HTTP dan SSL LATAR BELAKANG MASALAH

Transkripsi

1 HTTP dan SSL LATAR BELAKANG MASALAH Perkembangan ilmu pengetahuan dan teknologi yang demikian pesat telah memberikan banyak kemudahan bagi manusia dalam melakukan segala kegiatannya, termasuk dalam melakukan pertukaran informasi, pengiriman data, bahkan privasi. Dan sebuah data akan terkirim dengan berbagai jalur yang ditentukan. Sebuah pengiriman data takkan terlepas dari sebuah protokol yang ada di dalam jaringan pengiriman data, protokol sendiri merupakan sebuah aturan atau standar yang mengatur atau mengijinkan terjadinya hubungan, komunikasi, dan perpindahan data antara dua atau lebih titik komputer. Protokol dapat diterapkan pada perangkat keras, perangkat lunak atau kombinasi dari keduanya. Pada tingkatan yang terendah, protokol mendefinisikan koneksi perangkat keras. Protocol digunakan untuk menentukan jenis layanan yang akan dilakukan pada internet. Salah satu dari protokol tersebut adalah HTTP, sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan hipermedia. Penggunaannya banyak pada pengambilan sumber daya yang saling terhubung dengan tautan, yang disebut dengan dokumen hiperteks, yang kemudian membentuk World Wide Web. Dan merupakan sebuah protokol meminta/menjawab antara client dan server. Sebuh client HTTP seperti web browser, biasanya memulai permintaan dengan membuat hubungan TCP/IP ke port tertentu di tuan rumah yang jauh (biasanya port 80). Akan tetapi, tidak semua protokol menjamin data terkirim dengan baik bahkan dari segi keamanannya, bahkan dari efek tersebut terdapat pihak-pihak tertentu yang menimbulkan suatu kerugian apabila informasi yang dipertukarkan merupakan informasi yang bersifat rahasia, misalnya informasi mengenai account pribadi pada suatu bank. Enkripsi dapat digunakan sebagai salah satu teknik dalam mengamankan pertukaran informasi, khususnya informasi yang bersifat rahasia. Enkripsi merupakan suatu teknik menyamarkan atau mengaburkan suatu pesan sedemikian rupa sehingga isi pesan tersebut dapat disembunyikan. Enkripsi dapat diterapkan dalam suatu protokol kriptografi yang dikemas dalam suatu aplikasi sehingga kedua belah pihak yang saling berhubungan dapat melakukan komunikasi secara aman. Sehingga dalam hal ini SSL adalah salah satu solusi yang digunakan dalam pengamanan data tersebut karena Ada beberapa metode enkripsi yang bisa digunakan diantaranya adalah dengan metode secure shell (SSH) dan Secure Socket Layer (SSL). PENGERTIAN HTTP DAN SSL HTTP Hypertext Transfer Protocol (HTTP) adalah sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan hipermedia. Penggunaannya banyak pada pengambilan sumber daya yang saling terhubung dengan tautan, yang disebut dengan dokumen hiperteks, yang kemudian membentuk World Wide Web pada tahun 1990 oleh fisikawan Inggris, Tim Berners-Lee. Hingga kini, ada dua versi mayor dari protokol HTTP, yakni HTTP/1.0 yang menggunakan koneksi terpisah untuk setiap dokumen,

2 dan HTTP/1.1 yang dapat menggunakan koneksi yang sama untuk melakukan transaksi. Dengan demikian, HTTP/1.1 bisa lebih cepat karena memang tidak usah membuang waktu untuk pembuatan koneksi berulang-ulang. Pengembangan standar HTTP telah dilaksanakan oleh Konsorsium World Wide Web (World Wide Web Consortium/W3C) dan juga Internet Engineering Task Force (IETF), yang berujung pada publikasi beberapa dokumen Request for Comments (RFC), dan yang paling banyak dirujuk adalah RFC 2616 (yang dipublikasikan pada bulan Juni 1999), yang mendefinisikan HTTP/1.1 Klien yang mengirimkan permintaan