website aman

Agar Situs Website Tidak Diretas, Ini Saran Untuk Pemerintah

Situs pemerintahan di Indonesia saat ini masih sasaran utama yang paling diminati oleh para hacker. Selain memiliki banyak informasi sensitive yang dapat dicuri, situs pemerintah juga masih menggunakan system keamanan rendah yang dapat diretas dengan sangat mudah.

Alfons Tanujaya pakar keamanan internet Vaksincom menyarankan kepada pihak pengelola situs website pemerintah untuk melakukan pengelolaan secara jangka panjang. Hal tersebut dinyatakan karena kebanyakan situs website pemerintah masih sangat kurang di maintenance setelah selesainya proyek pembuatan situs website.

Ada beberapa alasan mengapa situs website pemerintah mudah diretas oleh para hacker:

Tidak Menggunakan Secure Hosting

Salah satu penyebab mudahnya situs website diretas adalah penggunaan provider hosting yang kurang selektif sehingga sangat rentan di deface. Sebenarnya untuk meningkatkan infrastruktur keamanan situs website, ada baiknya bahwa system web hosting dibuat secara mandiri.

Sejauh ini, banyaknya situs website pemerintahan yang telah diretas menggunakan share hosting. Penyerangan share hosting secara perlahan dan mengambil salah satu kelemahan system situs yang terdapat pada hosting.

Tidak Menggunakan Secure Coding

Berbicara tentang secure coding berkaitan dengan aspek koding secara manual yang diselipkan pada struktur situs website. Kurangnya secure coding baik pada default link login, admin ataupun link yang membutuhkan input data sensitive akan sangat mudah diretas oleh para hacker.

Situs website setkab.go.id dan revolusimental.go.id yang pernah diretas pada tahun 2018 tidak menggunakan secure coding pada default halaman login dan admin yang masih dapat diakses dari beberapa konfigurasi internet tanpa adanya filter.

Lemahnya Maintenance Situs Website

Situs website yang banyak menyimpan data sensitive seperti situs website pemerintahan serta perbankan harus dilakukan maintenance secara berkala. Baik itu perbaikan, update serta meningkatkan keamanan jaringan situs website.

Banyaknya situs website pemerintahan yang telah dilakukan peretasan merupakan situs website yang kurang maintenance yang tidak melakukan mengupdate security browser, database, plugin serta aplikasi yang digunakan pada dashboard situs website.

Pada dasarnya situs website yang baik harus dibangun menggunakan infrastruktur yang kuat dan dibuat secara mandiri. Hal ini akan berpengaruh pada tingkat kesempurnaan dan menghindari dari sisi kelemahan yang tidak dapat dideteksi jika hanya mengembangkan dari template yang ada seperti wordpress, CMS, drupal dan lain sebagainya.

Untuk melindungi situs website dari kerentanan peretasan dapat menggunakan beberapa cara. Berikut 5 cara sederhana yang tim SSL Indonesia berikan:

Menggunakan Server / Hosting Terpercaya

Untuk menghindari kelemahan yang didapat dari share hosting Anda harus menggunakan server atau hosting terpercaya. Pastikan bahwa situs website menggunakan provider hosting dengan kualitas infrastruktur jaringan yang bagus serta mendahulukan keamanan website. Menciptakan sistem hosting secara mandiri merupakan pilihan yang terbaik untuk menghindari kesalahan pembangunan struktur website.

Update Platform dan Skrip Secara Berkala

Platform dan skrip yang di install pada situs website merupakan program perangkat open source dengan koding sederhana. Hal ini sangat mudah didapat meskipun oleh pemula. Dengan celah keamanan yang sederhana ini, banyak para peretas menggunakan kesempatan untuk melakukan pembobolan. Inilah alasan mengapa Anda harus melakukan update secara berkala platform serta skrip yang digunakan. SSL Indonesia juga merekomendasikan untuk selalu memperhatikan versi terbaru platform dan skrip yang akan digunakan.

Menggunakan Plugin Keamanan

Selain melakukan update platform serta skrip situs website, Anda juga direkomendasikan menggunakan plugin keamanan pada situs website. Ini akan sangat membantu secara aktif melindungi situs website dari serangan peretas yang tidak terduga.

Menggunakan Situs HTTPS

HTTPS bukan hal yang baru bagi pengguna browser ternama seperti chrome dan firefox. Situs website https akan memberikan fitur gembok hijau di bilah browser sebagai jaminan aman dari serangan retasan.

HTTP merupakan port berbeda dari http yang didapatkan dari hasil install SSL pada server situs website. Http plus ssl akan menghasilkan Https yang berarti “secure” atau aman. Ini akan memberikan jaminan terbaik yang dapat melindungi seluruh transmisi, komunikasi serta aktivitas berbagi informasi antara situs website dengan para pengunjung.

