SSL, atau Secure Socket Layer, ialah protokol keselamatan Internet berasaskan penyulitan (encryption). Ia pertama kali dibangunkan oleh Netscape pada tahun 1995 untuk tujuan memastikan privasi, pengesahan, dan integriti data dalam komunikasi Internet. SSL adalah pendahulu kepada penyulitan TLS moden yang digunakan hari ini.
Laman web yang melaksanakan SSL / TLS mempunyai “HTTPS” dalam URLnya dan bukannya “HTTP.”
Bagaimanakah SSL/TLS berfungsi?
- Untuk memberikan tahap privasi yang tinggi, SSL menyulitkan (encrypt) data yang dihantar ke seluruh web. Ini bermakna sesiapa yang cuba memintas data ini hanya akan melihat campuran aksara yang hampir mustahil untuk dinyahsulit (decrypt).
- SSL memulakan proses pengesahan yang dipanggil jabat tangan (handshake) antara dua peranti yang sedang berkomunikasi untuk memastikan bahawa kedua-dua peranti itu benar-benar seperti yang mereka dakwa.
- SSL juga menandatangani data secara digital untuk memberikan integriti data, mengesahkan bahawa data tidak diusik sebelum mencapai penerima yang dimaksudkan.
Terdapat beberapa lelaran SSL, masing-masing lebih selamat daripada yang terakhir. Pada tahun 1999 SSL telah dikemas kini untuk menjadi TLS.
Mengapa SSL / TLS penting?
Pada asalnya, data di Web dihantar dalam teks biasa yang boleh dibaca oleh sesiapa sahaja jika mereka memintas mesej tersebut. Sebagai contoh, jika pengguna melawat laman web membeli-belah, membuat pesanan, dan memasukkan nombor kad kredit mereka di laman web, nombor kad kredit itu akan bergerak merentasi Internet tanpa disedari.
SSL dicipta untuk membetulkan masalah ini dan melindungi privasi pengguna. Dengan menyulitkan sebarang data yang berlaku antara pengguna dan pelayan web, SSL memastikan bahawa sesiapa yang memintas data hanya dapat melihat karakter yang bercampur aduk. Nombor kad kredit pengguna kini selamat, hanya dapat dilihat oleh laman web membeli-belah di mana mereka memasukinya.
SSL juga menghentikan beberapa jenis serangan siber: Ia mengesahkan pelayan web, yang sangat penting kerana penyerang sering akan cuba menyediakan laman web palsu untuk menipu pengguna dan mencuri data. Ia juga menghalang penyerang daripada mengganggu data dalam transit, seperti meterai kalis tamper pada bekas ubat.
Adakah SSL dan TLS perkara yang sama?
SSL adalah pendahulu langsung protokol lain yang dipanggil TLS (Transport Layer Security). Pada tahun 1999 Pasukan Petugas Kejuruteraan Internet (IETF) mencadangkan kemas kini kepada SSL. Oleh kerana kemas kini ini sedang dibangunkan oleh IETF dan Netscape tidak lagi terlibat, nama itu ditukar kepada TLS. Perbezaan antara versi akhir SSL (3.0) dan versi pertama TLS adalah tidak drastik; perubahan nama digunakan untuk menandakan perubahan pemilikan.
Oleh kerana mereka sangat berkait rapat, kedua-dua istilah ini sering digunakan secara bergantian dan keliru. Sebilangan orang masih menggunakan SSL untuk merujuk kepada TLS, yang lain menggunakan istilah “penyulitan SSL / TLS” kerana SSL masih mempunyai begitu banyak pengiktirafan nama.
Adakah SSL masih terkini?
SSL belum dikemas kini sejak SSL 3.0 pada tahun 1996 dan kini dianggap telah ditamatkan. Terdapat beberapa kelemahan yang diketahui dalam protokol SSL, dan pakar keselamatan mengesyorkan menghentikan penggunaannya. Sebenarnya, kebanyakan penyemak imbas web moden tidak lagi menyokong SSL sama sekali.
