Pengantar Sertifikat SSL Untuk WooCommerce

Diterbitkan: 2015-12-24

Bagian dari proses memulai toko online adalah menemukan cara untuk mengamankan pengalaman bagi pembeli Anda. Anda tentu ingin pelanggan potensial Anda merasa aman, dan mengetahui bahwa data mereka tidak akan jatuh ke tangan yang salah.

Jika Anda baru mengenal eCommerce, Anda mungkin pernah mendengar beberapa obrolan tentang sertifikat SSL atau HTTPS sebagai bagian dari proses keamanan ini. Dan Anda mungkin benar-benar bingung karenanya. Tenang — itu normal, dan kami dapat membantu.

SSL terdengar seperti topik yang rumit, tetapi begitu Anda memahami premis dan mengapa toko Anda mungkin membutuhkannya, itu bukan sesuatu yang harus Anda khawatirkan . Bahkan, bagi sebagian besar pemilik toko, Anda bisa mendapatkan sertifikat untuk menambahkan SSL ke toko Anda hanya dalam beberapa menit.

Mari kita bahas apa itu SSL, mengapa Anda mungkin membutuhkannya, dan bagaimana Anda bisa mendapatkan sertifikat untuk toko Anda. Di akhir posting ini, kebingungan Anda akan hilang, dan Anda harus lebih siap untuk mulai berjualan online.

Sertifikat SSL menjelaskan

Untuk memahami apa itu sertifikat SSL dan mengapa Anda mungkin memerlukannya, pertama-tama mari kita lihat sekilas teknologi di baliknya.

Pelajaran singkat tentang SSL

SSL adalah singkatan dari “Secure Sockets Layer,” meskipun terkadang juga disebut “Transport Layer Security” (atau TLS). SSL sendiri merupakan protokol yang digunakan untuk mengamankan dan melindungi transaksi — meskipun tidak harus finansial — antara tujuan di jaringan .

SSL bergantung pada enkripsi untuk menjadikan transaksi ini pribadi. Setiap pesan yang dikirimkan harus melewati pemeriksaan internal untuk integritas enkripsi ini sebelum berhasil. Jika pemeriksaan gagal (karena kerusakan data, atau upaya tak terduga untuk mengubah atau menangkap data), data terenkripsi tidak akan diekspos.

Kami menggunakan SSL setiap hari saat menjelajahi situs web umum seperti Facebook, YouTube, dan toko online. Enkripsi yang digunakan mencegah mereka yang memiliki niat jahat untuk mencegat transaksi yang tidak bersalah seperti kueri penelusuran Anda… atau sama berbahayanya dengan informasi kartu kredit Anda.

Bagaimana SSL berlaku untuk sertifikat situs web

Ketika sebuah situs web ingin mengamankan transaksinya, ia akan memperoleh sertifikat SSL untuk domain tersebut. Sertifikat SSL menerapkan enkripsi yang dijelaskan di atas untuk semua aktivitas situs web , termasuk pengiriman laman dan formulir, transaksi keuangan, dan sebagainya. Ini mencegah pencurian data atau serangan sejenis lainnya.

Sertifikat SSL juga berisi informasi keamanan penting , termasuk:

  • Nama Perusahaan
  • Lokasi perusahaan
  • Lamanya waktu sertifikat baik untuk
  • Rincian otoritas yang mengeluarkan sertifikat

Hal ini memungkinkan individu yang tidak yakin tentang keaslian atau kepercayaan situs web untuk mengklik ikon "kunci" hijau di browser mereka untuk meninjau informasi lebih lanjut. Jika mereka masih tidak merasa aman, mereka dapat keluar dari situs.

Contoh jenis informasi yang dapat Anda lihat saat meninjau sertifikat SSL -- dalam hal ini, blog Pusat Webmaster Google.
Contoh jenis informasi yang dapat Anda lihat saat meninjau sertifikat SSL — dalam hal ini, blog Pusat Webmaster Google.

Bagaimana cara mengetahui apakah sebuah situs web menggunakan SSL/TLS

Ada dua cara cepat untuk mengetahui apakah situs web tertentu memiliki sertifikat SSL. Mencari:

  • Ikon "kunci" hijau di bilah alamat, dan
  • URL yang dimulai dengan https , bukan http

Bergantung pada bagaimana situs menggunakan SSL, ini mungkin tidak berlaku untuk setiap halaman — seperti yang akan Anda pelajari di bawah.

Bagaimana penggunaan SSL berubah

Untuk beberapa waktu, standar Internet adalah bahwa sertifikat SSL hanya direkomendasikan untuk domain atau halaman situs web tertentu di mana informasi sensitif (seperti data keuangan) akan dikirim atau diterima. Namun, rekomendasi itu perlahan berubah.

