Banyak yang bingung membedakan antara SSL, TLS dan HTTPS. Hal ini wajar karena permasalahan protokol keamanan transport data itu sendiri konsep yang baru populer di Indonesia.
Aku pikir miskonsepsi antara SSL dan HTTPS ini sama seperti kalau kita ngomong JKN dan BPJS. JKN itu nama programnya, BPJS itu nama badan yang mengelola. Jadi harusnya kalau bayar asuransi negara itu bayar JKN, bukan bayar BPJS. Eh, udah, ini masalah web ya, bukan masalah asuransi. Hehehe.
Untuk memperjelas, mari kita mulai dengan membedah terminologi masing-masing kata diatas.
Secure Socket Layer adalah standar teknologi (berupa port dan protokol) pengamanan transmisi data antara dua jaringan komputer atau lebih. SSL pertama kali dikembangkan oleh Netscape pada tahun 1990 untuk menghubungkan antara browser dan web server dengan lebih aman yang disebut sebagai HTTPS. Saat ini SSL sudah sampai pada versi 3.
Protokol SSL memiliki banyak kelemahan yang terungkap beberapa tahun terakhir, sehingga kemudian dinilai tidak laik digunakan. Insiden yang terakhir adalah kelemahan POODLE yang mengakibatkan data di-decrypt atau dibaca oleh siapapun di tengah jalan. Untuk itu web server saat ini sudah jarang atau bahkan tidak ada yang mengaktifkan protokol SSL dalam konfigurasinya. SSL digantikan oleh TLS.
TLS pertama kali diluncurkan pada tahun 1999 dan memang didesain untuk menggantikan SSL yang dianggap sudah tidak aman lagi. TLS tidak hanya digunakan untuk web server sebagai bagian dari protokol HTTPS, tapi juga digunakan pada email (SMTP dan IMAP), FTPS dan juga SSH.
Kelemahan SSL versi 3.0 adalah POODLE (Padding Oracle On Downgraded Legacy Encryption). Kelemahan ini adalah mengabaikan perbedaan pada padding bytes ketika berjalan pada mode cipher block chaining. Bingung maksudnya apa? Hm, ga terlalu penting sih, pokoknya SSL punya kelemahan. Gitu aja.
Hal ini tidak terjadi pada TLS karena padding bytes haruslah sama pada saat fase yang sama diatas. Perbedaan lainnya antara SSL dan TLS yang membuatnya lebih aman adalah otentifikasi protokol yang lebih efisien, key material generation dan mendukung algoritma cipher suites yang lebih baru dan lebih aman. Saat ini TLS sampai pada TLS versi 1.2, namun sebentar lagi, di tahun ini akan ada update. Entah jadinya TLS 1.3 atau TLS 2.0 aku belum tahu.
Pada dasarnya, HTTPS adalah protokol pengangkutan data yang dijalankan diatas protokol keamanan transmisi data, bisa SSL ataupun TLS. Protokol ini pertama kali digunakan pada browser Netscape pada tahun 1990, bersamaan dengan SSL. Dewasa ini kebanyakan HTTPS menggunakan TLS sebagai protokol transmisi datanya. Blog ini salah satunya, menggunakan TLS 1.2 sebagai protokol yang diutamakan, jika peramban/browsernya mendukung.
Ilustrasi yang paling mudah untuk menggambarkan perbedaan antara HTTP dan HTTPS adalah misalnya kita mengangkut barang dari satu tempat ke tempat lainnya. HTTP itu seperti kita menggunakan truk bak terbuka untuk mengangkut barang. Ketika truk diberhentikan, barang-barangnya bisa diganti atau minimal bisa dilihat apa isinya. Sedangkan HTTPS itu seperti kita mengangkut barang menggunakan kontainer yang terkunci rapat.
Kunci kontainer itu dikirim terlebih dahulu kepada penerima kontainer, sehingga orang tidak tahu itu kunci untuk apa. Selama dalam perjalanan, isi kontainer tidak bisa dilihat ataupun bahkan diganti. Sehingga hanya si penerima yang bisa membuka kontainer dan mengeluarkan isinya. Lalu dimana SSL dan TLS? Nah, SSL atau TLS yang digunakan adalah standar prosedur yang mengatur masalah kunci, cara mengunci, cara membuka dan cara mengirimkan kuncinya.
Nah, paling tidak itulah gambaran mengenai SSL, TLS dan HTTPS. Paling tidak secara sederhana itulah yang aku pahami. Kalau ada yang salah, mohon dicaci maki (lumayan, ngurangin dosa), kalau benar, jangan dipuji ya. Semoga informasi kali ini bermanfaat.
Disclaimer: Komentar adalah tanggapan pribadi, tidak mewakili kebijakan Hanya Lewat. Redaksi berhak menyunting atau menghapus kata-kata yang berbau narsisme, promosi, spam, pelecehan, intimidasi dan kebencian terhadap suatu golongan.
Anda harus masuk untuk berpendapat.