Close Menu
    What's Hot
    Apa itu SSL/TLS encryption
    Security

    4 Kepentingan SSL/TLS Encryption

    Adam HarisBy Updated:No Comments13 Mins Read

    SSL/TLS (Secure Sockets Layer/Transport Layer Security) adalah protokol keselamatan yang digunakan untuk melindungi komunikasi dalam talian antara pelayar web dan pelayan web. Ia menyulitkan (encrypt) data yang dihantar antara kedua-dua pihak, memastikan bahawa maklumat sensitif seperti kata laluan, maklumat kewangan, dan data peribadi kekal sulit dan selamat daripada pencerobohan.

    SSL/TLS juga membantu mengesahkan identiti pelayan web, memastikan bahawa pengguna berkomunikasi dengan laman web yang sah dan bukannya laman web yang menyamar. Protokol ini adalah penting dalam mewujudkan kepercayaan dalam transaksi dalam talian dan melindungi pengguna daripada pelbagai ancaman keselamatan siber.

    Kepentingan SSL/TLS Encryption

    SSL/TLS encryption melindungi komunikasi dalam talian daripada pelbagai ancaman keselamatan. Berikut adalah beberapa sebab mengapa SSL/TLS encryption adalah penting:

    Perlindungan Data

    SSL/TLS encryption melindungi data sensitif seperti kata laluan, maklumat kewangan, dan data peribadi daripada dicuri atau diubah suai oleh pihak yang tidak dibenarkan.

    Pengesahan Identiti

    Sijil digital yang digunakan dalam SSL/TLS encryption membantu mengesahkan identiti pelayan web, memastikan bahawa pengguna berkomunikasi dengan laman web yang sah dan bukannya laman web yang menyamar.

    Pematuhan Peraturan

    Banyak industri, seperti perbankan dan penjagaan kesihatan, mempunyai peraturan yang memerlukan penggunaan SSL/TLS encryption untuk melindungi data sensitif.

    Kepercayaan Pelanggan

    Laman web yang menggunakan SSL/TLS encryption menunjukkan ikon kunci hijau dalam bar alamat pelayar, yang memberitahu pengguna bahawa laman web adalah selamat.

    Ini meningkatkan kepercayaan pelanggan dan menggalakkan mereka untuk berkongsi maklumat sensitif dengan yakin.

    Apa Itu SSL/TLS Encryption?

    SSL/TLS encryption ialah proses mengenkod (encoding) data yang dihantar antara pelayar web dan pelayan web menggunakan protokol keselamatan SSL (Secure Sockets Layer) atau TLS (Transport Layer Security).

    Proses ini menukarkan data ke dalam bentuk kod rahsia yang hanya boleh dinyahkod oleh penerima yang dimaksudkan, menggunakan kunci enkripsi yang dikongsi. SSL/TLS encryption melindungi maklumat sensitif seperti kata laluan, maklumat kewangan, dan data peribadi daripada dipintas atau diubah suai oleh pihak yang tidak dibenarkan semasa penghantaran melalui internet.

    Ia memainkan peranan penting dalam memastikan keselamatan komunikasi dalam talian dan melindungi privasi pengguna dalam dunia digital yang semakin mencabar.

    Secure Sockets Layer (SSL) dan Transport Layer Security (TLS) adalah protokol keselamatan yang digunakan untuk melindungi komunikasi dalam talian. Protokol ini memastikan bahawa data yang dihantar antara pelayar web dan pelayan web adalah sulit dan selamat daripada pencerobohan. SSL/TLS encryption adalah penting dalam dunia digital hari ini, di mana ancaman keselamatan siber semakin meningkat.

    Senarai Protokol dan Versi SSL/TLS

    Berikut adalah senarai protokol dan versi SSL/TLS yang telah diperkenalkan sejak SSL mula dibangunkan:

    1. SSL 1.0 (tidak pernah dikeluarkan kepada umum)
    2. SSL 2.0 (dikeluarkan pada tahun 1995)
    3. SSL 3.0 (dikeluarkan pada tahun 1996)
    4. TLS 1.0 (dikeluarkan pada tahun 1999)
    5. TLS 1.1 (dikeluarkan pada tahun 2006)
    6. TLS 1.2 (dikeluarkan pada tahun 2008)
    7. TLS 1.3 (dikeluarkan pada tahun 2018)

    Perhatikan bahawa versi SSL yang lebih lama (SSL 2.0 dan SSL 3.0) kini dianggap tidak selamat dan tidak lagi disokong oleh kebanyakan pelayar web dan pelayan web moden.