Pada bulan Agustus 2014, Google mengumumkan bahwa keamanan situs web akan ditambahkan sebagai "sinyal peringkat ringan" untuk hasil di mesin pencarinya . Ini berarti bahwa situs web yang diamankan dengan SSL/TLS memiliki peluang yang lebih baik untuk mendapat peringkat lebih tinggi untuk kueri daripada yang tidak aman, dengan asumsi semua faktor lainnya sama.

Dari pengumuman:

[Kami] telah menjalankan pengujian dengan mempertimbangkan apakah situs menggunakan koneksi terenkripsi yang aman sebagai sinyal dalam algoritme peringkat penelusuran kami. Kami telah melihat hasil yang positif, jadi kami mulai menggunakan HTTPS sebagai sinyal peringkat. Untuk saat ini hanya sinyal yang sangat ringan […] sementara kami memberikan waktu kepada webmaster untuk beralih ke HTTPS. Namun seiring waktu, kami mungkin memutuskan untuk memperkuatnya, karena kami ingin mendorong semua pemilik situs web untuk beralih dari HTTP ke HTTPS agar semua orang tetap aman.

Selama setahun terakhir, implikasi potensial dari perubahan ini telah menyebabkan banyak pemilik situs web — bukan hanya pemilik toko — untuk mengenkripsi situs mereka dengan sertifikat SSL lengkap, mengubah URL mereka menjadi “https” alih-alih “http.”

Namun, ini tidak mengharuskan siapa pun untuk mengamankan seluruh situs mereka dengan SSL . Jika mereka memilih, pemilik situs web dan toko masih dapat menempatkan semua halaman sensitif mereka di subdomain, dan membeli sertifikat untuk domain itu saja, membiarkan halaman lainnya tidak terenkripsi.

Bagaimana cara mengetahui apakah toko online Anda membutuhkan SSL

Membaca semua ini, Anda mungkin yakin bahwa Anda memerlukan sertifikat SSL. Lagi pula, keamanan penting bagi Anda, bukan?

Namun, jika Anda tidak mengambil atau menyimpan data sensitif apa pun, Anda mungkin sebenarnya tidak memerlukan sertifikat . Ini mungkin terdengar aneh, jadi mari kita gali.

Skenario paling umum yang menyebabkan pemilik toko dibebaskan dari kebutuhan SSL adalah penggunaan pemroses pembayaran di luar lokasi — misalnya, PayPal. Ini karena PayPal bertanggung jawab untuk menangkap dan menyimpan semua informasi pembayaran sensitif pelanggan Anda, sehingga tidak pernah disimpan di database Anda .

Pemroses pembayaran di luar lokasi memiliki standar keamanan, sertifikat, dan metodenya sendiri untuk meneruskan data dari dan ke toko Anda dengan aman. Oleh karena itu Anda tidak perlu SSL, karena mereka akan menutupinya.

Jika Anda tidak menyimpan informasi pembayaran sensitif, Anda mungkin tidak memerlukan SSL.
Jika Anda tidak menyimpan informasi pembayaran sensitif, Anda mungkin tidak memerlukan SSL.

Skenario lain adalah jika Anda tidak mengizinkan pelanggan membuat akun atau login yang melibatkan kata sandi apa pun. Meskipun Anda menggunakan gateway pembayaran pihak ketiga yang sepenuhnya berada di luar lokasi, Anda mungkin masih memiliki pelanggan yang membuat akun dengan Anda untuk menyimpan alamat pengiriman dan penagihan mereka .

Meskipun ini adalah informasi yang kurang sensitif, banyak pelanggan cenderung menggunakan kata sandi yang sama untuk setiap akun. Jadi sedikit rekayasa balik dapat menyebabkan peretas mendapatkan akses ke, katakanlah, akun email pembelanja, rekening bank… sebut saja. Ini berarti bahwa kecuali pembuatan akun dinonaktifkan di toko Anda, Anda memerlukan SSL untuk melindungi kata sandi dan info masuk tersebut .

Untuk rekap, dua faktor yang dapat menghilangkan SSL sebagai persyaratan adalah:

  • Penggunaan gateway pembayaran di luar lokasi sepenuhnya, dan
  • Sama sekali tidak ada fungsi akun atau kata sandi yang diizinkan oleh pelanggan

Jika Anda tidak memiliki kedua faktor ini, Anda memerlukan sertifikat untuk toko Anda. Dan bahkan jika Anda melakukannya, Anda tetap harus mempertimbangkannya , mengingat kemungkinan HTTPS menjadi lebih penting untuk peringkat — dan ketenangan pikiran pelanggan — di masa depan.

