SSL (Secure Sockets Layer) atau jika diterjemahkan - Lapisan Soket Keselamatan - adalah teknologi keselamatan standard untuk mewujudkan pautan enkripsi antara pelayar web (browser) dan server. Pautan ini bagi memastikan bahawa semua data yang melaluinya selamat daripada dicerobohi.

Anda semua saya jamin sudah biasa lihat pautan laman web yang dimulai dengan https dan dipaparkan simbol mangga (padlock) di awal nama domain tersebut sebagai isyarat bahawa rangkaian dilindungi.

Baru-baru ini saya menghubungi pasukan bantuan teknikal Exabytes Network untuk bertanya tentang sijil SSL (SSL certificate) yang mungkin telah disediakan pada pengkalan data (server) mereka. Jawapannya ialah ada disediakan di setiap pengkalan data Linux dengan Auto SSL daripada Comodo CA Limited.

Jadi, saya ada dua pilihan sekarang, boleh guna sijil SSL di origin server iaitu tempat asal data blog ini dihidupkan atau pilihan kedua melalui CDN Cloudflare.

Sebelum saya terus kepada cara tetapan https di Cloudflare, saya mahu anda faham dahulu tentang sijil SSL. Jika syarikat hosting tidak sediakan anda boleh beli sendiri dan minta pasukan teknikal pasang (install) dalam pengkalan data yang digunakan. Selalunya pemasangan (installation) akan dikenakan caj, contohnya Exabytes Network caj RM95 untuk sekali pasang di pengkalan data.

Jenis-jenis sijil SSL

Domain Validation (DV)
Organization Validation (OV)
Extended Validation (EV)

Domain Validation

Adalah sijil SSL untuk pengesahan domain yang disemak dengan pendaftar domain. Sijil jenis ini tidak menunjukkan maklumat tentang organisasi dan dengan itu ia untuk kegunaan umum.

Domain Validated Certificate — Contoh sijil SSL yang hanya membuat pengesahan nama domain

Organization Validation

Adalah sijil SSL yang lebih dipercayai berbanding dengan sijil yang hanya sahkan domain. Permohonan sijil ini merujuk kepada dokumen perniagaan kerana ia mengandungi maklumat perniagaan yang sah. Inilah piawaian standard sijil SSL yang diperlukan pada laman web rasmi perniagaan.

Organization Validated Certificate — Contoh sijil SSL untuk organisasi yang memaparkan nama penuh perniagaan dan juga domain

Extended Validation

Adalah sijil SSL yang lebih spesifik lagi daripada dua jenis di atas. Permohonan Sijil EV memerlukan pengesahan daripada pelbagai aspek iaitu meneliti hak pemohon terhadap sesuatu domain, kemudian organisasi yang dijalankan dan jenis bisnes yang terlibat. Contohnya pengeluar perisian antivirus, aspek yang terlibat adalah hak terhadap domain, organisasi dan produk yang dikeluarkan. Sijil EV sangat sesuai untuk laman web e-Commerce.

Antara laman web untuk membeli Sijil SSL:

Langkah-langkah Penting

1. Tetapan di Cloudflare

Kita mulakan sekarang tetapan di Cloudflare. Saya andaikan anda sudah menggunakan Cloudflare, jadi saya tidak perlu tunjukkan cara bagaimana untuk daftar.

Cloudflare adalah organisasi yang menyediakan servis Content Delivery Network (CDN), saya pilih Cloudflare kerana ada integrasi bersama plugin WP Rocket yang digunakan untuk blog ini, lebih mudah untuk uruskan.

Pada akaun Cloudflare hendaklah ditetapkan 3 perkara penting iaitu:

SSL – Flexible / Full
Automatic HTTPS Rewrites
Page rule – Always use HTTPS

Cloudflare SSL - Flexible — **Langkah 1:** Tentukan jenis SSL, disyorkan untuk pilih Flexible. Flexible ialah komunikasi antara pelayar web (pelawat blog anda) dengan Cloudflare dalam mod sekuriti, tetapi Cloudflare berhubung dengan origin server (tempat data anda dihoskan) tanpa sekuriti kerana tiada sijil SSL. Jika memilih Full anda kena pastikan bahawa origin server memiliki sijil SSL.

Cloudflare SSL - Automatic HTTPS Rewrites — **Langkah 2:** Pastikan ON Automatic HTTPS Rewrites supaya kandungan blog anda yang bercampur aduk dengan pelbagai pautan ditujukan kepada HTTPS.