HTTP juga dikenal dengan user agent. Server yang meresponsnya, yang menyimpan sumber daya seperti berkas HTML dan gambar, dikenal juga sebagai origin server. Di antara user agent dan juga origin server, bisa saja ada penghubung, seperti halnya proxy, gateway, dan juga tunnel. HTTP tidaklah terbatas untuk penggunaan dengan TCP/IP, meskipun HTTP merupakan salah satu protokol aplikasi TCP/IP paling populer melalui Internet. Memang HTTP dapat diimplementasikan di atas protokol yang lain di atas Internet atau di atas jaringan lainnya. Http adalah protocol aplikasi berbasisi klien server sederhana yang dibangun di atas TCP (Transmission Control Protocol). Transakasi yang khas dari HTTP adalah klien melakukan koneksi dengan server HTTP, dan melakukan permintaan untuk sumber yang diinginkan dan menunggu respon dari server. Setelah menerima permintaan klien dan mengirimkan respon dan menutup koneksi. Respon dapat berupa sumber yang diinginkan atau dapat juga hasil dari eksekusi dalam kasus resource yang diinginkan adalah sebuah sumber yang dapat dieksekusi. Klien mengalamatkan sumber yang dibutuhkan dengan URL (Uniform Resource Location), yaitu alamat fisik dari objek yang dapat diambil menggunakan server (DNS atau alamat IP) dan nama dari sumber yang diminta. Nama server (DNS) dan nama sumber dipisahkan dengan tanda /. Sebagai contoh di bawah ini menunjukkan permintaan HTTP yang berisi URL dari sumber yang diminta. Netmon.itb.ac.id adalah nama DNS dari server, dan ~netman/index.html adalah nama dari sumber. Ada beberapa operasi HTTP yang salah satu contohnya adalah GET dan POST. Operasi GET digunakan untuk meminta sumber dari server. Operasi POST digunakan untuk mengirim informasi ke sumber yang ada di server. Server akan merespon dengan header HTTP yang diikuti dengan bagian data. Pada kasus operasi pemberian GET, respon dari server akan berisi sumber yang diminta klien. Jika server menerima operasi POST, server akan melewatkan data yang ada pada operasi POST ke sumber yang dapat dieksekusi. Setelah server menerima kembali hasil dari sumber tersebut, server akan memasukkan hasil tersebut ke HTTP respon yang dikirim kembali ke klien. SSL Secure Sockets Layer (SSL) merupakan sistem yang digunakan untuk mengenkripsi pengiriman informasi pada internet, sehingga data dapat dikirim dengan aman. Protokol SSL mengatur keamanan dan integritas menggunakan enkripsi, autentikasi, dan kode autentikasi pesan. Secure Sockets Layer, adalah metode enkripsi yang dikembangkan oleh Netscape untuk memberikan keamanan di Internet. Ia mendukung beberapa protokol enkripsi dan memberikan autentikasi client dan server.

3 SSL beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk data, dan dapat mengenkripsi banyak tipe data. Hal ini dapat dilihat ketika mengunjungi site yang aman untuk melihat dokumen online aman dengan Communicator, dan berfungsi sebagai dasar komunikasi yang aman dengan Communicator, juga dengan enkripsi data Netscape Communication lainnya. Atau dapat dikatakan bahwa SSL merupakan Protokol berlapis. Dalam tiap lapisannya, sebuah data terdiri dari panjang, deskripsi dan isi. SSL mengambil data untuk dikirimkan, dipecahkan kedalam blok-blok yang teratur, kemudian dikompres jika perlu, menerapkan MAC, dienkripsi, dan hasilnya dikirimkan. Di tempat tujuan, data didekripsi, verifikasi, dekompres, dan disusun kembali. Hasilnya dikirimkan ke klien di atasnya. Secure Socket Layer (SSL) merupakan salah satu protokol kriptografi yang paling banyak digunakan saat ini. Akan tetapi, dalam