Butuh SSL? Cara mendapatkan sertifikat (dua cara)

Cara standar untuk mengamankan toko Anda dengan SSL hingga saat ini adalah dengan membayar pihak ketiga untuk mendapatkan sertifikat. Namun, sekarang ada opsi lain, seperti yang disebutkan selama The State of the Word di WordCamp US.

Berikut adalah dua cara Anda dapat mengamankan toko Anda dan membuat pelanggan Anda senang.

Membayar untuk sertifikat

Sertifikat SSL dapat dibeli dari berbagai pihak ketiga . Banyak pengecer domain menawarkannya kepada pelanggan mereka (terkadang bahkan dibundel dengan nama domain Anda), dan ada juga perusahaan independen yang hanya menjual sertifikat SSL.

Taruhan terbaik Anda mungkin untuk memulai dengan perusahaan tempat Anda membeli (atau berencana untuk membeli) nama domain toko Anda untuk menentukan apakah mereka menawarkan sertifikat atau jenis bundel apa pun. Jika tidak, pencarian sederhana akan menghasilkan beberapa opsi yang andal.

Sebelum Anda membeli, luangkan beberapa menit dengan hati-hati mempertimbangkan jenis sertifikat yang Anda butuhkan . Sertifikat SSL dasar hanya mencakup satu domain — mis. contoh.com atau subdomain.contoh.com. Tetapi Anda juga dapat membeli sertifikat multi-domain, atau sertifikat “wildcard” untuk mencakup beberapa subdomain (contoh1.domain.com, contoh2.domain.com…).

Harga untuk sertifikat berbayar biasanya berkisar dari $30 hingga $50 per tahun untuk domain tunggal, dan hingga $300 per tahun untuk opsi multi-domain atau wildcard.

Sertifikat gratis dari Let's Encrypt

Internet Security Research Group (ISRG) saat ini memiliki program yang disebut Let's Encrypt dalam versi beta publik. Let's Encrypt memungkinkan siapa saja untuk mengamankan situs mereka dengan SSL/TLS secara gratis — secara efektif memberi pemilik situs web dan toko sertifikat SSL gratis dan permanen .

Tangkapannya: Let's Encrypt tidak semudah bekerja dengan pencatat domain untuk membeli dan menginstal sertifikat Anda. Ini juga masih dalam versi beta, jadi mungkin ada bug. Namun, itu masih sepenuhnya gratis, dan open source pada saat itu.

Diagram dari Let's Encrypt yang menunjukkan cara kerja sertifikat mereka.
Diagram dari Let's Encrypt yang menunjukkan cara kerja sertifikat mereka.

Jika Anda tertarik untuk mengikuti rute ini, kami sarankan untuk mengirimkan dokumentasi Let's Encrypt ke pengembang Anda, yang dapat menentukan plugin dan klien yang Anda butuhkan untuk server Anda, dan menangani proses pemasangan sertifikat untuk Anda.

Konsekuensi tidak memiliki sertifikat

Anda mungkin bertanya-tanya “apa yang terjadi jika saya mengabaikan semua ini dan tidak mendapatkan sertifikat SSL?”

Sejujurnya, tidak ada yang mungkin terjadi. Tetapi bisa juga ada konsekuensi yang mengerikan, termasuk:

  • Pembeli kehilangan kepercayaan pada Anda karena toko Anda tampak tidak aman
  • Orang-orang jahat "memalsukan" toko Anda karena tidak ada cara untuk membuktikan bahwa Anda adalah pemilik atau produsen sebenarnya dari barang-barang Anda
  • Seorang hacker menggunakan reverse engineering untuk membajak email pelanggan, media sosial, atau akun online lainnya dengan informasi yang diperoleh dari toko Anda
  • Pencurian data pribadi atau keuangan sensitif yang disimpan di server Anda
  • Reaksi keuangan publik dan potensi yang disebabkan oleh salah satu dari peristiwa di atas

Seperti yang Anda lihat, lebih baik hanya membayar untuk sertifikat SSL dan memiliki ketenangan pikiran daripada mengambil risiko. Bahkan memiliki pelanggan potensial yang mengganggu Anda tentang ikon kunci yang hilang - dan berpotensi keluar tanpa membeli karena hilang - bernilai $30 atau lebih setahun, bukan begitu?

SSL tidak harus menjadi hal yang rumit

Kami berharap pengenalan sertifikat SSL untuk eCommerce ini telah membantu Anda memahami sedikit lebih baik mengapa Anda mungkin — atau mungkin tidak — memerlukan sertifikat untuk toko online Anda sendiri.

Dengan sedikit keberuntungan, SSL dan keamanan toko akan tampak lebih mudah untuk Anda pahami sekarang. Tetapi jika Anda memiliki pertanyaan yang tersisa, kami akan dengan senang hati menjawabnya untuk Anda di komentar di bawah! Tanyakan, kami selalu siap membantu.