Sertifikat SSL ini sangat direkomendasikan selain memberikan ikon secure, juga menyediakan port transmisi data berbeda. Jika http menggunakan port 80 maka https menggunakan port 443. Ini akan menyulitkan para peretas melakukan pencurian data. Meningkatkan kredibilitas website baik bagi pengunjung juga browser chrome dan firefox.

Anda dapat melakukan instalasi sertifikat SSL di SSL Indonesia. SSL Indonesia memberikan fitur free konsultasi melalui live chat dan email ticketing bagi Anda yang masih bingung memilih sertifikat SSL yang harus digunakan.

Itulah beberapa cara meningkatkan keamanan situs website versi SSL Indonesia. Anda dapat menghindari kerentanan serangan hacker menggunakan 4 strategi yang telah dijabarkan oleh tim SSL Indonesia dan pastikan Anda selalu mengutamakan keamanan data situs website Anda.

ssl pemerintah

Penerbitan Sertifikat SSL untuk Situs Website Pemerintahan – BUMN

Sertifikat SSL (Secure Socket Layer) merupakan benteng kuat yang paling penting pada situs website. SSL akan melindungi informasi data pengunjung situs website dan server website melalui port lalu lintas data secara khusus.

Situs website yang menggunakan sertifikat SSL secara visual akan sangat mudah terlihat dan dikenali. Selain melihat tanda gembok hijau pada situs website, ada juga tulisan dengan awalan https. Namun perlu Anda ketahui juga bahwa banyak situs website yang hanya menggunakan sertifikat SSL gratis hanya untuk mendapatkan gembok hijau pada situs website.

Sertifikat SSL gratis memiliki tingkat enkripsi yang berbeda dengan berbayar. Banyak situs website pemerintah masih mengandalkan sertifikat SSL gratis sebagai standard keamanan situs website. Hal tersebut meningkatkan kemungkinan terjadinya peretasan.

Setiap tahun situs pemerintahan di Indonesia terdapat penyerangan oleh para penjahat cyber. Tahun ini situs KPAI menjadi salah satu sasaran. Hal ini mengindikasikan bahwa situs website pemerintahan masih tidak perduli dengan keamanan situs website.

SSL Indonesia telah memberikan rekomendasi sertifikat SSL yang sangat cocok digunakan pada situs website khususnya situs website pemerintahan dan BUMN. Lalu bagaimana proses penerbitan sertifikat SSL pada situs website pemerintahan?

Proses penerbitan sertifikat SSL melewati proses verifikasi terlebih dahulu untuk memastikan kebenaran dan keabsahan pemesanan SSL oleh pengguna. Ada 3 jenis validasi SSL dan masing-masing jenis validasi memiliki syarat dan ketentuan yang berbeda sebelum diterbitkan.

Domain Validation (DV)

Jenis validasi DV ini menjadi standard validasi yang terutama namun sangat tidak direkomendasikan pada situs website pemerintahan dan BUMN karena tingkat enkripsi yang sangat rendah. Proses verifikasi domain validation ini hanya dibutuhkan 2 langkah verifikasi untuk mendapatkan sertifikat SSL.

Email Konfirmasi terhadap kepemilikan domain (Approver Email)

Konfirmasi email ini menjadi salah satu langkah dasar yang dilakukan oleh pihak penyedia otoritas sertifikat / CA. Setelah Anda melakukan pembelian sertifikat SSL pada SSL Indonesia, pastikan bahwa email yang Anda daftarkan pada Administrative Contact details merupakan email aktif yang dapat menerima email approval domain Anda.

Secara default alamat email yang biasa digunakan adalah salah satu dari email berikut admin@, administrator@, postmaster@, webmaster@ dan hostmaster@.  Sebelum melakukan pendaftaran pastikan bahwa email tersebut terdaftar pada mail server Anda sehingga Anda akan mendapatkan email approval yang dikirimkan oleh penyedia otoritas sertifikat/ CA.

Pemeriksaan Keamanan

Pemeriksaan keamanan ini bertujuan untuk melakukan check kembali setelah melakukan approval. Pada tahap ini pihak CA akan melakukan pemeriksaan terhadap isian data saat enrolment. Jika pihak CA melihat kejanggalan ataupun tidak metching isian data antara CSR dengan domain register (WOIS Lookup) maka akan dilakukan rejected dan akan di proses selama 1×24 jam aktivasi.

Organization validation (OV)

Organization Validation (OV) adalah validasi tingkat menengah yang akan melakukan verifikasi terhadap domain dan identitas pemesan sertifikat SSL baik itu organisasi maupun perusahaan. Proses verifikasi organisasi membutuhkan beberapa dokumen pendukung yang akan membuktikan nama pembeli baik organisasi maupun perusahaan telah terdaftar dan sesuai dengan data pemesanan SSL.

