Pengungkapan: Editorial Top10VPN bersifat independen. Kami dapat memperoleh komisi jika Anda membeli VPN dari situs ini

Apakah HTTPS Benar-Benar Aman?

Simon Migliano

Diperbarui 7 September 2023

Simon Migliano adalah seorang pakar VPN yang diakui dunia. Ia telah menguji ratusan layanan VPN dan hasil penelitiannya telah dimuat di BBC, The New York Times, Republika dan media publikasi lainnya.

Pengecekan Fakta oleh JP Jones

Keputusan Kami

HTTP (Hypertext Transfer Protocol) dan HTTPS (Hypertext Transfer Protocol Secure) keduanya merupakan protokol untuk mentransfer informasi melalui web. HTTPS menggunakan enkripsi untuk melindungi data Anda dari penyadapan atau gangguan saat ditransfer. HTTP mentransfer data dalam bentuk teks biasa sehingga bisa disadap atau dimanipulasi oleh pihak ketiga. Meskipun lebih aman daripada HTTP, HTTPS tidak dapat menjamin perlindungan dari penipuan phishing (pengelabuan), malware (perangkat lunak perusak), atau kerentanan situs web lainnya.

HTTP dan HTTPS merupakan aspek dasar dari fungsi dan keamanan situs web.

Kebanyakan orang tahu bahwa situs web HTTPS seharusnya lebih aman dibandingkan HTTP, tetapi apakah Anda benar-benar tahu perbedaan di antara keduanya dan seberapa amankah situs web tersebut?

Ringkasan Cepat: Situs Web HTTP vs. HTTPS

HTTP (Hypertext Transfer Protocol) adalah standar protokol jaringan yang memungkinkan berbagai sistem berkomunikasi melalui jaringan. HTTP tidak menggunakan enkripsi, yang berarti bahwa data yang dikirim melalui koneksi HTTP dapat dilihat sebagai teks biasa bagi siapa pun yang mungkin menginterupsi lalu lintas.
HTTPS (Hypertext Transfer Protocol Secure) adalah versi HTTP yang lebih aman yang menggunakan enkripsi SSL atau TLS untuk menjaga keamanan data selama transmisi. HTTPS pada dasarnya adalah HTTP dengan penambahan enkripsi dan verifikasi, yang mencegah penyadapan dan pemahaman data oleh pihak ketiga yang tidak berwenang.

Dalam panduan ini, kami akan menjelaskan pengertian HTTP dan HTTPS, perbedaannya, dan pengaruhnya terhadap keamanan online Anda.

Kami juga akan menjelaskan secara detail seberapa aman situs web HTTPS sehingga Anda mengetahui saat yang tepat untuk mengambil tindakan tambahan guna melindungi diri Anda sendiri.

TIPS PAKAR: Meskipun koneksi HTTPS dapat meningkatkan keamanan, koneksi tersebut tidak dapat melindungi Anda dari semua ancaman. HTTPs juga tidak akan menyembunyikan situs web yang Anda kunjungi dari ISP.

Untuk keamanan yang lebih baik, sebaiknya gunakan VPN untuk menambahkan lapisan enkripsi tambahan ke lalu lintas web Anda. VPN papan atas seperti ExpressVPN menggunakan enkripsi AES-256 kelas militer dan bisa digunakan gratis selama 30 hari.

HTTP vs. HTTPS: Apa Bedanya?

HTTP (Hypertext Transfer Protocol) dan HTTPS (Hypertext Transfer Protocol Secure) keduanya merupakan protokol untuk mentransfer informasi melalui web. Perbedaan utama di antara keduanya adalah tingkat keamanan yang disediakan.

Anda dapat mengidentifikasi situs web menggunakan HTTPS dengan mencari gembok di bilah alamat browser.

HTTP mentransfer data dalam bentuk teks biasa, sehingga memungkinkan penyadapan atau manipulasi. Hal ini dapat menyebabkan pelanggaran data atau ancaman seperti serangan Man-in-the-Middle (MitM).