penggunaannya SSL memiliki beberapa permasalahan, salah satunya dalam hal performa. Walaupun saat ini SSL telah mendukung AES sebagai standar enkripsi, pada kenyataannya masih banyak kalangan pengembang maupun pengguna yang masih menggunakan RC4 untuk algoritma penyandian datanya (bulk encryption). Hal ini dilakukan untuk mengurangi dampak dari lambatnya performa pada SSL. Namun, dari hasil beberapa penelitian yang telah dilakukan, RC4 terbukti memiliki beberapa kelemahan kriptografis. Pada penelitian ini penulis mengimplementasikan algoritma stream cipher Rabbit sebagai alternatif algoritma penyandian data baru pada SSL. Algoritma Rabbit tidak hanya memiliki kekuatan kriptografis yang baik namun juga memiliki performa yang relatif cukup tinggi. Hasil pengujian menunjukkan bahwa proses transfer data melalui SSL menggunakan algoritma Rabbit sedikit lebih lambat dibandingkan dengan RC4 (sekitar 5 % pada file yang berukuran 5 MB dan 3,5% pada file berukuran 10 MB). Akan tetapi, dibandingkan dengan AES-128, algoritma ini menunjukkan peningkatan kecepatan transfer yang cukup signifikan (sekitar 4 % pada file berukuran 5 MB dan 20% pada file berukuran 10 MB). KARAKTERISTIK DARI HTTP DAN SSL Biasanya untuk mentransfer dokumen dalam World Wide Web (WWW) kita menggunakan HTTP (HyperText Transfer Protocol). Protokol ini adalah protokol ringan, tidak berstatus dan generik yang dapat dipergunakan dalam berbagai macam tipe dokumen. Namun dalam protokol ini segi keamanan data yang dikirim belum diperhatikan, data yang dikirimkan tidak dienkripsi, sehingga data yang dikirim rawan, dapat dibaca/ dirusak oleh orang yang tidak diizinkan. Jika data itu tidak penting tidak menjadi masalah, tetapi apabila data itu sangat privasi dan penting seperti pada saat kita ingin melakukan transaksi online, Bank ingin mengirimkan informasi keuangan rahasia nasabahnya tentunya segi keamanannya sangat rentan dan harus diperhitungkan. Oleh karena itu, kita pergunakan protokol yang dapat mendukung segi keamanan yaitu, HTTPS (HTTP melalui SSL or HTTP Secure), merupakan protokol HTTP yang menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) sebagai sublayer dibawah HTTP aplikasi layer yang biasa. HTTP di enkripisi dan deskripsi dari halaman yang diminta pengguna serta halaman yang dikembalikan oleh web server. HTTPS digunakan untuk melindungi dari orang mengakses tanpa izin dan dari serangan man-in themiddle. HTTPS dikembangkan oleh Netscape. Dengan HTTPS kita dapat melakukan proteksi

4 data yaitu hanya penerima saja yang dapat membaca data, Kenyamanan (data privacy), memungkinkan identifikasi server ataupun client, otentikasi server dan klien, dan integritas data. Sedangkan SSL (Secure Socket Layer) adalah arguably internet yang paling banyak digunakan untuk enkripsi. Ditambah lagi, SSL sigunakan tidak hanya keamanan koneksi web, tetapi untuk berbagai aplikasi yang memerlukan enkripsi jaringan end-to-end. Pendekatan HTTPS sangatlah simpel, Client membuat koneksi ke server, melakukan negosiasi koneksi SSL, kemudian mengirim HTTP tersebut melalui aplikasi SSL. Deskripsi ini menjadikannya terlihat mudah. Selain menggunakan komunikasi plain text, HTTPS menyandikan data sesi menggunakan protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer Security). Kedua protokol tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the middle attacks. Pada umumnya port HTTPS adalah 443. Terdapat perbedaan port yang spesifik, HTTPS menggunakan port 443 sedangkan HTTP menggunakan port 80 dalam berinteraksi dengan