Dewasa ini hampir semua informasi dapat
diakses dengan mudah. Salah satu penyedia informasi adalah internet yang identik
dengan web atau World Wide Web (www). Layanan-layanan yang ada di Internet
sekarang sudah sangat familiar dikalangan masyarakat. Selain mencari informasi
kita juga pasti sering memanfaatkannya untuk berkomunikasi surat elektronik
(email), chatting sampai dengan video conference.
Pernahkan kita berfikir bagaimana
dokumen-dokumen informasi dan
layanan-layanan yang ingin kita akses dapat tersaji dan kita akses dengan mudahnya dalam web. Ketika
kita mengetikkan suatu alamat atau URL pada web browser sering terdapat http://
di depan alamat yang kita tuju. HTTP atau HyperText Transfer Protocol inilah
yang biasanya digunakan untuk membatu web untuk mentransfer data atau dokumen.
HTTP bekerja diatas TCP (Transmission
Control Protocol) yang menjamin sampainya data di tujuan dalam urutan
yang benar. Bila suatu kesalahan terjadi selama proses pengiriman, pihak pengirim akan
mendapat pemberitahuan bahwa telah terjadi ketidak beresan dan perlu mengirimkan
permintaan ulang.
Cara
kerja HTTP adalah sebuah protokol meminta/menjawab antara client dan server. HTTP bekerja
diatas TCP (Transmission Control Protocol) yang menjamin sampainya data di
tujuan dalam urutan yang benar. Port yang biasanya digunakan untuk membuat hubungan TCP/IP
ke port tertentu di suatu server adalah port 80. Sebuah host HTTP di port
tersebut menunggu client mengirim kode request yang akan meminta halaman yang
sudah ditentukan, diikuti dengan pesan MIME yang memiliki beberapa informasi
kode header yang menerangkan permintaan tersebut, diikut dengan isi suatu data.
Biasanya header tidak harus dituliskan, sementara yang lain seperti host diperlukan oleh protocol HTTP/1.1.
Begitu menerima kode request server akan mengirim kembali kode jawaban dan pesan yang diminta, atau
sebuah pesan error atau pesan lainnya.
Pengembangan
standar HTTP telah dilaksanakan oleh Konsorsium World Wide Web (World Wide Web Consortium/W3C) dan juga Internet Engineering Task Force
(IETF), yang berujung pada publikasi beberapa dokumen Request for Comments (RFC), dan yang
paling banyak dirujuk adalah RFC 2616
yang mendefinisikan HTTP/1.1, versi HTTP yang umum digunakan saat ini.
Namun protokol HTTP dalam segi keamanan
data yang dikirim belum diperhatikan, data yang dikirimkan tidak dienkripsi,
sehingga data yang dikirim rawan, dapat dibaca/dirusak oleh tangan-tangan jahil.
Mungkin jika data-data kita tidak penting ini masih bisa tidak dipermasalahkan,
tetapi bila data itu sangat privasi dan penting seperti transaksi online
e-banking atau data laporan keuangan rahasia tentu segi keamanan harus sangat
diperhatikan dan diperhitungkan.
Untuk menangani masalah keamana sekarang
juga telah tersedia versi aman dari HTTP yaitu HTTPS (HTTPSecure). HTTPS
dicetuskan oleh Netscape Communications Corporation untuk menyediakan
autentikasi dan komunikasi tersandi dan penggunaan dalam komersi elektris. Pendekatan
HTTPS sangatlah simpel, Client membuat koneksi ke server, melakukan negosiasi
koneksi SSL(Secure Socket layer), kemudian mengirim HTTP tersebut melalui
aplikasi SSL.
Selain
menggunakan komunikasi plain text, HTTPS menyandikan data sesi menggunakan
protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer Security). Kedua protokol
tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan
man in the middle attacks. Pada umumnya port HTTPS adalah 443.
Secure Sockets Layer (SSL) merupakan
sistem yang digunakan untuk mengenkripsi pengiriman informasi pada internet,
sehingga data dapat dikirim dengan aman. Protokol SSL mengatur keamanan dan
integritas menggunakan enkripsi, autentikasi, dan kode autentikasi pesan.
Layer 7 Application
Layer 6 Presentation
Layer 5 Session
Layer 4+ SSL
Layer 4 TCP, UDP
Layer 3 Network Layer (IP)
Layer 2 Data Link Layer (Ethernet, Token Ring, ATM, etc.)
Layer 1 Physical Layer (twisted pair, coax, fiber, wireless)
SSL protocol menyedian
privasi komunikasi di internet. SSL tidak mendukung fileencryption, access-control,
atau proteksi virus, jadi SSL tidak dapat membantu mengatur data sensitif
setelah dan sebelum pengiriman yang aman.
Terdapat perbedaan port yang
spesifik antara HTTPS dan HTTP, HTTPS menggunakan port 443
sedangkan HTTP menggunakan port 80 dalam berinteraksi dengan layer yang
di bawahnya. HTTPS dan SSL mendukung penggunaan dari X.509 sertifikat digital
dari server, sehingga jika diperlukan, pengguna dapat mengotentikasi
pengirimnya.
Tingkat keamanan tergantung pada
ketepatan dalam mengimplementasikan pada browser web dan perangkat lunak server
dan didukung oleh algorithma penyandian yang aktual. Oleh karena itu, pada
halaman web digunakan HTTPS, dan URL yang digunakan dimulai dengan ‘https://’
bukan dengan ‘http://’
HTTPS mengamankan perjalanan data
antara server dan klien, setelah data didekripsi tujuannya. Penggunaan HTTPS
bisa menjadi kurang efektif karena kurangnya implementasidari browser, software
server atau bahkan kurangnya dukungan algoritma server. Sering terjadi pula
karena kekurangfahaman tentang kinerjanya menganggap sepenuhnya HTTPS melindungi
transaksi atau transver data yang dijalankan. Sedangkan pada kenyataannya HTTPS hanya
melakukan enkripsi informasi atau data dari browser ke server yang menerima kemudian
data akan di simpan ke dalam databases sarver, yang sering terjadi server
sering menjadi sasaran penyerangan tangan-tangan jahil.>>ny0t