    Adalah disyorkan untuk menggunakan versi TLS yang lebih baharu (TLS 1.2 dan ke atas) untuk memastikan tahap keselamatan yang optimum dalam komunikasi dalam talian.

    Sejarah SSL/TLS

    SSL dikembangkan oleh Netscape pada tahun 1995 sebagai cara untuk melindungi komunikasi dalam talian. Versi pertama SSL, SSL 1.0, tidak pernah dikeluarkan kepada umum kerana terdapat beberapa kelemahan keselamatan.

    SSL 2.0 diperkenalkan pada tahun 1995, tetapi ia juga mempunyai beberapa masalah keselamatan. SSL 3.0, yang dikeluarkan pada tahun 1996, menjadi versi SSL yang paling banyak digunakan sehingga ia digantikan oleh TLS.

    TLS 1.0 diperkenalkan pada tahun 1999 sebagai pengganti kepada SSL 3.0. Ia menawarkan peningkatan keselamatan dan prestasi berbanding SSL. Sejak itu, beberapa versi TLS telah dikeluarkan, termasuk TLS 1.1, TLS 1.2, dan TLS 1.3, yang masing-masing menawarkan peningkatan keselamatan dan prestasi.

    Bagaimana SSL/TLS Berfungsi?

    SSL/TLS encryption melibatkan beberapa langkah untuk memastikan keselamatan komunikasi dalam talian. Berikut adalah gambaran keseluruhan tentang bagaimana proses ini berfungsi:

    Handshake

    Pelayar web dan pelayan web memulakan komunikasi dengan “berjabat tangan.” Semasa proses ini, mereka bersetuju tentang versi protokol yang akan digunakan, cipher suite yang akan digunakan, dan kunci awam yang akan digunakan untuk pertukaran kunci sesi.

    Apa Maksud Cipher Suite?

    Cipher suite adalah set algoritma kriptografi yang digunakan untuk membangunkan sambungan SSL/TLS yang selamat antara pelanggan dan pelayan.. Berikut adalah jadual yang menerangkan Cipher Suites dalam SSL/TLS:

    AspekPenerangan
    Fungsi– Menentukan kaedah pertukaran kunci, algoritma pengesahan, algoritma enkripsi, dan fungsi hash yang akan digunakan semasa komunikasi SSL/TLS.
    Komponen Cipher SuiteCipher suite biasanya terdiri daripada empat bahagian utama:
    1. Kaedah Pertukaran Kunci (Key Exchange): Algoritma yang digunakan untuk pertukaran kunci antara pelanggan dan pelayan (cth: RSA, Diffie-Hellman, ECDHE).
    2. Algoritma Pengesahan (Authentication): Mekanisme yang digunakan untuk mengesahkan identiti pelayan kepada pelanggan (cth: RSA, ECDSA).
    3. Algoritma Enkripsi (Encryption): Algoritma kriptografi simetri yang digunakan untuk mengenkripsi data (cth: AES, 3DES, RC4).
    4. Algoritma Hash (Hash): Fungsi hash kriptografi yang digunakan untuk memastikan integriti data (cth: SHA-256, SHA-384).
    Tatatanda (Notation) Cipher Suite– Cipher suite diwakili oleh tatatanda (notation) yang menentukan algoritma yang digunakan untuk setiap komponen.
    – Contoh tatatanda cipher suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    – TLS: Protokol (SSL atau TLS)
    – ECDHE: Kaedah pertukaran kunci (Elliptic Curve Diffie-Hellman Ephemeral)
    – RSA: Algoritma pengesahan (RSA)
    – AES_128_GCM: Algoritma enkripsi (AES dengan kunci 128-bit dalam mod Galois/Counter)
    – SHA256: Algoritma hash (SHA-256)
    Pemilihan Cipher Suite– Semasa proses handshake SSL/TLS, pelanggan menghantar senarai cipher suite yang disokong kepada pelayan.
    – Pelayan memilih cipher suite yang paling selamat daripada senarai yang sepadan dengan keutamaannya sendiri.
    – Cipher suite yang dipilih kemudian digunakan untuk membangunkan sambungan SSL/TLS dan mengenkripsi komunikasi berikutnya.
    Kepentingan– Pemilihan cipher suite yang sesuai adalah penting untuk memastikan keselamatan dan prestasi komunikasi SSL/TLS.
    – Cipher suite yang lebih baharu dan lebih selamat (seperti yang menggunakan AES dan SHA-256) adalah lebih diutamakan berbanding cipher suite yang lebih lama dan kurang selamat (seperti yang menggunakan RC4 atau SHA-1).
    – Mengehadkan sokongan untuk cipher suite yang lemah atau usang dapat mengurangkan risiko serangan kriptografi dan memastikan perlindungan yang lebih baik untuk data sensitif.
    Penerangan Tentang Cipher Suite dalam Penggunaan SSL/TLS

