HTTP dan HTTPS
Download as DOCX, PDF0 likes497 views
Dokumen ini menjelaskan perbedaan dan cara kerja protokol HTTP dan HTTPS dalam komunikasi data, menekankan pentingnya keamanan dalam transfer data. HTTP tidak mengenkripsi data, sehingga tidak aman untuk informasi sensitif, sedangkan HTTPS menggunakan SSL/TLS untuk mengenkripsi data, memastikan keamanan dan integritas informasi. Proses implementasi HTTPS melibatkan pembuatan sertifikat dan konfigurasi server Apache untuk mendukung komunikasi yang aman.
HTTP dan HTTPS
- 1. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 1 LAPORAN RESMI HTTP dan HTTPS Percobaan HTTP 1. Lakukan installasi apache2 2. Kemudian lakukan koneksi melalui browse windows ke server dengan alamat 192.168.8.128, dimana ip tersebut ialah alamat ip server. Untuk mengecek apakah HTTP ip server kita sudah berhasil atau belum.
- 2. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 2 Proses client saat melakukan akses pada HTTP server Proses server mengirimkan HTTP ke client, karena permintaan request HTTP dari client kepada server Sehingga dapat dilihat bahwa data paket yang dikirim menggunakan HTTP tidak terenkripsi, siapapun dapat melihat data dalam teks biasa. Sehingga karena hal tersebut, pengunaan HTTP sangat tidak dianjurkan pada tranfer data yang bersifat rahasia, karena transfer data tersebut dapat dengan mudah dibaca oleh orang lain. Percobaan HTTPS 1. Setelah install apache2 maka langkah selanjutnya adalah mengaktifkan mode ssl kita.
- 3. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 3 2. Kemudian lakukan restart pada service apache2 3. Kita membutuhkan sebuah folder untuk menyimpan server key dan sertifikat. Simpan ini didalam folder apache kita. 4. Pada bagian ini kita akan membuat Sertifikat SSL Saat kita meminta sertifikat baru, kita bisa meminta berapa lama sertifikat itu berlaku. Dalam contoh ini saya membuatnya mempunyai masa berlaku selama 2 tahun, dan menyimpan keduanya di direktori yang tadi kita buat. Karena kita mengaktifkan 2 metode, HTTP dan HTTPS. Jadi kita lupakan HTTP, karena ini sudah pasti akan berfungsi seperti seharusnya. Komponen apache yang menunjukkan dimana letak website kita disimpan ada pada file default.Ini berada di /etc/apache2/sites- available/default. Itu adalah salah satu komponen apache yang menunjukkan letak alamat website kita. Secara default file ini merujuk ke /var/www/. Didalam /etc/apache2/sites- available/ terdapat 2 buah file, yang satu adalah file default tadi, dan yang kedua adalah default-ssl. Kita akan fokus pada file default-ssl. Buka File default-ssl tambahkan baris ini dalam default-ssl SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.crt SSLCertificateKeyFile /etc/apache2/ssl/apache.key
- 4. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 4 5. Cari baris ini dan berikan comment pada baris tersebut 6. Aktifkan website default-ssl 7. Setelah semua konfigurasi telah selesai, maka lakukan restart pada service apache2 guna mengaktifkan semua konfigurasi yang baru. 8. Lakukanlah pengecekan pada web browser apakah HTTPS pada webserver kita telah bekerja dengan alamat ipserver kita. Dikarenakan kita membuat sertifikat sendiri, sehingga web browser tidak mengenali sertifikat kita, sehingga akan tampak seperti gambar diatas bahwa alamat yang kita akses seperti tidak aman, dan butuh persetujuan kita untuk mengaksesnya. 9. Kemudian lakukan pengecekan pada wireshark guna melihat komunikasi transfer data saat kita mengakses HTTPS pada webserver tersebut.