layer yang di bawahnya, TCP/IP/ HTTPS dan SSL mendukung penggunaan dari X.509 sertifikat digital dari server, sehingga jika diperlukan, pengguna dapat mengotentikasi pengirimnya. Kecuali perbedaan port yang spesifik, HTTPS menggunakan port 443 sedangkan HTTP menggunakan port 80 dalam berinteraksi dengan layer yang di bawahnya, TCP/IP/ Tingkat keamanan tergantung pada ketepatan dalam mengimplementasikan pada browser web dan perangkat lunak server dan didukung oleh algorithma penyandian yang aktual. Oleh karena itu, pada halaman web digunakan HTTPS, dan URL yang digunakan dimulai dengan bukan dengan Efektifitas dari HTTPS dapat dibatasi oleh kurangnya implementasi dari browser atau perangkat lunak server atau kurangnya dukungan dari beberapa algoritma. Selanjutnya, walapun HTTPS dapat mengamankan perjalanan data antara server dan klien, setelah data didekripsi tujuannya, itu hanya aman sebagai host komputer. Kesalahpahaman yang sering terjadi pada pengguna kartu kredit di web ialah dengan menganggap HTTPS sepenuhnya melindungi transaksi mereka. Sedangkan pada kenyataannya, HTTPS hanya melakukan enkripsi informasi dari kartu mereka antara browser mereka dengan web server yang menerima informasi. Pada web server, informasi kartu mereke secara tipikal tersimpan di database server (terkadang tidak langsung dikirimkan ke pemroses kartu kredit), dan server database inilah yang paling sering menjadi sasaran penyerangan oleh pihak-pihak yang tidak berkepentingan. Secure Sockets Layer (SSL) merupakan sistem yang digunakan untuk mengenkripsi pengiriman informasi pada internet, sehingga data dapat dikirim dengan aman. Protokol SSL mengatur keamanan dan integritas menggunakan enkripsi, autentikasi, dan kode autentikasi pesan. SSL mendukung beberapa protokol enkripsi dan memberikan autentikasi client dan Server, SSL beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk data, dan dapat mengenkripsi banyak tipe data.

5 Tanpa SSL Layer 7 Application Layer 6 Presentation Layer 5 Session Layer 4 TCP, UDP Layer 3 Network Layer (IP) Layer 2 Data Link Layer (Ethernet, Token Ring, ATM, etc.) Layer 1 Physical Layer (twisted pair, coax, fiber, wireless) Dengan SSL Layer 7 Application Layer 6 Presentation Layer 5 Session Layer 4+ SSL Layer 4 TCP, UDP Layer 3 Network Layer (IP) Layer 2 Data Link Layer (Ethernet, Token Ring, ATM, etc.) Layer 1 Physical Layer (twisted pair, coax, fiber, wireless) SSL protocol menyedian privasi komunikasi di internet. SSL tidak mendukung fileencryption, access-control, atau proteksi virus, jadi SSL tidak dapat membantu mengatur data sensitif setelah dan sebelum pengiriman yang aman. Gambar 1. SSL berjalan di atas TCP / IP dan di bawah tingkat tinggi protokol aplikasi. Cara Kerja SSL Cara kerja SSL dapat kita lihat dengan tahapan tahapan : Langkah 1 Client membentuk koneksi awal ke server dan meminta koneksi SSL. Langkah 2 Bila server yang dihubungi telah dikonfigurasi dengan benar, maka server ini akan mengirimkan client public key miliknya. Langkah 3 Client membandingkan sertifikat dari server ke basisdata trusted authorities. Bila sertifikat ini terdaftar di situ, artinya client mempercayai (trust) server itu dan akan maju kelangkah 4. Bila sertifikat itu terdaftar, maka pemakai harus menambahkan sertifikat ini ke trusted database sebelum maju ke langkah 4. Langkah 4 Client menggunakan Public Key yang didapatnya untuk men-enkrip sesi dan mengirimkan session key ke server. Bila server meminta sertifikat client di langkah2, maka clent harus mengirimkannya sekarang.