    Cipher suite memainkan peranan penting dalam memastikan keselamatan komunikasi SSL/TLS dengan menentukan set algoritma kriptografi yang digunakan untuk pertukaran kunci, pengesahan, enkripsi, dan integriti data.

    Pemilihan dan konfigurasi cipher suite yang betul adalah penting untuk melindungi dari pelbagai ancaman keselamatan dan memastikan perlindungan yang kukuh untuk komunikasi dalam talian.

    Pengesahan

    Pelayan web menghantar sijil digitalnya kepada pelayar web. Sijil digital ini mengandungi maklumat tentang identiti pelayan web dan kunci awamnya.

    Pelayar web mengesahkan sijil ini untuk memastikan bahawa pelayan web adalah sah.

    Pertukaran Kunci

    Setelah sijil disahkan, pelayar web menjana kunci sesi rawak dan mengenkripsinya menggunakan kunci awam pelayan web.

    Kunci sesi ini kemudian dihantar kepada pelayan web, yang mendekripsinya menggunakan kunci peribadinya.

    Apa Maksud Secure Key Exchange?

    Secure Key Exchange dalam konteks SSL/TLS merujuk kepada proses pertukaran kunci kriptografi antara pelanggan (seperti pelayar web) dan pelayan secara selamat untuk membangunkan saluran komunikasi yang sulit.

    Tujuan utama pertukaran kunci yang selamat adalah untuk membolehkan pelanggan dan pelayan mewujudkan “rahsia bersama” yang hanya diketahui oleh mereka, yang kemudiannya digunakan untuk mengenkripsi dan mendekripsi data yang dihantar antara mereka.

    Berikut adalah beberapa aspek penting Secure Key Exchange dalam SSL/TLS:

    Handshake Protocol

    Pertukaran kunci berlaku semasa fasa “handshake” protokol SSL/TLS. Semasa proses ini, pelanggan dan pelayan bertukar-tukar maklumat yang diperlukan untuk membangunkan sambungan yang selamat.

    Asymmetric Encryption

    SSL/TLS menggunakan kriptografi kunci awam (atau kriptografi tidak simetri) untuk pertukaran kunci yang selamat. Ini melibatkan penggunaan pasangan kunci kriptografi: kunci awam dan kunci peribadi.

    Server’s Public Key

    Pelayan menghantar sijil digitalnya, yang mengandungi kunci awam pelayan, kepada pelanggan. Kunci awam ini digunakan oleh pelanggan untuk mengenkripsi kunci sesi, yang akan digunakan untuk mengenkripsi data dalam komunikasi selanjutnya.

    Session Key Generation

    Pelanggan menjana kunci sesi rawak, mengenkripsinya menggunakan kunci awam pelayan, dan menghantar kunci sesi yang dienkripsi kembali kepada pelayan. Hanya pelayan, yang mempunyai kunci peribadi sepadan, boleh mendekripsi dan mendapatkan kunci sesi.

