Info privasi. Sematan ini akan menyajikan konten dari youtube.com
Web berada di tengah-tengah perubahan besar dari HTTP yang tidak aman ke protokol HTTPS yang lebih aman. Semua server web menggunakan salah satu dari dua protokol ini untuk mendapatkan halaman web dari server ke browser Anda. HTTP memiliki masalah serius yang membuatnya rentan terhadap penyadapan dan pembajakan konten. HTTPS memperbaiki sebagian besar masalah ini. Itu sebabnya EFF, dan banyak pendukung yang berpikiran sama, telah mendorong situs web untuk mengadopsi HTTPS secara default. Pada 2016, sekitar setengah dari semua kunjungan halaman web menggunakan HTTPS. Ini merupakan peningkatan besar di masa lalu, tetapi kami masih memiliki pekerjaan yang harus dilakukan.
Kami meminta semua pemilik situs web untuk mengimplementasikan HTTPS secara default, dan kami menyediakan alat untuk melakukannya.
Selama bertahun-tahun, pemilik situs web memilih untuk hanya menerapkan HTTPS untuk sejumlah kecil halaman, seperti yang menerima kata sandi atau nomor kartu kredit. Namun, dalam beberapa tahun terakhir, komunitas keamanan Internet telah menyadari bahwa semua halaman web memerlukan perlindungan. Halaman yang ditayangkan melalui HTTP rentan terhadap penyadapan, injeksi konten, dan pencurian cookie, yang dapat digunakan untuk mengambil alih akun online Anda.
Injeksi konten adalah ketika seseorang menambahkan data atau kode ke komunikasi Anda dengan halaman web HTTP. Misalnya, bagaimana GCHQ dan NSA mengambil alih komputer ISP Belgia . Injeksi konten juga merupakan cara Cina mengalahkan GitHub dengan serangan DDoS besar-besaran, dijuluki "The Great Cannon" . Injeksi konten juga menjadi populer dengan ISP. Verizon menyuntikkan header pelacakan ke setiap permintaan yang dibuat oleh pelanggan mereka. Dan Comcast menyuntikkan pop-up ke situs-situs yang bukan tempatnya . Semua serangan ini dapat dihentikan oleh HTTPS, asalkan diterapkan dan dibuat default pada situs yang cukup.
Apa yang dapat Anda lakukan sebagai individu
Sayangnya, Anda hanya dapat menggunakan HTTPS di situs web yang mendukungnya, dan masih ada banyak situs yang tidak. Namun, banyak situs yang sebagian mendukung HTTPS — mereka membuat HTTPS tersedia tetapi tidak mengirimkan pengunjung ke versi HTTPS secara default.
EFF membuat dan mengelola ekstensi peramban, HTTPS Everywhere , yang memiliki daftar banyak situs semacam itu, dan akan membawa Anda ke versi HTTPS mereka secara otomatis. Kami menyarankan untuk menginstalnya di semua browser Anda untuk membuat Anda lebih aman dari penyadapan dan injeksi konten di situs yang dicantumkannya.
Anda juga dapat memeriksa situs favorit Anda. Saat Anda mengunjunginya, apakah bilah URL di bagian atas peramban Anda menampilkan "https: //"? Jika tidak, Anda harus menghubungi orang-orang yang menjalankan situs tersebut dan meminta dukungan HTTPS. Silakan tautkan di sini untuk deskripsi mengapa ini penting.
Apa yang dapat Anda lakukan sebagai pemilik situs web
Kami mendorong semua orang yang menjalankan situs web untuk menawarkan HTTPS dan mengarahkan pengunjung ke HTTPS secara default. Menawarkan HTTPS menjadi jauh lebih murah dalam 10 tahun terakhir, dan hari ini HTTPS tidak akan memperlambat situs Anda atau membuatnya menggunakan lebih banyak CPU server. Bahkan, menawarkan HTTPS memungkinkan situs menerapkan standar HTTP / 2 modern, yang secara dramatis dapat mempercepat penelusuran web relatif terhadap HTTP.
Menawarkan HTTPS membutuhkan mendapatkan sertifikat dari otoritas sertifikat. Dulu mahal dan rumit untuk mendapatkan sertifikat, tetapi otoritas sertifikat baru, Let's Encrypt , menawarkan sertifikat gratis kepada publik menggunakan API yang memungkinkan otomatisasi mudah. Let's Encrypt adalah proyek bersama EFF, Mozilla, dan banyak sponsor lainnya.
Jika Anda mengelola situs web Anda sepenuhnya melalui antarmuka web, pendekatan termudah adalah penyedia hosting Anda untuk mengintegrasikan dukungan Let's Encrypt sebagai pengaturan yang dapat Anda aktifkan. Banyak penyedia hosting sudah mendukung Let's Encrypt, dan banyak lagi yang menambahkan dukungan setiap saat.
Jika Anda memiliki akses shell pada penyedia hosting Anda, Anda dapat menggunakan Certbot , alat yang dikembangkan oleh EFF. Certbot bisa memberi Anda sertifikat gratis dari Let's Encrypt. Itu juga dapat secara otomatis mengkonfigurasi server Apache atau Nginx Anda untuk menggunakan sertifikat itu dengan benar.
Apa yang dapat Anda lakukan sebagai penyedia hosting
Kami mendorong semua penyedia hosting dan CDN untuk menawarkan HTTPS secara default untuk pelanggan mereka, tanpa biaya tambahan dibandingkan layanan HTTP mereka. Banyak yang sudah memilikinya, seperti Cloudflare, OVH, WordPress.com, dan SquareSpace. The Mari panduan integrasi Encrypt memiliki rincian tambahan tentang cara terbaik menerapkan HTTPS secara default. Kami berharap dapat melihat HTTPS otomatis dan gratis menjadi standar industri untuk hosting web.