6 Langkah5 Bila server di-setup untuk menerima sertifikat, maka server akan membandingkan sertifikat yang diterimanya dengan basisdata trusted authorities dan akan menerima atau menolak koneksi yang diminta. Bila kondisi ditolak, suatu pesan kegagalan akan dikirimkan ke client. Bila koneksi diterima, atau bila server tidak di-setup untuk menerima sertifikat, maka server akan men-decode session key yang didapat dari client dengan privete key milik server dan mengirimkan pesan berhasil ke client yang dengan demikian membuka suatu secure data chanel. JENIS-JENIS HTTP DAN SSL Protokol SSL terdiri dari dua sub-protokol: SSL record protocol dan SSL handshake protocol. SSL record protocol mendefinisikan format yang digunakan untuk mentransmisikan data. Sedangkan SSL handshake protocol melibatkan SSL record protocol untuk menukarkan serangkaian pesan antara SSL enabled server dan SSL enable client ketika keduanya pertama kali melakukan koneksi SSL. Pertukaran pesan tersebut digunakan untuk memfasilitasi tindakan sebagai berikut : Autentikasi dari server ke klien Mengizinkan klien dan server untuk memilih algoritma kriptografi atau sandi, yang mendukung komunikasi keduanya. Autentikasi dari klien ke server. Menggunakan teknik enkripsi public key untuk membuka data yang dienkripsi Membuat enkripsi koneksi SSL Protokol SSL saat ini telah memiliki beberapa versi. SSL versi 3 (SSLv3) didesain dengan memperhatikan masukan dari kalangan publik serta industri, dan telah dipublikasikan sebagai Internet Draft. Versi SSL terbaru, yaitu Transport Layer Security (TLS) merupakan versi protokol SSL yang telah distandarisasi oleh IETF melalui RFC Protokol SSL bekerja di bawah lapisan aplikasi (application layer) pada protokol TCP/IP. SSL pada dasarnya merupakan protokol berlapis (layered protocol). SSL Record Protocol, yang merupakan lapisan (layer) paling bawah, berjalan di atas protokol transport yang dapat diandalkan (reliable transport protocol) seperti TCP. SSL Record Protocol juga berfungsi mengkapsulasi berbagai protokol pada lapisan yang lebih tinggi (higher-level protocol), seperti HyperText Transfer Protocol (HTTP) yang menyediakan layanan transfer pada Web. Tiga protokol pada lapisan yang lebih tinggi adalah Handshake Protocol, Change Cipher Spec Protocol, dan Alert Protocol. Tiga protokol pada lapisan atas ini berfungsi mengatur pertukaran informasi yang dilakukan pada SSL (SSL exchange). Gambar 1 adalah ilustrasi dari lapisan protokol pada SSL. Protokol SSL berjalan di atas TCP/IP, di bawah protokol tingkat tinggi seperti HTTP/IMAP. Berikut merupakan kemampuan SSL untuk berkomunikasi melalui internet dan TCP/IP : o SSL server authentication : mengizinkan pengguna untuk mengkonfirmasi identitas server. SSL memungkinkan perangkat lunak klien menggunakan teknik standar dari kriptografi

7 public key untuk memeriksa sertifikat sever dan public ID itu sah. Konfirmasi ini penting misalnya ketika, akan mengirimkan nomor kartu kredit melalui jaringan dan ingin memeriksa identitas server penerima. o SSL client authentication, mengizinkan server untuk mengkonfirmasi identitas klien. Menggunakan teknik yg sama dengan SSL server authentication. SSL memungkinkan perangkat lunak server untuk memriksa sertifikat klien dan public ID dari certificat authority (CA). Konfirmasi ini penting, misalnya ketika Bank mengirimkan informasi keuangan rahasia nasabahnya dan ingin memeriksa identitas penerima. o Encrypted SSL connection, semua informasi yang dikirim antatra klien-server untuk dienkripsi dan dekripsi, sehingga data yang dikirim memiliki tingkat kerahasiaan yang tinggi. Kerasahasiaan