    Symmetric Encryption

    Setelah kedua-dua pelanggan dan pelayan mempunyai kunci sesi, mereka menukar kepada kriptografi kunci simetri (seperti AES) untuk mengenkripsi dan mendekripsi data yang dihantar antara mereka. Kriptografi kunci simetri adalah lebih cekap berbanding kriptografi kunci awam dan lebih sesuai untuk mengenkripsi jumlah data yang banyak.

    Forward Secrecy

    Versi TLS yang lebih baharu (seperti TLS 1.3) menyokong forward secrecy, yang memastikan bahawa kunci sesi kekal selamat walaupun kunci jangka panjang pelayan (kunci peribadi) terjejas pada masa hadapan.

    Secure Key Exchange melindungi kerahsiaan dan integriti data yang dihantar antara pelanggan dan pelayan, menjadikan SSL/TLS penting untuk keselamatan komunikasi dalam talian.

    Enkripsi Data

    Setelah kunci sesi dikongsi, semua data yang dihantar antara pelayar web dan pelayan web dienkripsi menggunakan kunci ini. Ini memastikan bahawa data kekal sulit dan selamat daripada pencerobohan.

    Pengesahan Sijil SSL/TLS

    Certificate Validation (Pengesahan Sijil) SSL/TLS adalah proses mengesahkan kesahihan sijil digital yang digunakan untuk membangunkan sambungan SSL/TLS antara pelayar web dan pelayan web.

    Proses ini adalah penting untuk memastikan bahawa pengguna berkomunikasi dengan laman web yang sah dan bukannya laman web yang menyamar atau berniat jahat.

    Apabila pelayar web cuba membuat sambungan SSL/TLS dengan pelayan web, pelayan web akan menghantar sijil digitalnya kepada pelayar web.

    Sijil digital ini mengandungi maklumat seperti nama domain laman web, nama syarikat yang memiliki laman web tersebut, dan kunci awam yang berkaitan dengan sijil tersebut.

    Pelayar web kemudian akan mengesahkan sijil digital ini melalui beberapa langkah:

    1. Pelayar web akan memeriksa sama ada sijil tersebut belum tamat tempoh dan masih sah.
    2. Pelayar web akan mengesahkan bahawa sijil tersebut dikeluarkan oleh Pihak Berkuasa Sijil (Certificate Authority atau CA) yang dipercayai. CA adalah organisasi yang bertanggungjawab untuk mengeluarkan dan mengesahkan sijil digital. Pelayar web mempunyai senarai CA yang dipercayai dan akan mempercayai sijil yang dikeluarkan oleh CA-CA ini.
    3. Pelayar web akan mengesahkan bahawa sijil tersebut dikeluarkan untuk nama domain laman web yang sedang cuba diakses oleh pengguna.
    4. Pelayar web akan memeriksa sama ada sijil tersebut telah dibatalkan oleh CA menggunakan Protokol Status Sijil Dalam Talian (Online Certificate Status Protocol atau OCSP) atau Senarai Pembatalan Sijil (Certificate Revocation List atau CRL).

    Sekiranya semua pemeriksaan ini berjaya, pelayar web akan mempercayai sijil digital tersebut dan membangunkan sambungan SSL/TLS yang selamat dengan pelayan web.

    Namun, jika mana-mana pemeriksaan ini gagal, pelayar web akan menunjukkan amaran keselamatan kepada pengguna, memberitahu mereka bahawa sambungan tersebut mungkin tidak selamat.

    Proses pengesahan sijil SSL/TLS ini memainkan peranan penting dalam melindungi pengguna daripada laman web yang menyamar dan serangan “man-in-the-middle” (MITM).

    Ia memastikan bahawa pengguna boleh mempercayai laman web yang mereka lawati dan berkongsi maklumat sensitif dengan selamat.

    Pembatalan Sijil SSL/TLS

    Certificate Revocation (Pembatalan Sijil) adalah proses membatalkan sijil digital SSL/TLS sebelum tarikh tamat tempohnya yang ditetapkan.