- 5. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 5 Proses akses HTTPS membutuhkan protocol TLS untuk sertifikat akses HTTP. Yang berwarna merah dalam wireshark dikarenakan warning pada security dalam SSL Server. 10. Sekarang kita lihat pada transfer packet yang berlangsung saat pengaksesan HTTPS Dapat kita lihat bahwa pada saat pengaksesan webserver dengan HTTPS, maka akan terjadi proses ssl handshake yang mana melibatkan pertukaran cryptographic keys, certificate, dan informasi lain , random data digunakan untuk membuat enkripsi satu waktu, dan valuenya digunakan untuk mengidentifikasi SSL yang dibuat dari handshake. Handshake memiliki tiga tujuan: • Untuk membolehkan client dan server setuju mengenai algoritma yang akan mereka gunakan. • Untuk melibatkan kumpulan dari crypto keys untuk digunakan oleh algoritma tersebut. • Untuk mengautentikasi client Pada proses handshake sendiri terjadi beberapa proses berikut: • Client hello : Client memulai sesi dengan mengirimkan pesan client hello pada server, pada pesan client hello ini terdapat : - Version Number : client mengirimkan nomor versi yang sesuai dengan versi tertinggi didukung oleh client - Randomly Generated Data : merupakan nilai acak dengan jumlah 4 byte yang terdiri dari tanggal dan waktu pada client ditambah 28 byte yang dihasilkan secara
- 6. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 6 acak, nomor acak ini nantinya akan digunakan untuk dengan nilai random server untuk menghasilkan enkripsi kunci akan diberikan. - Suite Cipher : daftar chiper yang sesuai yang dimiliki oleh client - Compression Algorithm : algoritma kompresi yang diminta • Selanjutnya server merespon client • Server mengirimkan pesan server hello pada client, pesan tersebut terdiri dari : - Version Number : server mengirimkan nomor versi yang tertinggi yang didukung oleh client dan server - Randomly Generated Data : merupakan nilai acak dengan jumlah 4 byte yang terdiri dari tanggal dan waktu pada server ditambah 28 byte yang dihasilkan secara acak, nomor acak ini nantinya akan digunakan untuk dengan nilai random client untuk menghasilkan enkripsi kunci akan diberikan. - Suite Cipher : server memilih chiper yang paling kuat, yang mana client dan server mendukung chiper tersebut. - Compression Algorithm : menentukan algoritma kompresi yang digunakan • Server Certificate, server mengirimkan sertifikat pada client yang berisi public key server yang akan digunakan client untuk melakukan autentikasi ke server. Dan client akan mengecek nama server di sertifikat dan menverifikasi apakah nama tersebut sesuai dengan nama server yang dituju oleh client. • Server Hello Done, pesan ini mengindikasikan bahwa server telah selesai dan server menunggu respon dari client. • Kemudian client melakukan respon ke server • Client Certificate, jika server mengirim permintaan sertiikat client, maka client akan mengirimkan sertifikat tersebut ke server untuk melakukan proses autentikasi. Sertifikat client berisi public key dari client. • Certificate Verify, pesan ini dikirim jika client sebelumnya mengirim pesan sertifikat client. • Change Chipher Spec, pesan ini memberitahu server bahwa semua pesan yang mengikuti pesan Client Finished akan dienkripsi dengan kunci dan algoritma yang telah disepakati. • Client Finished, pesan ini adalah hash dari seluruh percakapan untuk menyediakan proses autenticakasi selanjutnya dari client. • Server akan memberikan respon final untuk client, dengan memberikan : • Change Cipher Spec Message, pesan ini memberitahu client bahwa server akan mulai melakukan enkripsi pesan dengan kunci yang telah disepakati. • Server Finished Message, pesan ini adalah hash dari seluruh pertukaran hingga pada tahap ini menggunakan session key dan MAC. Jika client berhasil mendekripsi pesan ini dan melakukan validasi hash yang terkandung pada pesan ini, hal tersebut menyaskinkan bahwan SSL handshake telah berhasil. 11. Jika kita melihat pada TCP streamnya, proses transfer data akan terenkripsi, sehingga proses saling tukar menukar data pada HTTPS akan aman.