HTTPS pada dasarnya adalah versi aman dari HTTP. HTTPS menggunakan SSL (Secure Sockets Layer) atau TLS (Transport Layer Security) untuk mengenkripsi dan mengautentikasi data yang ditransfer, agar memastikan bahwa data tidak dapat disadap dan dipahami oleh entitas yang tidak berwenang.

Meskipun meningkatkan keamanan Anda secara signifikan, HTTPS masih memiliki kelemahan. Protokol ini dapat melindungi data Anda dari penyadapan atau gangguan saat berjalan antara browser Anda dan server, tetapi tidak dapat menjamin keamanan mutlak dari segala bentuk ancaman dunia maya.

Anda masih rentan terhadap penipuan phishing (pengelabuan), malware (perangkat lunak perusak), dan kerentanan lainnya saat menelusuri situs web HTTPS. Selain itu, ISP masih bisa melihat semua situs web yang Anda kunjungi.

Untuk memahami sepenuhnya perbedaan antara HTTP dan HTTPS, kami akan menjelaskan setiap protokol secara lebih mendetail di bagian ini:

Apa Arti HTTP Sebenarnya?

Secara sederhana, HTTP adalah bahasa universal yang memungkinkan Internet bisa berfungsi. Sebagai standar protokol jaringan, HTTP mengatur cara permintaan diformat dan ditransmisikan antara browser dan server web yang berbeda, dan tindakan yang harus diambil sebagai tanggapan atas perintah tertentu.

Setiap kali Anda memasukkan URL ke browser Anda, permintaan informasi yang disimpan di server web ditransmisikan melalui HTTP, memungkinkan komunikasi antara sistem dan perangkat yang berbeda.

Apa Sebenarnya Arti HTTPS?

HTTPS memenuhi fungsi yang sama dengan HTTPS, tetapi dengan lapisan enkripsi dan validasi tambahan. Protokol ini menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) untuk melindungi data yang dikirimkan antara browser dan web server.

Koneksi HTTPS juga menggunakan enkripsi kunci publik untuk memverifikasi bahwa server yang terhubung adalah host situs web yang sah.

Enkripsi dan autentikasi HTTPS mencegah serangan dunia maya seperti pembajakan DNS, serangan MitM, dan pemalsuan domain, yang jauh lebih umum terjadi pada koneksi HTTP reguler yang tidak aman.

Perbedaan antara HTTP dan HTTPS Diringkas

Berikut tabel yang menjelaskan perbedaan utama antara HTTP dan HTTPS:

Atribut	HTTP	HTTPS
Kecepatan	Kencang	Kencang
Enkripsi	Tidak	Ya
Transmisi data	Hiperteks	Dienkripsi via SSL atau TLS
Autentikasi	Tidak	Ya
*Nomor port* yang digunakan**	80	443
Kompatibilitas	Jangkauan luas	Jangkauan luas
Kasus penggunaan	Komunikasi yang tidak aman antara browser dan situs web	Komunikasi yang tidak aman antara browser dan situs web

Kecepatan: Karena memerlukan handshake SSL untuk memulai enkripsi, HTTPS bisa sedikit lebih lambat daripada HTTP. Namun, perbedaan komputasional antara kedua protokol ini hampir dapat diabaikan.
Enkripsi: HTTP sepenuhnya tidak terenkripsi, membuatnya relatif mudah bagi pelaku kejahatan dalam mengakses data yang bergerak antara browser dan server web. HTTPS menggunakan kriptografi kunci publik asimetris untuk mengamankan data yang ditransmisikan.
Transmisi data: Informasi yang ditransmisikan HTTP dalam Hiperteks terbuka, artinya siapa pun yang menyadapnya dapat membaca data tersebut. HTTPS mentransmisikan data dalam bentuk terenkripsi. Artinya, meskipun disadap, datanya tidak dapat dibaca.
Autentikasi: HTTP tidak menawarkan bentuk autentikasi situs web. HTTPS menggunakan autentikasi sertifikat SSL untuk memverifikasi bahwa sebuah situs web aman.
Nomor port yang digunakan: Secara default, komunikasi HTTP menggunakan port 80, sedangkan HTTPS menggunakan port 443.
Kompatibilitas: Karena keduanya merupakan aspek mendasar dari cara kerja Internet, HTTP ataupun HTTPS kompatibel dengan sebagian besar browser dan server web.
Kasus penggunaan: Baik HTTP maupun HTTPS digunakan untuk memfasilitasi komunikasi antara browser dan server web, dengan HTTPS menawarkan komunikasi terenkripsi yang lebih aman.