    Apabila sijil dibatalkan, ia tidak lagi dianggap sah dan tidak boleh digunakan untuk membangunkan sambungan SSL/TLS yang selamat. Proses ini adalah penting untuk memastikan keselamatan dan integriti komunikasi dalam talian.

    Kenapa dibatalkan?

    Terdapat beberapa sebab mengapa sijil digital mungkin perlu dibatalkan:

    Pelanggaran keselamatan

    Sekiranya kunci peribadi yang berkaitan dengan sijil digital telah terjejas atau dicuri, sijil tersebut mesti dibatalkan dengan segera untuk mencegah penyalahgunaan.

    Perubahan maklumat sijil

    Sekiranya maklumat dalam sijil digital, seperti nama domain atau nama syarikat, telah berubah, sijil tersebut perlu dibatalkan dan sijil baharu dengan maklumat yang dikemas kini perlu dikeluarkan.

    Penamatan perkhidmatan

    Sekiranya laman web tidak lagi aktif atau perkhidmatan telah ditamatkan, sijil digital yang berkaitan harus dibatalkan.

    Ketidakpatuhan piawaian industri

    Sekiranya sijil digital tidak lagi mematuhi piawaian industri atau keperluan keselamatan, ia mungkin perlu dibatalkan.

    Untuk memeriksa status pembatalan sijil digital, pelayar web menggunakan dua kaedah utama:

    1. Online Certificate Status Protocol (OCSP) yang membolehkan pelayar web memeriksa status pembatalan sijil digital secara masa nyata dengan membuat pertanyaan kepada pelayan OCSP yang dikendalikan oleh CA.
    2. Certificate Revocation List (CRL) iaitu adalah senarai sijil digital yang telah dibatalkan oleh CA. Pelayar web boleh memuat turun CRL secara berkala dan memeriksa sama ada sijil digital tertentu terdapat dalam senarai tersebut.

    Sekiranya pelayar web mengesan bahawa sijil digital telah dibatalkan melalui sama ada OCSP atau CRL, ia akan menunjukkan amaran keselamatan kepada pengguna dan tidak akan membangunkan sambungan SSL/TLS dengan pelayan web.

    Proses pembatalan sijil adalah penting dalam mengekalkan keselamatan dan kepercayaan dalam ekosistem sijil digital. Ia memastikan bahawa sijil digital yang terjejas atau tidak lagi sah tidak dapat digunakan untuk menipu pengguna atau menyalahgunakan komunikasi dalam talian.

    Organisasi yang mengeluarkan sijil digital harus mempunyai proses yang ketat untuk mengeluarkan dan membatalkan sijil bagi melindungi integriti infrastruktur kunci awam (Public Key Infrastructure atau PKI).

    Pembaharuan Sijil SSL/TLS

    Certificate Renewal (Pembaharuan Sijil) adalah proses mengeluarkan sijil digital SSL/TLS baharu apabila sijil sedia ada hampir tamat tempoh.

    Sijil digital SSL/TLS biasanya mempunyai tempoh sah yang terhad, lazimnya antara satu hingga tiga tahun.

    Apabila sijil hampir tamat tempoh, ia perlu diperbaharui untuk memastikan komunikasi dalam talian yang berterusan dan selamat antara pelayar web dan pelayan web.

    Proses

    Proses pembaharuan sijil melibatkan langkah-langkah berikut:

    Permohonan pembaharuan

    Sebelum sijil sedia ada tamat tempoh, pemilik laman web mesti memohon sijil baharu daripada Pihak Berkuasa Sijil (Certificate Authority atau CA) yang sama atau berbeza.

    Pengesahan identiti

    CA akan mengesahkan identiti pemohon, memastikan bahawa mereka masih mempunyai kawalan ke atas nama domain yang berkaitan dengan sijil tersebut.

    Penjanaan pasangan kunci baharu

    Pemohon akan menjana pasangan kunci kriptografi baharu (kunci awam dan kunci peribadi) untuk digunakan dengan sijil baharu.

    Pengeluaran sijil baharu

    Setelah identiti pemohon disahkan dan pasangan kunci baharu dijana, CA akan mengeluarkan sijil digital SSL/TLS baharu dengan tempoh sah yang baharu.

