Apa Itu HSTS? Fungsi & Cara Kerja pada Website Image

Apa Itu HSTS? Fungsi & Cara Kerja pada Website

Time 03 Jun 2021  |  By Acer Indonesia

HSTS merupakan singkatan dari HTTP Strict Transport Security, yaitu cara jitu untuk mencegah cyber crime yang mengintai dunia online. Salah satunya, Man-in-The-Middle (MitM) yang diam-diam bisa menghadang pertukaran data dan mengambil informasi penting ketika pengguna sedang melakukan browsing di website.

 

HSTS perlu diaplikasikan sebagai strategi perlindungan data pada website toko online yang mengharuskan pengunjung registrasi atau login terlebih dahulu. Bukan hanya untuk perlindungan data pengguna, namun juga memberikan tingkat keamanan tambahan yang melindungi website Anda dari peretasan dengan lebih baik dan mengurangi kerusakan data pribadi.

 

Lalu, mengapa penting? Berikut dipaparkan pengertian, fungsi, dan cara kerja HSTS pada website bisnis.

 

Pengertian HSTS

 

HSTS  adalah mekanisme kebijakan keamanan website yang dirancang untuk melindungi website dari serangan dan pembajakan. Metode ini memaksa browser untuk menggunakan koneksi Hypertext Transfer Protocol Secure (HTTPS) ketika melakukan pertukaran data.

 

Sebagai informasi, HTTPS adalah protokol komunikasi antar jaringan yang memiliki keamanan lebih baik dari versi HTTP berkat perlindungan dari Secure Socket Layer (SSL). Metode HSTS akan menolak koneksi HTTP yang rentan serangan hacker, oleh karena itu website akan jauh lebih aman.

 

Metode ini sangatlah berguna untuk meningkatkan keamanan website Anda dari kebocoran informasi. Apalagi jika memuat data, seperti username/password atau data kartu kredit yang digunakan untuk melakukan metode pembayaran online.

 

Fungsi HSTS pada Website

 

ungsi-HSTS

 

Secara teknis, HSTS berfungsi sebagai tindakan perlindungan dengan mengirimkan kebijakan ke web pages’s header. Tindakan tersebut memaksa browser untuk membuat koneksi HTTPS yang aman ketika seseorang mengunjungi website.

 

Sementara secara konteks, fungsi utamanya adalah meningkatkan keamanan komunikasi dan pertukaran data. HSTS yang aktif membuat semua koneksi ke server hanya bisa dilakukan menggunakan HTTPS yang dilindungi proteksi SSL. Tentu, penerapan ini mencegah teknik peretasan bernama SSL stripping.

 

Pada teknik SSL stripping, seorang hacker bisa berada di antara koneksi HTTP dan HTTPS serta bisa mencegat koneksi pertukaran data yang terjadi. Jika hacker sudah bertindak sebagai “jembatan”, mereka dapat memindai data pengunjung atau bahkan mengubah informasi sensitif yang dapat memengaruhi perusahaan.

 

Baca juga: Mengenal Pishing: Jenis, Cara Kerja & Mencegahnya

 

Bagaimana Cara Kerja HSTS?

 

Cara-Kerja-HSTS

 

Sebelum menerapkan pengaturan HSTS, penting untuk mempertimbangkan beberapa poin berikut, yaitu:

 

  1. Anda harus sudah berhasil menginstal Sertifikat SSL di website. Kemudian, jika memiliki subdomain, Anda harus gunakan wildcard yang akan melindungi semua subdomain yang ada.

  2. Memanfaatkan 301 Redirects. Ini akan bertindak untuk mengubah rute semua halaman HTTP ke halaman HTTPS. Berdasarkan informasi dari Google, disarankan menetapkan usia maksimal dua tahun.

  3. Terakhir, pastikan untuk mengimplementasikan header subdomain dan preload.

 

Berdasarkan cara kerjanya, HSTS tidak perlu digunakan pada saat pengembangan website. Alasannya, jika Anda tidak mempersiapkan protokol HTTPS, hal yang terjadi ketika melakukan tes pada Google Chrome akan muncul pesan error 404, yang artinya “halaman tidak ditemukan.”

 

Di sisi lain, HSTS penting jika Anda mempertimbangkan aspek keamanan pada website. Dengan mengaktifkan HSTS, secara otomatis setiap request halaman yang diminta akan diarahkan untuk menggunakan protokol HTTPS meskipun website masih membuka protokol HTTP.

 

HSTS memang bermanfaat untuk meningkatkan keamanan website. Meski demikian, ada pula kondisi yang menyebabkan HSTS bisa memunculkan masalah sehingga harus dihapus. Masalahnya adalah ketika terjadi redirect 301, browser bisa saja tidak dapat menggunakan koneksi HTTPS kalau SSLnya bermasalah. Entah karena kadaluarsa, sertifikat tak sesuai, atau masalah lainnya.

 

Koneksi tidak dapat terjadi dan Anda akan menerima pesan “Privacy error: your connection is not private” (NET::ERR_CERT_AUTHORITY_INVALID). Untuk menghindari hal tersebut, Anda bisa menghapus HSTS di browser agar koneksi bisa dilakukan kembali.

 

Baca juga: Apa Itu Data Breach? Ketahui Cara Mengatasinya

 

Cara Menghapus HSTS

 

Jika menemukan error dan pesan di atas, langkah yang bisa dilakukan, yakni menonaktifkan HSTS di browser. Caranya pun sangatlah mudah.

 

1. Cara Menghapus HSTS di Google Chrome

 

  1. Ketik “chrome://net-internals/#hsts” pada kolom URL.
  2. Scroll ke bawah, masukkan URL tanpa protokol ke kolom “delete domain security policies”. Lalu, klik “delete”.
  3. Untuk memastikan terhapus, Anda bisa memasukkan URL yang sama ke kolom Query HSTS/PKP domain. Lalu, klik “query”. Jika “not found” muncul, berarti Anda sudah berhasil menghapus HSTS dan bisa mencoba mengakses website tersebut lagi.

2. Cara Menghapus HSTS di Mozilla Firefox

 

  1. Tutup tab yang menampilkan error.
  2. Kemudian, buka History melalui shortcut Ctrl + Shift + H di Windows atau Cmd + Shift + H di Mac.
  3. Cari website yang ingin Anda hapus dengan memasukkan namanya di kolom pencarian. Lalu, klik kanan hasilnya dan pilih “Forget About This Site”.
  4. Restart Mozilla Firefox Anda. Setelah itu, Anda bisa mencoba mengakses website tersebut lagi.

 

3. Cara Menghapus HSTS di Apple Safari

 

  1. Tutup browser Apple Safari Anda terlebih dahulu.
  2. Hapus file “~/Library/Cookies/HSTS.plist” pada direktori “Home”.
  3. Buka kembali Apple Safari. Pada tahap ini Anda sudah berhasil menghapusnya dan bisa mencoba mengakses website tersebut lagi.

Baca juga: Apa Itu Cybersecurity dan Perannya dalam Perusahaan?

 

Secara garis besar, penerapan HSTS dipastikan aman, paling tidak jika dibandingkan dengan website tanpa HSTS. Dengan memastikan hanya koneksi HTTPS yang digunakan, data dan informasi pribadi, baik perusahaan Anda atau pengunjung, lebih terlindungi saat melakukan aktivitas browsing.

Kontak Acer