Bicara tentang security / keamanan website, salah satu masalah yang sering muncul dan perlu di-fixing adalah HTTP Strict Transport Security. Yups, HTTP Strict Transport Security merupakan salah satu cara untuk mengamankan situs web kamu dari hal yang tidak diinginkan. Untuk mengetahu bagaimana cara fixing masalah ini, tentu kamu harus tahu apa itu HTTP Strict Transport Security terlebih dahulu.
Apa Itu HTTP Strict Transport Security ?
HTTP Strict Transport Security atau yang sering disingkat HSTS merupakan mekanisme kebijakan keamanan web yang membantu melindungi situs web dari serangan man-in-the-middle seperti serangan penurunan versi protokol dan pembajakan cookie.
Hal ini memungkinkan server web untuk menyatakan bahwa browser web (atau agen pengguna lain yang sesuai) harus secara otomatis berinteraksi dengannya hanya dengan menggunakan koneksi HTTPS yang menyediakan Transport Layer Security (TLS / SSL), tidak seperti HTTP yang tidak aman digunakan sendiri. HSTS adalah protokol trek standar IETF dan ditentukan dalam RFC 6797.
Kebijakan HSTS dikomunikasikan oleh server ke agen pengguna melalui bidang header respons HTTPS bernama “Strict-Transport-Security”. Kebijakan HSTS menentukan periode waktu di mana agen pengguna hanya boleh mengakses server dengan cara yang aman.
Baca Juga:
Situs web yang menggunakan HSTS sering kali tidak menerima HTTP teks biasa, baik dengan menolak koneksi melalui HTTP atau secara sistematis mengalihkan pengunjung ke HTTPS (meskipun ini tidak diwajibkan oleh spesifikasi). Konsekuensi dari hal ini adalah agen pengguna yang tidak mampu melakukan TLS tidak akan dapat terhubung ke situs web kamu.
Cara Validasi HTTP Strict Transport Security
Untuk mengetahui apakah HTTP Strict Transport Security sudah terpasang di situs web bisa dilakukan dengan 2 cara yaitu inspect + check Network atau check di https://hstspreload.org.
Check via https://hstspreload.org
Kunjungi https://hstspreload.org lalu masukkan domain kamu tanpa www dan lihat hasilnya, pastikan hasilnya ini sukses. Jika masih ada error, maka kamu harus melakukan perbaikan pada masalah tersebut.
Check via Inspect Network
Ini cara yang mudah dilakukan tapi tidak diketahui masalah detail-nya dimana, buka situs web kamu, klik kanan, inspect, pilih Networks dan cari domain situs web kamu. Ini contoh ketika kami membuka situs web Nutriclub.
Jika HSTS berhasil diterapkan pada server yang kamu gunakan maka akan muncul strict-transport-security: max-age=63072000; includeSubDomains; preload ketika kamu lakukan inspect dengan cara di atas dan artinya HSTS sudah berhasil diimplementasi dengan baik.
Kami sarankan untuk menggunakan inspect saja daripada menggunakan https://hstspreload.org karena masalahnya terlalu detail dan agak sulit untuk dilakukan fixing, kecuali kamu bersedia melakukan fixing dan memiliki waktu banyak.
Cara Fixing HTTP Strict Transport Security
Untuk menyelesaikan masalah HSTS, kamu dapat melakukannya di level server.
Apache
Jika menggunakan Apache, tambahkan ini di file .htaccess:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Jangan lupa dibuka dengan ifmodule seperti ini:
max-age= adalah berapa lama header ini akan expired, setidaknya kamu harus menetapkan 1 tahun dalam hitungan detik yaitu 31536000.
NGINX
Jika menggunakan Apache NGINX, tambahkan ini di NGINX config:
add_header Strict-Transport-Security max-age=31536000Windows
Jika menggunakan server window, kamu dapat melakukan setup di panel Internet Information Service (IIS).
- Buka IIS Manager
- Klik Add…
- Masukkan nilai di bawah ini pada bagian kotak Add Custom HTTP Response Headers
Name: Strict-Transport-Security Value: max-age=31536000
Setelah kamu melakukan setup pada server yang kamu gunakan, jangan lupa untuk memastikan bahwa kamu sudah melakukan redirect dari http ke https dan pastikan sertifikat HTTPS kamu aktif.