Memilih sertifikat HTTPS yang tepat untuk situs WordPress Anda
Diterbitkan: 2019-09-27Dalam posting kami sebelumnya HTTPS, SSL, dan TLS WordPress – panduan untuk administrator situs web, kami menjelaskan apa itu HTTPS dan semua istilah teknis lainnya, dan cara kerjanya. Dalam artikel ini, kami membahas sertifikat HTTPS, berbagai cara Anda dapat memperolehnya untuk situs web WordPress Anda, dan mengapa Anda harus atau tidak harus membayarnya. Mari kita selami.
Apa itu sertifikat HTTPS?
Sebelum kita dapat membahas bagaimana dan mengapa sertifikat HTTPS, kita perlu membahas apa itu sertifikat terlebih dahulu. Sertifikat digunakan untuk:
- mengenkripsi lalu lintas antara server web dan browser web,
- verifikasi bahwa server web tempat Anda terhubung sebenarnya adalah yang diklaimnya (alat identifikasi).
Sertifikat HTTPS (sertifikat TLS) berisi bukti kriptografik bahwa entitas yang dipercaya oleh browser dapat menjamin identitas situs web tersebut. Entitas ini disebut Certificate Authority (CA). CA memainkan peran penting dalam hal sertifikat HTTPS.
Anda dapat memikirkan Otoritas Sertifikat yang mirip dengan "kantor paspor" yang secara independen memverifikasi identitas Anda dan memberi Anda "paspor" (sertifikat) untuk membuktikan identitas Anda kepada orang lain. Namun, agar seseorang (peramban web) memvalidasi "paspor" Anda, mereka harus mempercayai "kantor paspor" (Otoritas Sertifikat) yang mengeluarkan "paspor" (sertifikat). Mirip dengan paspor, sertifikat akan memiliki fitur keamanan bawaan untuk membuatnya sulit untuk dipalsukan .
Dengan kata lain, untuk melayani situs web Anda melalui HTTPS, Anda memerlukan Otoritas Sertifikat untuk memberi Anda sertifikat yang membuktikan identitas situs web WordPress Anda (Anda adalah yang Anda katakan).
Berbagai jenis sertifikat HTTPS
Meskipun mungkin tidak langsung terlihat, ada 3 jenis sertifikat berbeda yang bisa Anda peroleh:
- Validasi Domain (DV)
- Validasi Organisasi (OV)
- Validasi Diperpanjang (EV).
Sertifikat DV sejauh ini merupakan sertifikat yang paling umum. Saat Anda mendapatkan sertifikat DV, Anda akan melihat antarmuka pengguna browser yang biasa Anda harapkan. Perhatikan bahwa ini berbeda dari browser ke browser, dan bahkan dari satu versi browser ke versi lainnya, tetapi biasanya, Anda akan melihat gembok dan terkadang kata "aman".
Sertifikat OV lebih sulit diperoleh daripada sertifikat DV karena memerlukan lebih banyak validasi. Namun, mereka jarang digunakan. Mereka terlihat persis sama bagi pengguna akhir, tidak memberikan manfaat nyata dibandingkan sertifikat DV dan lebih mahal.
Ini meninggalkan sertifikat EV — Sertifikat Validasi yang Diperpanjang seharusnya memerlukan proses verifikasi menyeluruh agar organisasi dapat memperolehnya. Mereka jauh lebih mahal, dan secara historis diperlakukan sedikit berbeda oleh browser dalam hal UI mereka.
Namun, di Chrome, Firefox, dan Safari versi terbaru, indikator ini telah dipindahkan ke bagian yang tidak terlalu mencolok. Ini sebagian besar disebabkan oleh fakta bahwa tidak ada bukti bahwa, sertifikat EV menyampaikan tingkat kepercayaan yang berarti kepada pengguna akhir. Dalam beberapa kasus, EV sebenarnya dapat menyebabkan lebih banyak kebingungan bagi pengguna akhir. Sedemikian rupa sehingga sebagian besar situs web paling populer di Internet beralih dari sertifikat EV ke sertifikat DV.
Jenis sertifikat apa yang Anda perlukan untuk situs WordPress Anda?
Jadi, singkatnya, Anda menginginkan sertifikat Validasi Domain (DV) untuk situs web WordPress Anda. Tidak ada alasan nyata mengapa Anda harus memerlukan sertifikat Extended Validation (EV), terutama sekarang karena browser cukup banyak menghilangkan keuntungan memilikinya (ditambah, harganya juga cukup mahal).
Mendapatkan Sertifikat HTTPS
Secara tradisional, memperoleh sertifikat HTTPS berarti membayar Certificate Authority (CA) biaya tahunan untuk mereka. Prosesnya masih manual dan cukup mengganggu administrator.
Untungnya, pada tahun 2012 Mozilla mulai mengerjakan apa yang dikenal sebagai Let's Encrypt ; otoritas sertifikat nirlaba yang dijalankan oleh Internet Security Research Group (ISRG). Ini memberikan sertifikat HTTPS gratis untuk semua orang . Tidak mengherankan bahwa dalam beberapa bulan ini menjadi CA terbesar di Internet.