sangat penting bagi kedua pihak untuk setiap transaksi. Setiap data yang dikirim melalui SSL dilindung oleh mekanisme yang menjaga data dari kerusakan. Untuk Protokol HTTP, terdapat dua macam metode yaitu Get dan Post, adapun Metode GET Menurut RFC 2616 Dengan menggunakan metode GET, HTTP Client bisa mengambil informasi dari server dengan mengirimkan data melalui URI walaupun bisa juga dengan form yang menggunakan metode GET yang mana ujung ujungnya data tersebut tetap dikirimkan juga melalui URI. Hasil dari permintaan dengan metode GET dapat bersifat cacheable. Dan metode GET juga memiliki kondisional If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match, ataupun If-Range yang ditujukan untuk menentukan apakah hasil dari permintaan HTTP Client akan diberikan server atau tidak. Ini bertujuan untuk mengurangi trafik antara HTTP Client dan Server yang mana jika hasil permintaan hasil permintaan tersebut sudah pernah ada di HTTP Client (sudah pernah diminta sebelumnya) maka HTTP Server tidak lagi memberikan permintaan tersebut. Metode POST Menurut RFC 2616 Metode POST digunakan untuk mengirimkan data dari HTTP Client untuk diproses di HTTP Server, kemudian HTTP server memberikan hasil dari proses tersebut ke HTTP Client. Data yang dikirimkan dengan metode POST disertakan pada baris permintaan (body of request) bukan pada URI. Dan hasil dari permintaan dengan metode POST ini tidak bersifat cacheable. Contoh Komunikasi HTTP Client dan HTTP Server Dengan Metode GET Berikut contoh komunikasi antara HTTP Client dan HTTP Server dengan metode GET GET /info.php?serv=1 HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-us; rv: ) Gecko/ Iceweasel/ (Debian )

8 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,* /*;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive HTTP Client meminta HTTP Server milik localhost untuk memberikan hasil dari info.php dengan mengirimkan data serv yang bernilai 1 ke HTTP Client. Setelah mendapat permintaan tersebut HTTP Server menjawab seperti ini: HTTP/1.x 200 OK Date: Fri, 11 Apr :28:40 GMTServer: Apache/2.2.3 (Debian) DAV/2 SVN/1.4.2 mod_python/ Python/2.4.4 PHP/ etch1 mod_ruby/1.2.6 Ruby/1.8.5( ) mod_perl/2.0.2 Perl/v5.8.8 X-Powered-By: PHP/ etch1 Keep-Alive: timeout=15, max=99 Connection: Keep-Alive Transfer-Encoding: chunked Content-Type: text/html; charset=utf-8 Contoh Komunikasi HTTP Client dan HTTP Server Dengan Metode POST Berikut contoh komunikasi antara HTTP Client dan HTTP Server dengan metode POST. POST /submit.php HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-us; rv: ) Gecko/ Iceweasel/ (Debian ) Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,* /*;q=0.5

9 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: Content-Type: application/x-www-form-urlencoded Content-Length: 15 user=dolly&password=dollykeren HTTP Client meminta HTTP Server milik localhost untuk memberikan hasil dari submit.php dengan mengirimkan data user dan password untuk diproses di server kemudian. Setelah mendapat permintaan tersebut HTTP Server menjawab seperti ini: HTTP/1.x 200 OK Date: Sat, 12 Apr :03:00 GMTServer: Apache/2.2.3 (Debian) DAV/2 SVN/1.4.2 mod_python/ Python/2.4.4 PHP/ etch1 mod_ruby/1.2.6 Ruby/1.8.5( ) mod_perl/2.0.2 Perl/v5.8.8 X-Powered-By: PHP/ etch1 Content-Length: 1234 Keep-Alive: timeout=15, max=99 Connection: Keep-Alive Content-Type: text/html; charset=utf-8 Dari jawaban HTTP Server diatas bisa diartikan bahwa permintaan dari HTTP Client dikabulkan (HTTP/ OK). Kemudian HTTP Server memberikan permintaan HTTP Client tadi dan beberapa informasi seperti Date, Server dan selebihnya bisa lihat sendiri diatas.

