IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 1

LAPORAN RESMI KEAMANAN DATA

“HTTP DAN HTTPS”

Oleh : Iftitah Sita Devi Andani | 2103 131 043 & M. Ramasatria F. | 2103 131 058

HTTP

1. Install apache2 apt-get install apache2

2. Lakukan koneksi melalui browse windows ke server dengan alamat

http://192.168.100.5

3. Lihat WireShark untuk melihat proses yang terjadi dalam akses HTTP.

a. Alur Proses TCP dalam Proses HTTP terdapat PSH dan ACK. PSH bersifat

interaktif dan flag ini adalah pada segmen terakhir dari berkas yang ditransfer dengan

menggunakan protokol FTP. Segmen yang dikirimkan dengan flag PSH aktif tidak

harus segera di-acknowledge oleh penerima. Disini hanya terjadi 2 proses.

IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 2

b. Proses Client mengakses Http Server.

a. Proses Server mengirimkan Http kepada Client.

HTTPS

1. Setelah install apache2 maka langkah selanjutnya adalah mengaktifkan mode ssl kita.

a2enmod ssl 2. Selanjutnya kita restart apache.

service apache2 restart

3. Kita membutuhkan sebuah folder untuk menyimpan server key dan sertifikat. Simpan

ini didalam folder apache kita.

mkdir /etc/apache2/ssl 4. Pada bagian ini kita akan membuat Sertifikat SSL

IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 3

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout

/etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

Saat kita meminta sertifikat baru, kita bisa meminta berapa lama sertifikat itu berlaku.

Dalam contoh ini saya membuatnya mempunyai masa berlaku selama 2 tahun, dan

menyimpan keduanya di direktori yang tadi kita buat. Di /etc/apache2/ssl/

Output dari perintah diatas adalah seperti ini :

5. Karena kita mengaktifkan 2 metode, HTTP dan HTTPS. Jadi kita lupakan HTTP,

karena ini sudah pasti akan berfungsi seperti seharusnya. Komponen apache yang

menunjukkan dimana letak website kita disimpan ada pada file default.Ini berada di

/etc/apache2/sites-available/default. Itu adalah salah satu komponen apache yang

menunjukkan letak alamat website kita. Secara default file ini merujuk ke /var/www/.

Didalam /etc/apache2/sites-available/ terdapat 2 buah file, yang satu adalah

file default tadi, dan yang kedua adalah default-ssl. Kita akan fokus pada file default-

ssl.

Buka File default-ssl

nano /etc/apache2/sites-available/default-ssl

tambahkan baris ini dalam default-ssl

SSLEngine On

SSLCertificateFile /etc/apache2/ssl/apache.crt

SSLCertificateKeyFile /etc/apache2/ssl/apache.key

Selanjutnya cari baris ini dan berikan tanda comment (#):

#SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem

# SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Save lalu exit.

6. Aktifkan website default-ssl.

a2ensite default-ssl

7. Baiklah semuanya telah selesai, sekarang restart apache kita.

service apache2 restart Dengan konfigurasi tadi kita mempunyai 2 metode didalam website kita, dimana untuk website

dengan metode HTTPS, para babi hacker tidak akan bisa mendapatkan password account siapa

saja didalam website kita.

Karena sertifikat yang kita miliki ini adalah buatan sendiri maka ketika mengakses

https://192.168.100.5 maka yang muncul adalah Security Warning seolah-olah kita mengakses

website yang tidak aman. Untuk melanjutkan ke website kita pilih saja pilihan add exception

pada browser anda.

Ada perbedaan diantara sertifikat yang gratis, dan yang berbayar sekaligus verified. Perbedaan

ini sangat jelas ketika kita pertama kali membuka url tersebut di browser kita.

Untuk yang gratis buatan kita sendiri, akan tampil seperti ini :

IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 4

IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 5

Disini Algoritma yang digunakan adalah sha1RSA dan algoritma hash nya adalah sha1

dengan public key yang diberikan pada client adalah RSA(2048 Bits).

SHA adalah hast satu arah yang dibuat NIST dan digunakan bersama DSS (Digital Signature

Standart). SHA1 sejenis fungsi hash 160 bit pengganti MD5 yang hashnya 128 bit. SHA1

adalah algoritma yang dipakai untuk enkripsi data biasanya digunakan untuk mengacak

password menjadi barisan kode-kode acak yang tidak dapat dibaca. Sha1 menghasilkan 40bit

karakter enkripsi, sehinggah sha1 memberikan pengacakan lebih banyak dan peluang untuk

mengdeskripsi lebih besar.

8. Lihat WireShark untuk melihat proses yang terjadi dalam akses HTTPS.

a. Proses SYN,ACK,PSH berbeda dari menggunakan Http biasa dikarenakan adalah

proses siknkronisasi dengan SSL milik server.

IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 6

b. Proses akses Https membutuhkan protocol TLS untuk sertifikat akses http. Yang

berwarna merah dalam wireshark dikarenakan warning pada security dalam SSL

Server.

Kesimpulan :

Perbedaan HTTP dan HTTPS

1. HTTP adalah dasar komunikasi data untuk World Wide Web (WWW). Setiap kali kita

membuka website / halaman web kita akan menggunakan protokol ini.Sisi client meminta sisi

server untuk membuka komunikasi pada port 80, port terbuka sisi server 80 dan di sisi client

port acak terbuka.

Kesimpulan HTTP ::

Data paket yang dikirim menggunakan HTTP tidak terenkripsi, siapapun dapat melihat data

dalam teks biasa seperti BadGuy lakukan. Itulah mengapa tidak menggunakan HTTP untuk

perbankan atau transaksi di internet, dan juga itu tidak dianjurkan jika Anda membuka website

halaman login yang menggunakan HTTP pada jaringan publik seperti area hotspot nirkabel.

2. HTTPS adalah kombinasi dari Hyper Text Transfer Protocol dan Secure Socket Layer

protokol (SSL) / Transport Layer Security (TLS) untuk menyediakan komunikasi terenkripsi

antara web server dan klien. Protokol ini menggunakan port 443 untuk komunikasi.

Kesimpulan HTTPS :

Data paket dikirim menggunakan HTTPS dienkripsi, orang tidak dapat melihat data paket

dalam jaringan publik. Itu sebabnya HTTPS biasanya digunakan untuk perbankan atau

transaksi di internet, dan halaman juga login atau halaman lain perlu untuk mengenkripsi data.

Perbedaan Kriptografi dan Steganografi:

- Hasil tampilan pesan:

1. Kriptografi : Pesan yang sudah disisipi pesan rahasia akan sangat berbeda dengan pesan

sebelum disisipi pesan rahasia. Maka bagi pihak ketiga yang melihat pesan hasil keluaran

IFTITAH SITA DEVI ANDANI | 2103 131 043 & M. RAMASATRIA F. | 2103 131 058 7

kriptografi akan curiga walaupun pihak ketiga tersebut juga tidak mengetahui maksud dari

pesan tersebut.

2. Steganografi : pesan yang sudah disisipi pesan rahasia akan tampak sama (dengan kasat

mata) dengan pesan sebelum disisipi pesan rahasia (pesan rahasia tersamarkan dalam cover

text). Sehingga pihak ketiga tidak tahu bahwa dibalik pesan asli (cover text) tersembunyi pesan

rahasia dibaliknya.

- Keuntungan : steganografi dibandingkan dengan kriptografi adalah bahwa pesan

dikirim tidak menarik perhatian sehingga media penampung/cover text yang membawa pesan

tidak menimbulkan kecurigaan pihak ketiga.