Risiko Keamanan Situs Web HTTP

Situs web HTTP mengalami berbagai masalah keamanan karena kurangnya enkripsi dan autentikasi antara browser Anda dan server web. Hal ini membuat penyerang jauh lebih mudah mennyadap data pribadi, atau mengalihkan lalu lintas web Anda ke situs web berbahaya.

Kerentanan ini menunjukkan bahwa situs web HTTP tidak boleh dianggap aman, dan Anda harus berhati-hati dengan data yang Anda bagikan di situs tersebut.

Berikut daftar lebih mendetail terkait alasan HTTP tidak aman, dan alasan Anda sebaiknya menghindari situs web khusus HTTP:

Data HTTP Tidak Dienkripsi

Masalah keamanan paling menonjol pada situs web HTTP adalah fakta bahwa informasi yang ditransmisikan antara browser Anda dan server web tidak dienkripsi.

Pengujian Wireshark kami menunjukkan bahwa aktivitas penelusuran kami dibiarkan terlihat saat terhubung melalui HTTP.

Kurangnya enkripsi menjadikan koneksi HTTP sebagai target utama serangan MitM, di mana aktor jahat mennyadap—atau bahkan mengubah—data yang sedang dikirim antara browser Anda dan server.

Tidak Ada Validasi Situs Web

Koneksi HTTP juga tidak menawarkan segala bentuk validasi atau autentikasi situs web. Artinya, ada kemungkinan pelaku jahat membuat situs web palsu dengan URL serupa untuk mengelabui pengguna yang lengah agar memasukkan kredensialnya.

Pemalsuan domain adalah ketika pelaku kejahatan meniru situs web resmi.

Pemalsuan domain, sebagaimana teknik ini dikenal, dapat memberikan akses kepada pelaku kejahatan terhadap data pribadi pengguna.

Situs HTTP Dapat Dialihkan Kembali

Dengan menggunakan teknik yang disebut sebagai pembajakan DNS, penjahat siber dapat mengalihkan lalu lintas menggunakan koneksi HTTP yang tidak aman ke situs web berbahaya. Situs web ini sering kali dirancang agar terlihat identik dengan situs web resmi, dengan tujuan mencuri informasi pribadi pengguna.

ISP Bisa Memantau Semua Halaman Web yang Anda Kunjungi

Melakukan penelusuran dengan HTTP sama sekali tidak memberikan privasi dari ISP Anda. Kecuali jika Anda menggunakan VPN, ISP dapat memantau dan merekam nama domain dan setiap subhalaman atau file yang Anda akses di domain tersebut.

Dalam skenario ini, semua konten yang dikirim dan diterima dari situs bisa dilihat oleh ISP Anda. Konten ini mencakup teks dan gambar halaman web yang sebenarnya, beserta kueri pencarian atau informasi lain yang Anda masukkan.

Apakah Situs Web HTTPS Benar-Benar Aman?

HTTPS meningkatkan keamanan online Anda secara signifikan dibandingkan dengan HTTP. Mengenkripsi data yang dikirim antara browser dan situs web yang dikunjungi akan mempersulit siapa pun untuk menyadap atau merusak data Anda.