10 PERBEDAAN HTTP DAN SSL HTTP : Hyper Text Transfer Protocol.Protocol yang digunakan dalam mentransfer dokumen dari ini ringan, tidak berstatus, dan generic yang dapat digunakan dalam berbagai macam tipe dokumen.pengembangan HTTP dikoordinasi oleh W3C dan kelompok kerja IETF.Sebuah client HTTP seperti Web Browser, biasanya memulai permintaan dangan membuat hubungan TCP/IP ke port tertentu di remote host(biasanya: port 80).Sebuah server HTTP yang mendengarkan di port tsb menunggu client mengirimkan request, diikuti dengan pesan MIME yang memiliki beberapa kepala dari kode informasi yang menjelaskan aspek dari request tsb, diikuti dengan badan dari data tertentu. HTTPS : Hyper Text Transfer Protocol over Secure socket layer. Versi aman (save) dari HTTP. Ditemukan oleh Netscapes communication Corporation untuk menyediakan authentifikasi dan komunikasi tersandi(memiliki sandi) Selain menggunakan komunikasi Plain Text, HTTPS menyandikan sesi data menggunakan protocol SSL(Secure Socket Layer) atau protocol TLS (Transport Layer Security).Kedua protocol tsb memberikan perlindungan yang cukup dari serangan eavesdropers dan man in the middle attacks.pada umumnya, port HTTPS adalah 443 HTTPS (HTTP melalui SSL or HTTP Secure), merupakan protokol HTTP yang menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS). HTTP merupakan protokol yang dipergunakan untuk mentransfer dokumen dalam World Wide Web(WWW), termasuk protokol ringan, tidak berstatus dan generik yang dapat dipergunakan pada berbagai macam dokumen dan terdapat pada port 80. SSL dibuat untuk memberikan keamanan data dan kemudahan untuk autentikasi dari server ke klien dan menyediakan enkripsi yang efisien bila digunakan dengan beberapa protokol seperti HTTP. Beberapa fleksibilitas dari SSL tidak dibutuhkan, karena SSL mendukung banyak turunan sandi yang sekarang tidak relevan digunakan, Bagian yang berharga dari fleksibilitas SSL adalah pilihan autentikasi klien dan multiple connection resumable session. Selain fleksibel, SSL juga terdapat di manamana dan mudah dipelajari, serta bagus untuk kebutuhan keamanan dari jaringan. Kini telah terdapat cara untuk menangani masalah keamanan web. Yaitu dengan HTTPS,. https adalah versi aman dari HTTP, protokol komunikasi dari World Wide Web. Ditemukan oleh Netscape Communications Corporation untuk menyediakan autentikasi dan komunikasi tersandi dan penggunaan dalam komersi elektris. Pendekatan HTTPS sangatlah simpel, Client membuat koneksi ke server, melakukan negosiasi koneksi SSL, kemudian mengirim HTTP tersebut melalui aplikasi SSL. Deskripsi ini menjadikannya terlihat mudah. Selain menggunakan komunikasi plain text, HTTPS menyandikan data sesi menggunakan protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer Security). Kedua protokol tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the middle attacks. Pada umumnya port HTTPS adalah 443. Terdapat perbedaan port yang spesifik, HTTPS menggunakan port 443 sedangkan HTTP menggunakan port 80 dalam berinteraksi dengan layer yang di bawahnya, TCP/IP/. HTTPS dan SSL mendukung penggunaan dari X.509 sertifikat digital dari server, sehingga jika diperlukan, pengguna dapat mengotentikasi pengirimnya. Kecuali perbedaan port yang spesifik, HTTPS menggunakan port 443 sedangkan HTTP menggunakan port 80 dalam berinteraksi dengan layer yang di bawahnya, TCP/IP/ Tingkat keamanan tergantung pada ketepatan dalam mengimplementasikan pada browser web dan perangkat lunak server dan didukung oleh algorithma penyandian yang aktual.oleh karena itu, pada halaman web digunakan HTTPS,

11 dan URL yang digunakan dimulai dengan bukan dengan Efektifitas dari HTTPS dapat dibatasi oleh kurangnya implementasi dari browser atau perangkat lunak server atau kurangnya dukungan dari beberapa algoritma. Selanjutnya, walapun HTTPS dapat mengamankan perjalanan data antara server dan klien, setelah data didekripsi tujuannya, itu hanya aman sebagai host komputer Kesalahpahaman yang sering terjadi pada pengguna kartu kredit di web ialah dengan menganggap HTTPS sepenuhnya melindungi transaksi mereka. Sedangkan pada kenyataannya, HTTPS hanya melakukan enkripsi informasi dari kartu mereka antara browser mereka dengan web server yang menerima informasi. Pada web server, informasi kartu mereke secara tipikal tersimpan di database server (terkadang tidak langsung dikirimkan ke pemroses kartu kredit), dan server database inilah yang paling sering menjadi sasaran penyerangan oleh pihak-pihak yang tidak berkepentingan. Sedangkan SSL telah digunakan untuk mengamankan protokol-protokol yang insecure menjadi secure. SSL menjadi perantara antara pemakai dengan protokol HTTP dan menampilkan HTTPS kepada pemakai. Hal yang sama dapat dilakukan pula terhadap protokol-protokol insecure lain seperti POP3, SMTP, IMAP dan apasaja yang merupakan aplikasi TCP.