    Pemasangan sijil baharu

    Sijil baharu mesti dipasang pada pelayan web, menggantikan sijil yang hampir tamat tempoh. Ini memastikan peralihan yang lancar tanpa gangguan kepada pengguna.

    Pembaharuan sijil tepat pada masanya adalah penting untuk mengelakkan potensi masalah keselamatan dan kepercayaan yang berkaitan dengan sijil yang tamat tempoh.

    Sekiranya sijil dibiarkan tamat tempoh, pelayar web akan menunjukkan amaran keselamatan kepada pengguna, mencadangkan bahawa laman web tersebut mungkin tidak selamat. Ini boleh menyebabkan kehilangan trafik dan kepercayaan pengguna.

    Untuk mengelakkan masalah ini, pemilik laman web harus memantau tarikh tamat tempoh sijil mereka dengan teliti dan memulakan proses pembaharuan sebelum sijil tamat tempoh.

    Kebanyakan CA menawarkan pilihan pembaharuan automatik, yang dapat memudahkan proses dan memastikan bahawa sijil sentiasa dikemas kini.

    Selain mengekalkan keselamatan dan kepercayaan pengguna, pembaharuan sijil berkala juga membolehkan laman web mengambil faedah daripada kemajuan terbaru dalam teknologi kriptografi dan piawaian keselamatan.

    Sijil baharu mungkin menggunakan algoritma kriptografi yang lebih kuat atau menyertakan lanjutan sijil terkini, mengukuhkan lagi keselamatan komunikasi dalam talian.

    Apa Beza SSL dan TLS?

    Berikut adalah perbezaan antara SSL dan TLS:

    AspekSSL (Secure Sockets Layer)TLS (Transport Layer Security)
    SejarahDiperkenalkan pada tahun 1995 oleh Netscape.Dibangunkan pada tahun 1999 sebagai pengganti kepada SSL.
    VersiSSL 1.0, SSL 2.0, SSL 3.0 (SSL 1.0 tidak pernah dikeluarkan kepada umum).TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3.
    KeselamatanSSL kini dianggap tidak selamat, terutamanya SSL 2.0 dan SSL 3.0.TLS menyediakan keselamatan yang lebih kukuh berbanding SSL, dengan peningkatan dalam setiap versi baharu.
    Algoritma CipherSSL menyokong algoritma cipher yang lebih lama dan kurang selamat.TLS menyokong suite cipher yang lebih moden dan selamat, seperti AES dan SHA-256.
    Integrasi ProtokolSSL diintegrasikan terutamanya dengan protokol HTTP untuk membentuk HTTPS.TLS boleh diintegrasikan dengan pelbagai protokol aplikasi, termasuk HTTP, FTP, SMTP, dan lain-lain.
    Penggunaan PelanjutanSSL tidak mempunyai sokongan untuk pelbagai pelanjutan.TLS mempunyai sokongan untuk pelbagai pelanjutan, seperti Server Name Indication (SNI) dan OCSP Stapling.
    Handshake ProtocolSSL menggunakan protokol jabat tangan yang kurang cekap dan kurang selamat.TLS menggunakan protokol jabat tangan yang lebih cekap dan selamat, dengan penambahbaikan dalam setiap versi.
    Sokongan Masa KiniKebanyakan pelayar web moden tidak lagi menyokong SSL.TLS ialah standard semasa untuk komunikasi yang selamat dan disokong secara meluas oleh pelayar web dan pelayan.
    Perbezaan Antara SSL dan TLS

    Secara umumnya, TLS dianggap sebagai penambahbaikan ke atas SSL, menawarkan ciri keselamatan yang lebih kukuh, cekap, dan fleksibel.

    Dalam penggunaan moden, TLS telah menggantikan SSL dan menjadi protokol pilihan untuk membangunkan komunikasi dalam talian yang selamat.

    Adam Haris merupakan individu yang minat bidang computer security, cybersecurity, digital security dan information technology security (IT security). Adam juga berkongsi pengetahuan dan pandangan tentang topik berkaitan scam dan penipuan.

    Related Posts

    Add A Comment
    Leave A Reply