Cloudflare SSL - Create Page Rules — **Langkah 3:** Akhir sekali ialah tetapan Page Rules untuk pastikan sentiasa menggunakan HTTPS. Ikuti format alamat url seperti imej di atas, gantikan dengan domain anda.

Selepas selesai melakukan 3 perkara ini, maka tetapan di Cloudflare sudah sempurna, boleh maju ke langkah seterusnya iaitu tetapan di WordPress.

Kemaskini: Ketika artikel ini diterbitkan dahulu, pada masa itu pihak hosting belum sediakan SSL. Sekarang pihak hosting telah sediakan SSL percuma untuk setiap pakej. Oleh itu, tetapan di Cloudflare perlukan perubahan, jika masih digunakan.

2. Tetapan di WordPress

Setelah selesai tetapan di Cloudflare, pasang dan aktifkan plugin Really Simple SSL.

Really Simple SSL - Aktifkan SSL — **Langkah 2:** Klik pada butang “Go ahead, activate SSL” untuk aktifkan SSL. Lihat juga di bawah ada dinyatakan bahawa SSL certificate was detected on your site.

Really Simple SSL - Pengaktifkan berjaya — **Langkah 3:** Pengaktifan telah berjaya dilakukan dengan sempurna.

Really Simple SSL - Settings — Tinggalkan settings seperti di atas, hanya benarkan auto replace mixed content dan 301 redirection to SSL.

WordPress - Tetapan Umum — Apabila anda semak kembali tetapan umum di WordPress, alamat URL telah ditukarkan kepada HTTPS.

Kadangkala ketika sedang layari web, kita akan jumpa masalah simbol padlock keselamatan tiba-tiba hilang, apabila anda semak ia akan beritahu terdapat insecure content. Cara mudah untuk diagnosis insecure content boleh guna tools seperti Why No Padlock?

Urusan tetapan sudahpun sempurna pada tahap ini, langkah seterusnya hanya untuk kemaskini beberapa perkara di bawah.

3. Kemaskini Google Search Console

Mulai sekarang kita lebih utamakan pautan https, jika sebelum ini semua carian menuju kepada url http. Oleh itu, sila kemaskini Google Search Console dengan menambah property baru. Jangan lupa hantar sitemap yang baru untuk https.

Google Search Console - Property — **Langkah 1:** Tambah property untuk kedua-dua HTTPS tanpa www dan beserta www. Paparan di atas terdapat 4 properties kerana sebelum ini telah gunakan HTTP.

Antara empat pilihan yang disenaraikan anda dikehendaki pilih salah satu property untuk dikemaskini, jika sebelum ini saya memilih http tanpa www, maka untuk kali ini sama juga saya masih memilih laman web tanpa www untuk HTTPS. Masuk ke dalam property berkenaan dan kemaskini dua perkara seperti di bawah.

Google Search Console - Robot — **Langkah 2:** Kemaskini fail robots.txt yang tersimpan di dalam direktori utama laman web.

Google Search Console - Sitemap — **Langkah 3:** Perkara paling penting jangan lupa hantar Sitemap untuk Google lakukan indeks terhadap laman web anda.

Selesai kemaskini Google Search Console.

4. Kemaskini Google Analytics

Kemaskini alamat di Google Analytics kerana sebelum ini menggunakan http.

Google Analytics - View Settings — **Langkah 1:** Pergi ke View Settings

Google Analytics URL — **Langkah 2:** Pergi ke Website’s URL untuk memilih https

Selesai kemaskini Google Analytics.

5. Kemaskini akaun WordPress.com

Kemaskini juga alamat web di tetapan akaun WordPress.com kerana alamat berkenaan digunakan ketika komen di blog.

WordPress.com - Tetapan Akaun — Kemaskini alamat kepada HTTPS kerana alamat ini akan muncul di ruangan komen

6. Kemaskini profil Gravatar

Semak juga profil Gravatar.com untuk pastikan pautan web tepat.

Semakan terhadap profil Gravatar untuk lihat kemaskini alamat web

Kesimpulan

Berpindah kepada https adalah jalan terbaik buat anda sebagai pemilik web atau blog, kerana laman web dengan https lebih diutamakan oleh enjin carian.

Reading “HTTPS as a ranking signal”: http://t.co/nEjcGhm8bJ
— Matt Cutts (@mattcutts) August 7, 2014

Selamat berblogging!

Blogging / WordPress

Cara mengaktifkan SSL pada Cloudflare dan tetapannya