanen — return 301 https://$host$request_uri;.
• Apache (.htaccess): aktifkan rewriting dan alihkan permintaan non-HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (hosting Windows): instal modul URL Rewrite dan tambahkan aturan pengalihan “HTTP to HTTPS”.

Setelah keduanya aktif, uji: ketikkan alamat Anda dengan http:// biasa di depan dan konfirmasi browser melompat ke versi https:// yang tergemblokan secara otomatis, dan bahwa gembok muncul di halaman utama Anda.

Kesalahan umum

• Sertifikat terinstal, tapi tidak ada pengalihan. Kesenjangan yang paling umum. Anda melihat gembok saat mengunjungi website Anda sendiri (karena browser Anda mengingat HTTPS), sehingga Anda mengasumsikan sudah selesai — tapi pengunjung baru yang mengetikkan domain telanjang masih mendarat di HTTP terlebih dahulu. Selalu uji versi http:// biasa secara eksplisit.
• Konten campuran. Halaman Anda dimuat melalui HTTPS tapi menarik gambar, skrip, atau font dari alamat http:// lama. Browser memblokir atau menurunkan gembok ke peringatan. Perbarui referensi tersebut ke https:// (atau ke tautan relatif). Sebagian besar platform memiliki laporan “konten campuran” yang menemukannya.
• Pengalihan sementara (302) alih-alih permanen (301). 302 berfungsi untuk pengunjung tapi memberi tahu mesin pencari bahwa perpindahan itu sementara, sehingga nilai peringkat tidak berpindah dengan bersih ke alamat aman Anda. Gunakan 301 permanen.
• Mengalihkan hanya domain telanjang, bukan “www” (atau sebaliknya). Pastikan yourdomain.com dan www.yourdomain.com keduanya berakhir di HTTPS, jika tidak satu jalur masih terekspos.
• Membiarkan sertifikat kedaluwarsa. Sertifikat yang berakhir melemparkan error browser layar penuh yang menghentikan pengunjung. Sertifikat Let’s Encrypt gratis memperbarui otomatis; jika Anda membeli satu secara manual, atur pengingat kalender jauh sebelum kedaluwarsanya.

FAQ