- 7. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 7 Kesimpulan HTTP dan HTTPS adalah kode bahasa protokol yang tidak asing lagi bagi pengguna internet, karena di setiap link yang mengacu pada sebuah website pasti menggukannya. Kode ini juga sering di jumpai ketika kita hendak melakukan browsing atau membuka halaman website tertentu. Kita di minta untuk mengetik kode tersebut di awalnya dan diakhiri dengan titik dua dan garis miring kembar ketika kita melakukan browsing halaman website yang diinginkan. HTTP ( Hypertext Transfer Protocol) Hypertext Transfer Protokol (HTTP) adalah sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan hipermedia penggunaannya banyak pada pengambilan sumber daya yang saling terhubung dengan tautan yang disebut dengan dokumen hiperteks yang kemudian membentuk World Wide Web pada tahun 1990 oleh fisikawan inggris yang bernama Tim Berners Lee. HTTP merupakan protokol yang menyediakan perintah dalam komunikasi antar jaringan, yaitu komunikasi antara jaringan komputer client dengan web server. Dalam komunikasi ini, komputer client melakukan permintaan dengan mengetikkan alamat atau website yang ingin di akses. Sedangkan server mengolah permintaan tersebut berdasarkan kode protokol yang di inputkan. HTTP disebut protokol Stateless karena setiap perintah dijalankan secara independen, tanpa pengetahuan tentang perintah yang datang sebelumnya. Ini adalah alasan utama yang sulit untuk menerapkan situs Website yang bereaksi secara cerdas untuk input pengguna. Hypertext Transfer Protocol Secure (HTTPS) Hypertext Transfer Protocol Secure (HTTPS) memiliki pengertian yang sama dengan HTTP hanya saja HTTPS memiliki kelebihan fungsi di bidang keamanan (secure). HTTPS di temukan oleh Netscape Communication Corporation. HTTPS menggunakan Secure Socket Layer (SSL) atau Transport Layer Security(TLS) sebagai sublayer dibawah HTTP aplikasi layer yang biasa. HTTP di enkripsi dan deskripsi dari halaman yang di minta oleh pengguna dan halaman yang di kembalikan oleh web server. Kedua protokol tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the middle attacks. Pada umumnya port yang digunakan HTTPS adalah port 443. Tingkat keamanan tergantung pada ketepatan dalam mengimplementasikan pada browser web dan perangkat lunak server dan didukung oleh
- 8. MIRRA ARIESTA AMALIA ADIBA | 2103131055 M. ARDHY WINDHY SAPUTRA | 2103131060 8 algorithma penyandian yang aktual. Oleh karena itu, pada halaman web digunakan HTTPS, dan URL yang digunakan dimulai dengan ‘HTTPS://’. HTTPS dapat menjamin keamanan dalam Autentikasi server yaitumemungkinkan peramban dan pengguna memiliki kepercayaan bahwa mereka sedang berbicara kepada server aplikasi sesungguhnya.HTTPS juga mampu dalam menjaga kerahasiaan data dan Integritas data. Perbedaan utama HTTP dan HTTPS Beberapa perbedaan utama antara HTTP dan HTTPS, dimulai dengan port default, yang 80 untuk HTTP dan 443 untuk HTTPS. HTTPS bekerja dengan transmisi interaksi yang normal HTTP melalui sistem terenkripsi, sehingga dalam teori, informasi tidak dapat diakses oleh pihak selain klien dan server akhir. Ada dua jenis umum lapisan enkripsi: Transport Layer Security (TLS) dan Secure Socket Layer (SSL), yang keduanya menyandikan catatan data yang dipertukarkan. HTTP dan HTTPS memiliki peranan yang sama dalam mendefinisikan bagaimana suatu pesan bisa diformat dan dikirimkan dari server ke client, hanya saja HTTPS memiliki kelebihan fungsi dalam sistem keamanan dengan mengenkripsikan informasi menggunakan SSL dan TLS. Sehingga HTTPS memiliki keamanan yang lebih di bandingkan HTTP.