TLS adalah protokol penyulitan terkini yang masih dilaksanakan dalam talian, walaupun ramai orang masih merujuknya sebagai “penyulitan SSL.” (SSL encryption). Ini boleh menjadi sumber kekeliruan bagi seseorang yang membeli penyelesaian keselamatan. Yang sebenarnya adalah bahawa mana-mana vendor yang menawarkan “SSL” hari ini hampir pasti memberikan perlindungan TLS, yang telah menjadi standard industri selama lebih dari 20 tahun. Tetapi kerana ramai orang masih mencari “perlindungan SSL,” istilah ini masih dipaparkan dengan jelas di banyak halaman produk.
Apakah sijil SSL?
SSL hanya boleh dilaksanakan oleh laman web yang mempunyai sijil SSL (secara teknikal “sijil TLS”). Sijil SSL adalah seperti kad pengenalan atau lencana yang membuktikan seseorang adalah siapa yang mereka katakan. Sijil SSL disimpan dan dipaparkan di Web oleh pelayan laman web atau aplikasi.
Salah satu maklumat yang paling penting dalam sijil SSL adalah kunci awam laman web. Kunci awam menjadikan penyulitan boleh berlaku. Peranti pengguna melihat kunci awam dan menggunakannya untuk mewujudkan kekunci penyulitan(encryption key) selamat dengan pelayan web. Sementara itu pelayan web juga mempunyai kunci peribadi(private key) yang dirahsiakan; kunci peribadi menyahsulit data yang disulitkan dengan kunci awam.
Pihak berkuasa sijil (certificate authorities)(CA) bertanggungjawab untuk mengeluarkan sijil SSL.
Apakah jenis sijil SSL?
Terdapat beberapa jenis sijil SSL yang berbeza. Satu sijil boleh digunakan untuk satu laman web atau beberapa laman web, bergantung pada jenis:
- Domain tunggal (single-domain): Sijil SSL satu domain digunakan untuk hanya satu domain (“domain” adalah nama laman web, seperti www.ismetfitri.com).
- Kad bebas (wildcard): Seperti sijil domain tunggal, sijil SSL kad bebas hanya digunakan untuk satu domain. Walau bagaimanapun, ia juga termasuk subdomain domain itu. Sebagai contoh, sijil kad bebas boleh meliputi www.ismetfitri.com, blog.ismetfitri.com dan developers.ismetfitri.com, manakala sijil satu domain hanya boleh meliputi yang pertama.
- Berbilang domain (multi-domain): Seperti yang ditunjukkan oleh namanya, sijil SSL berbilang domain boleh digunakan pada berbilang domain yang tidak berkaitan.
Sijil SSL juga dilengkapi dengan tahap pengesahan yang berbeza. Tahap pengesahan adalah seperti semakan latar belakang, dan tahap berubah bergantung pada ketelitian cek.
- Pengesahan Domain (domain validation): Ini adalah tahap pengesahan yang paling rendah, dan yang paling murah. Apa yang perlu dilakukan oleh perniagaan adalah membuktikan bahawa mereka mengawal domain.
- Pengesahan Organisasi (organization validation): Ini adalah proses yang lebih praktikal: CA secara langsung menghubungi orang atau perniagaan yang meminta sijil. Sijil ini lebih dipercayai untuk pengguna.
- Pengesahan Lanjutan (extended validation): Ini memerlukan semakan latar belakang penuh organisasi sebelum sijil SSL boleh dikeluarkan.
Bagaimanakah perniagaan boleh mendapatkan sijil SSL?
NetKL menawarkan sijil SSL untuk sebarang perniagaan. Laman web yang dilindungi oleh NetKL boleh mengaktifkan SSL dengan beberapa klik. Laman web mungkin perlu menyediakan sijil SSL pada pelayan asal mereka juga. Walau bagaimanapun, sekiranya anda mempunyai sebarang kemusykilan, maka pihak NetKL akan memberikan bantuan sokongan teknikal kepada anda.
Sumber : CloudFlare
Baca Juga:
- Apa itu encryption?
Pingback: Apa itu encryption? – Ismet Fitri