Ada 4 langkah yang harus di lewati untuk mendapatkan sertifikat SSL jenis OV ini:

Otentikasi Organisasi

Tahap ini dilakukan oleh CA untuk memastikan bahwa organisasi telah terdaftar secara resmi di instansi pemerintah. Jika yang melakukan pembelian adalah situs pemerintahan maka cukup memberikan surat dukungan yakni surat keputusan kedinasan maupun surat keputusan kementrian.

Otentikasi Domain

Tahap ini digunakan untuk melakukan konfirmasi kepemilikan domain. Sama halnya dengan proses verifikasi pada domain validation.

Otentikasi Alamat dan Telepon

Untuk memastikan keabsahan organisasi atau perusahaan pembeli sertifikat SSL, CA akan melakukan penelusuran terkait dengan alamat dan nomor telepon yang terdaftar.

Verifikasi Telepon/ Panggilan

Ini merupakan tahap terakhir sebelum akhirnya sertifikat SSL akan terbit. Tujuan dilakukannya verifikasi panggilan adalah konfirmasi informasi data yang telah ditelusuri sebelumnya. Biasanya penyedia otoritas atau CA akan melakukan panggilan terhadap nomor telepon yang telah dicantumkan, menanyakan perihal data yang telah diisi pada form enrolment sertifikat. Setelah itu CA akan mengirimkan sertifikat jika sudah dilakukan verifikasi panggilan.

Extended Validation (EV)

Proses verifikasi ini merupakan proses verifikasi dengan tingkat enkripsi paling tinggi dibandingkan dengan kedua jenis validasi sebelumnya. Proses penerbitan sertifikat jenis ini juga membutuhkan pemeriksaan yang ketat untuk memastikan identitas pengelola situs website.

Ada 9 tahap yang harus diikuti untuk melakukan penerbitan sertifikat SSL jenis EV ini:

Otentikasi Organisasi

Proses otentikasi ini sama saja dilakukan oleh CA seperti pada proses validasi di OV.

Eksistensi Operasional

Tahap ini merupakan syarat khusus dari pihak penyedia otoritas sertifikat. EV dapat diterbitkan hanya pada situs website yang sudah berjalan kurang lebih selama 3 tahun. Biasanya untuk organisasi swasta dibuktikan dengan informasi ditjen AHU yang didapat dari Kemenkumham. Sedangkan untuk situs pemerintahan, cukup dengan surat dukungan berupa surat keputusan kedinasan maupun kementrian. Biasanya pihak CA juga akan melakukan penelusuran terkait pembenaran organisasi pemerintahan yang aktif.

Otentikasi Domain

Proses otentikasi domain sama dengan proses yang terjadi pada jenis validasi DV dan OV. Hanya melakukan proses verifikasi lewat domain yang telah didaftarkan.

Otentikasi Alamat

Otentikasi alamat ini bertujuan untuk melihat keabsahan organisasi berdasarkan data yang tercantum pada dokumen pengajuan sertifikat SSL.

Otentikasi telepon

Otentikasi telepon digunakan untuk mengkonfirmasi informasi database pelanggan yang telah didaftarkan disesuaikan dengan informasi yang diisi pada administrative contact details.

Verifikasi Karyawan

Otoritas penyedia sertifikat SSL atau CA akan melakukan verifikasi dan konfirmasi kontak karyawan yang telah Anda daftarkan saat mengisi data enrolment. Hal ini juga dilakukan untuk memastikan informasi data jumlah karyawan serta informasi perusahaan.

Verifikasi Otoritas Penyedia Sertifikat

Proses ini terjadi saat Anda sudah pernah mendaftarkan perusahaan atau organisasi Anda menggunakan data karyawan yang sudah resign. CA akan melakukan konfirmasi dengan pimpinan perusahaan atau organisasi. CA akan memastikan apakah kontak yang melakukan pembelian memiliki ijin untuk membeli sertifikat SSL atas nama perusahaan.

Persetujuan Perjanjian

Penyedia otoritas sertifikat SSL atau CA akan memberikan dokumen terkait syarat dan ketentuan yang harus ditandatangani oleh organisasi. Namun sejauh ini penandatangan melalui CSR sudah mencakup hal tersebut.

Verifikasi Panggilan

Setelah dilakukan penyelidikan dan mendapatkan kepastian tentang data karyawan dan organisasi yang melakukan pengajuan maka CA akan melakukan pemanggilan untuk verifikasi akhir. Setelah terverifikasi maka akan langsung dikirimkan sertifikat SSL ke alamat email validasi yang telah dicantumkan pada CSR dan email validasi.

Itulah beberapa tahapan yang harus dilalui oleh organisasi, perusahaan maupun instansi pemerintahan saat melakukan penerbitan sertifikat SSL pada situs website. Tahapan ini bisa berubah sesuai dengan kelengkapan data yang didaftarkan oleh tiap instansi baik itu pada AHU maupun surat dukungan.

Jika Anda memiliki kendala dalam proses verifikasi, penerbitan dan instalasi silahkan hubungi tim SSL Indonesia melalui live chat ataupun email ke support@sslindonesia.com