Selain hanya menjadi CA gratis, Let's Encrypt juga revolusioner karena merupakan CA pertama yang menggunakan protokol ACME. Protokol ACME memungkinkan pembaruan sertifikat otomatis. Ini memungkinkan Let's Encrypt untuk membuat sertifikat dengan masa pakai yang lebih pendek (90 hari), yang lebih aman. Juga, sysadmin tidak perlu khawatir tentang memperbarui sertifikat mereka berkat alat seperti Certbot.
Mari Enkripsi batasan sertifikat HTTPS
Meskipun ada ribuan artikel online tentang cara agar Let's Encrypt berfungsi untuk situs web WordPress Anda, penting untuk menyadari bahwa mungkin ada kasus di mana Anda mungkin tidak dapat menggunakan sertifikat mereka. Ini terutama benar jika Anda membayar sertifikat HTTPS sebagai bagian dari paket hosting web Anda, atau Anda tidak memiliki kendali penuh atas server web Anda.
Dalam hal ini, periksa apakah Anda dapat menggunakan sertifikat Let's Encrypt dengan dukungan pelanggan penyedia hosting Anda sebelum menghabiskan uang untuk sertifikat. Saat ini, sebagian besar layanan hosting WordPress mendukung sertifikat Let's Encrypt.
Jika tidak mungkin menggunakan sertifikat Let's Encrypt dengan paket hosting Anda, Anda mungkin memerlukan sertifikat HTTPS komersial, atau Anda mungkin dapat menggunakan layanan firewall / CDN WordPress online. Sebagian besar dari mereka menawarkan sertifikat HTTPS gratis sebagai bagian dari layanan mereka.
Mengatur WordPress Anda di HTTPS
Selain mendapatkan sertifikat HTTPS dan mengaktifkan HTTPS di server web Anda, Anda juga harus memastikan situs WordPress Anda juga disiapkan untuk HTTPS. Meskipun Anda dapat melakukan ini tanpa menggunakan plugin, mungkin lebih mudah bagi sebagian besar admin WordPress untuk menggunakan plugin populer seperti Really Simple SSL. Dengan plugin seperti itu, Anda memastikan semua tautan Anda mengarah dengan benar ke versi HTTPS situs web Anda.
Penting juga untuk dicatat bahwa mesin pencari memperlakukan situs web HTTP dan HTTPS sebagai situs yang berbeda . Oleh karena itu, kecuali Anda sudah melakukannya, Anda juga harus mengirimkan situs HTTPS Anda ke Google Search Console.
Apakah sertifikat HTTPS gratis benar-benar bagus?
Banyak pemilik situs WordPress yang masih ragu menggunakan sertifikat HTTPS gratis dari Let's Encrypt. Beberapa khawatir tentang penggambaran citra bahwa mereka tidak menganggap serius keamanan, jadi takut kehilangan pelanggan. Beberapa orang lain berpikir bahwa sertifikat HTTPS gratis tidak sebagus yang berbayar. Saya tidak menyalahkan mereka – tidak ada produk/layanan bagus yang benar-benar tersedia secara gratis. Namun, ini adalah kasus yang berbeda.
Let's Encrypt gratis untuk Anda sebagai pengguna, tetapi ini bukan proyek gratis. Mereka dapat mengeluarkan sertifikat HTTPS gratis berkat sponsor seperti Google, Facebook, Microsoft, Cisco, dan banyak lainnya! Jadi, katakanlah semua perusahaan besar ini membayar sertifikat HTTPS situs web WordPress Anda.
Let's Encrypt adalah otoritas sertifikat yang sepenuhnya meledak. Tidak ada yang berbeda, terutama dalam hal kemampuan enkripsi, antara sertifikat TLS gratis dari Let's Encrypt dan yang berbayar. Karena itu, tidak ada salahnya membayar sertifikat HTTPS, jika Anda dapat membenarkan biayanya.
Apakah HTTPS membuat situs saya “aman”?
Sayangnya, tidak ada yang 100% aman, dan HTTPS tentu saja tidak terkecuali aturan ini. HTTPS hanyalah satu bagian kecil dari program keamanan situs WordPress Anda. Ini memungkinkan:
- pengguna Anda untuk terhubung dengan aman ke situs web Anda tanpa komunikasi mereka dicegat oleh pengintai di jaringan yang sama.
- membantu dengan bagian dari tantangan konstan yaitu keamanan situs web.
Namun, ini bukan peluru perak: meskipun Anda tidak diragukan lagi harus menerapkan dan menerapkan HTTPS, itu tidak berarti Anda telah selesai mengamankan situs WordPress Anda.
Apa lagi yang bisa saya lakukan untuk memastikan situs WordPress saya aman?
Ada banyak hal yang dapat Anda lakukan untuk meningkatkan keamanan situs WordPress Anda. Kami menyarankan Anda memulai dengan yang di bawah ini:
- Gunakan firewall WordPress,
- Terapkan kebijakan kata sandi WordPress yang kuat,
- Instal plugin pemantauan integritas file,
- Catat semua perubahan yang terjadi di WordPress,
- Perbarui inti WordPress, semua plugin, tema, dan perangkat lunak yang Anda gunakan.