TipsKomunitas - Pertanyaan Umum Keamanan

Bacalah Sebelum Memposting

Tinjaulah postingan ini dan postingan yang ditautkan serta gunakan :search: di bagian kanan atas untuk mencari masalah Anda. Tip Komunitas ini memiliki pertanyaan dan jawaban untuk pertanyaan yang paling sering diajukan mengenai SSL/TLS, :search: akan menemukan anjuran & wawasan tambahan.

Latar Belakang
Pertanyaan Umum seputar Keamanan ini mencakup Cloudflare Spectrum, Cloudflare Access, Sertifikat Universal SSL gratis, sertifikat edge/tepi, sertifikat yang ditandatangani sendiri, dan sertifikat asal, TLS, HSTS, dan lainnya pada app SSL/TLS.

Loop pengalihan
Jika Anda menggunakan mode SSL Fleksibel di bawah tab Overview (Ikhtisar) pada app SSL/TLS Cloudflare dan Anda memaksakan HTTPS di sistem asal Anda, maka ini menjadi penyebab paling mungkin dari masalah. Mode fleksibel bekerja dengan tidak mengenkripsi traffic dari dan menuju ke sistem asal Anda dan Cloudflare. Karena sistem asal Anda memaksakan https dan permintaan itu lalu dialihkan ke Cloudflare yang kemudian mencoba lagi mengirim permintaan http yang sama, maka terjadilah loop tanpa akhir. Masalah ini dibahas dalam panduan dasar pengetahuan ini -- Mengapa SSL Fleksibel menyebabkan loop pada pengalihan?

Untuk memperbaikinya, Anda memiliki beberapa opsi:

Pelajari selengkapnya tentang SSL di Tutorial Komunitas ini,
https://community.cloudflare.com/t/step-2-setting-up-ssl-with-cloudflare/94646.

Subdomain terlalu dalam/Sertifikat Khusus dan Sertifikat Validasi Diperpanjang
Segera setelah Cloudflare berhasil menyediakan penawaran “Universal SSL” kami di zona Anda, perhatikan bahwa sertifikat ini hanya akan mencakup satu tingkat subdomain (*.example.com, bukan *.*.example.com):

  • Ini akan berfungsi - www.example.com
  • Ini akan berfungsi - example.com
  • Ini akan berfungsi - test.example.com
  • Ini TIDAK akan berfungsi - www.test.example.com
  • Ini TIDAK akan berfungsi - staging.www.example.com

Apabila Anda membutuhkan sertifikat yang mencakup banyak tingkat subdomain, Anda dapat membeli Sertifikat SSL Khusus dengan Nama Host Khusus, yang memungkinkan Anda memasukkan setiap tingkatan dari subdomain beberapa tingkat pada saat pembelian.

Jika Anda lebih memilih menggunakan sertifikat Anda sendiri daripada sertifikat Universal SSL yang kami sediakan, Anda harus meningkatkan paket Anda ke Business Plan dan meng-upload Sertifikat Khusus.

Perhatikan bahwa Cloudflare tidak menawarkan sertifikat “Perpanjangan Validasi” saat ini. Jika Anda ingin menggunakan sertifikat ini, Anda akan perlu membelinya secara terpisah dan meng-upload-nya ke akun Cloudflare Anda menggunakan Unggah SSL Kustom.

Pilihan lainnya, beli Pengelola Sertifikat Tingkat Lanjut dan buat sertifikat khusus dengan nama host khusus.

Memahami Pengelola Sertifikat Tingkat Lanjut
Mengelola Sertifikat SSL Khusus

Klien yang Didukung (hanya SNI)

Sertifikat SSL kami pada paket berbayar (Pro, Business, dan Enterprise) akan berfungsi dengan semua browser desktop, sehingga jika Anda mengkhawatirkan kompatibilitas atau memiliki banyak pengguna yang menggunakan browser lama, Anda disarankan untuk melakukan peningkatan ke salah satu paket berbayar kami.

Baik Sertifikat Khusus maupun Universal SSL menggunakan Indikasi Nama Server atau Server Name Indication (SNI) yang menggunakan Algoritma Tanda Tangan Digital Kurva Elips (ECDSA). Sertifikat SNI dan ECDSA bekerja dengan browser modern berikut:

Browser desktop yang diinstal di Windows Vista atau OS X 10.6 atau setelahnya:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8 (dengan pengaktifan TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

Browser Ponsel

  • Mobile Safari for iOS 4.0
  • Android 3.0 (Honeycomb) dan setelahnya
  • Windows Phone 7

Perhatikan bahwa setiap layanan API atau gerbang pembayaran yang berkomunikasi dengan situs Anda juga harus mendukung SNI dan ECDSA agar dapat terhubung ke situs web Anda melalui Cloudflare.