Namun, HTTPS tidaklah sempurna, dan tidak menjamin bahwa sebuah situs web sah dan aman, atau bahwa data Anda bersifat pribadi. Berikut beberapa alasannya:

Kerentanan SSL/TLS

Keamanan HTTPS didasarkan pada protokol SSL/TLS (Secure Sockets Layer/Transport Layer Security), yang terkadang ditemukan memiliki kerentanan. Meskipun ini biasanya diatasi dengan cepat, selalu ada risiko kerentanan yang baru ditemukan dapat dieksploitasi.

Serangan Man-in-the-Middle

Dalam beberapa kasus, pihak berbahaya mungkin masih bisa mengeksekusi serangan Man-in-the-Middle untuk mencegat data antara Anda dan situs web yang dikunjungi.

Serangan MitM masih dapat terjadi dengan koneksi HTTPS, khususnya pada Wi-Fi publik.

Serangan ini memang akan lebih kesulitan dengan HTTPS, tetapi dapat terjadi jika para penjahat memiliki akses ke kunci SSL privat situs web atau jika mereka dapat mengeksploitasi kerentanan dalam protokol SSL/TLS.

Serangan Phishing

HTTPS hanya mengamankan koneksi antara Anda dan situs web yang dikunjungi. Protokol ini tidak memverifikasi konten di situs webnya sendiri.

Jika situs web disiapkan untuk menipu pengguna atau melakukan phishing untuk mendapatkan informasi mereka, situs web tersebut masih bisa melakukannya melalui koneksi HTTPS yang aman. Sederhananya: situs web phishing kemungkinan besar menggunakan koneksi HTTPS sebagai situs web resmi.

Masalah Otoritas Sertifikat

Sertifikat yang memverifikasi identitas situs web untuk HTTPS diterbitkan oleh Otoritas Sertifikat/Certificate Authorities (CA). Jika disusupi atau berperilaku jahat, CA dapat menerbitkan sertifikat palsu yang memungkinkan penyerang menyamar sebagai situs web resmi.

Konten Campuran

Jika situs web HTTPS menyertakan sumber daya (seperti gambar atau skrip) dari sumber non-HTTPS, browser Anda dapat memuat konten yang tidak aman ini, yang berpotensi membuat sebagian interaksi Anda rentan.

HTTPS Tidak Menjamin Keamanan Wi-Fi Publik

Berkat pengadopsian HTTPS, jaringan Wi-Fi publik jauh lebih aman dibandingkan sebelumnya. Penyerang kini jauh lebih sulit dalam menyadap atau memanipulasi komunikasi Anda ke situs web di jaringan terbuka karena datanya tidak lagi berupa teks biasa.

HTTPS menciptakan koneksi yang aman, tetapi tidak dapat melindungi Anda dari semua potensi risiko keamanan.

Namun, HTTPS tidak sepenuhnya membuat Wi-Fi publik menjadi aman. Yang perlu diperhatikan, HTTPS tidak akan melindungi kueri DNS—saat penyerang menyadap kueri DNS dan mengalihkan Anda ke server alternatif di bawah kendalinya.

ISP Tetap Bisa Melihat Website yang Anda Kunjungi

Meskipun dapat mencegah sebagian besar pihak ketiga memantau detail lalu lintas web Anda, HTTPS tidak mencegah ISP memantau situs web yang Anda kunjungi.

Saat mengunjungi situs web HTTPS, ISP bisa melihat dan merekam nama situs web yang Anda kunjungi, tetapi bukan halaman spesifiknya. ISP juga dapat memantau durasi kunjungan di setiap halaman web, perangkat yang digunakan, stempel waktu koneksi, dan ukuran permintaan Anda.

Jika diwajibkan secara hukum untuk melakukannya, ISP juga dapat menggunakan Deep Packet Inspection (DPI) untuk mengidentifikasi file atau halaman web yang Anda akses—walaupun kemungkinannya kecil.

Apa yang Tidak Bisa Dilakukan HTTPS?

Berikut ringkasan singkat dari beberapa kesalahpahaman paling umum yang terkait dengan HTTPS:

HTTPS tidak menjamin bahwa situs web yang Anda kunjungi benar resmi atau aman.
HTTPS tidak akan mencegah pembajakan DNS atau teknik lain yang digunakan untuk mengalihkan lalu lintas Anda.
HTTPS tidak akan menyembunyikan identitas Anda dari pihak ketiga.
HTTPS tidak akan menyembunyikan aktivitas Anda dari ISP.
HTTPS tidak akan menghentikan pembobolan data.
HTTPS tidak akan melindungi Anda dari segala risiko yang terkait dengan jaringan Wi-Fi publik.

Meskipun memang merupakan langkah penting menuju penelusuran web yang lebih aman, HTTPS tidak menjamin keamanan total. HTTPS hanyalah salah satu bagian dari ekosistem keamanan yang lebih luas, yang mencakup alat lain seperti kata sandi yang kuat, autentikasi dua faktor, enkripsi VPN, dan praktik terbaik penelusuran umum.

Apakah VPN Diperlukan apabila Menggunakan Situs Web HTTPS?

Jika Anda khawatir tentang privasi dan keamanan online Anda, menggunakan VPN yang dikombinasikan dengan HTTPS adalah cara yang bagus untuk menambahkan lapisan perlindungan tambahan.

Penggunaan situs web HTTPS memang sangat membantu melindungi Anda saat online, tetapi tidak dapat menyamai atau melampaui tingkat perlindungan yang disediakan oleh layanan VPN premium.

Meskipun HTTPS bisa mengamankan komunikasi Anda dengan situs web tertentu, VPN mampu memperluas keamanan tersebut ke seluruh koneksi internet Anda. VPN menciptakan terowongan terenkripsi antara perangkat Anda dan server VPN jarak jauh, yang akan melindungi semua lalu lintas web Anda—bukan hanya data yang ditransmisikan dengan situs web yang diamankan dengan HTTPS.

VPN membuat terowongan terenkripsi antara perangkat Anda dan server jarak jauh.

Artinya, ISP (Penyedia Layanan Internet), pemerintah, dan calon penyadap di jaringan yang sama (misalnya, di jaringan Wi-Fi publik) tidak dapat melihat aktivitas online atau lokasi koneksi karena alamat IP Anda yang sebenarnya disembunyikan.

Berikut cara menggunakan kombinasi VPN dengan HTTP untuk membantu meningkatkan privasi dan keamanan Anda:

Lalu Lintas Web yang Terenkripsi Sepenuhnya

Jika HTTPS hanya mengenkripsi lalu lintas browser Anda, VPN menyediakan enkripsi end-to-end (ujung-ke-ujung) untuk semua data yang keluar dari perangkat Anda.

Jika Anda menggunakan VPN berkualitas tinggi, enkripsi ini akan menggunakan sandi AES dengan kunci 128-bit atau lebih tinggi, yang jauh lebih aman daripada enkripsi TLS/SSL yang digunakan oleh koneksi HTTPS.

Peningkatan Privasi dan Anonimitas

Berbeda dengan VPN, HTTPS tidak dirancang untuk melindungi privasi atau anonimitas Anda saat online.

Meskipun VPN tidak menjamin anonimitas, ia memang memberikan lapisan privasi tambahan sehingga aktivitas Anda lebih sulit untuk dilacak.

VPN dapat menyembunyikan informasi berikut dari ISP Anda dan pihak ketiga lainnya:

Alamat IP pribadi Anda
Lokasi geografis Anda
Situs web yang Anda kunjungi
Aplikasi yang Anda gunakan
Durasi kunjungan di situs web dan aplikasi
File yang Anda unduh atau unggah

Perlindungan Terhadap Pemalsuan DNS

Salah satu masalah utamanya adalah HTTPS tidak mengenkripsi kueri DNS Anda. Masalah ini membuat HTTPS rentan terhadap pemalsuan DNS—sebuah proses ketika pelaku kejahatan dapat mengalihkan kueri Anda ke situs web palsu.

Penggunaan VPN membantu melindungi Anda dari kebocoran DNS dan memitigasi salah satu risiko terbesar terkait HTTPS.