Mode SSL - SSL ke Sistem Asal

Cloudflare menawarkan beberapa mode SSL berikut:

  1. SSL Fleksibel: SSL diakhiri di server tepi Cloudflare. Segala hal yang berlangsung antara klien Anda dan Cloudflare dienkripsi, namun segala sesuatu yang berlangsung antara Cloudflare dan sistem asal Anda tidak dienkripsi. Anda tidak memerlukan sertifikat untuk ini.
  2. SSL Penuh: SSL diakhiri di server tepi Cloudflare. Lalu dienkripsi kembali, dan dikirimkan kembali ke server Anda dalam keadaan terenkripsi penuh. Anda akan memerlukan sertifikat SSL yang terinstal di server Anda. Anda dapat menggunakan sertifikat yang ditandatangani sendiri pada opsi ini.
  3. SSL Penuh (Ketat): Sama seperti SSL Penuh, tetapi Anda harus memiliki sertifikat yang ditandatangani oleh salah satu CA, seperti GlobalSign. Jika Anda ingin mengaktifkan SSL Penuh Ketat, Anda dapat menginstal sertifikat asal Cloudflare gratisdi host Anda.

Ikhtisar lengkap seputar pengaturan SSL kami dapat ditemukan di sini.

Jika Anda ingin menggunakan opsi konfigurasi Penuh atau Penuh (Ketat), Anda harus memiliki sertifikat di server web asal Anda.

Jika Anda menggunakan opsi Penuh (Ketat), sertifikat SSL ini harus valid dan ditandatangani baik oleh Otoritas Sertifikat ataupun menggunakan layanan Asal CA kami.

Kesalahan Konten Campuran dan Loop Pengalihan

Jika Anda mendapati hilangnya tanda gembok hijau dari browser Anda saat terkoneksi melalui HTTPS, kemungkinan yang terjadi adalah masalah konten campuran. Kesalahan konten campuran berarti situs web Anda dimuat melalui HTTPS tetapi sebagian sumber dayanya dimuat melalui HTTP. Untuk memperbaiki masalah ini, Anda perlu mengedit kode sumber Anda dan mengubah semua sumber daya agar dapat memuat melalui jalur relatif atau secara langsung melalui HTTPS.

Misalnya, jika Anda memuat gambar Anda dengan URL penuh:

<img src="http://example.com/image.jpg" />

Anda perlu mengubahnya menjadi:

<img src="//example.com/image.jpg" />

Dengan menghapus http: , browser akan menggunakan protokol apa pun yang sudah digunakan oleh pengunjung. Lihat artikel ini untuk informasi selengkapnya. Cara lainnya, Anda dapat menginstal plugin Mixed-Content Fixer atau Perbaikan Konten Campuran yang akan secara otomatis mengganti http dengan https pada beberapa bagian ini. Untuk Wordpress, kami telah berhasil menggunakan plugin SSL Insecure Content Fixer.

Opsi alternatif adalah dengan mengaktifkan fitur Penulisan Ulang HTTPS Otomatis yang secara potensial dapat memperbaiki kesalahan ini untuk Anda secara otomatis. Waspadalah bahwa sumber daya yang dimuat oleh JavaScript atau CSS tidak secara otomatis akan ditulis ulang dan peringatan konten campuran masih akan muncul.

Masalah ini paling sering dikaitkan dengan pengguna layanan SSL Fleksibel Cloudflare. Anda dapat memeriksa apakah Anda menggunakan layanan SSL Cloudflare dalam mode Penuh atau Fleksibel dengan cara login ke dasbor Cloudflare dan mengeklik tab Overview di app SSL/TLS, kemudian turun ke bawah pengaturan SSL.

Pengguna SSL Fleksibel

Mode fleksibel bekerja dengan tidak mengenkripsi traffic dari dan menuju ke sistem asal Anda dan Cloudflare. Karena sistem asal Anda memaksakan https dan permintaan itu kemudian dialihkan ke Cloudflare yang kemudian mencoba lagi mengirim permintaan http yang sama, maka terjadilah loop tanpa akhir. Saya dapat mengonfirmasi bahwa situs Anda memang menjalankan pengalihan HTTPS.

Untuk memperbaikinya, Anda memiliki beberapa opsi:

Selain itu, Cloudflare juga menambahkan header X-Forwarded-Proto, yang dapat menjadi http atau https tergantung protokol yang digunakan pengguna untuk mengunjungi situs, seperti berikut ini:

X-Forwarded-Proto: https

Apabila SSL Fleksibel ditetapkan dan pengunjung meminta ke Cloudflare melalui HTTPS - Cloudflare meminta ke sistem asal melalui HTTP. Dalam skenario tersebut, server asal dapat mengetahui bahwa pengunjung menggunakan HTTPS dengan memeriksa header ini.

Sertifikat Tidak Disediakan
Lihat catatan app DNS untuk memastikan ( example.com ) dan www.example.com atau example.com bertanda awan oranye.

Agar sertifikat Universal SSL Cloudflare disediakan, Anda harus menandai setiap catatan yang diperlukan dengan awan oranye. Setelah catatan DNS menjadi awan oranye, sertifikat Universal SSL Cloudflare Anda akan mulai disediakan.

Informasi selengkapnya mengenai cara melakukan hal ini dapat ditemukan di panduan pengaturan cepat di bawah ini:

Kesalahan SSL/TLS Lainnya

Memperbaiki Kesalahan 520: Server web mengembalikan kesalahan yang tak dikenal
Memperbaiki Kesalahan 521: Server web tidak bekerja
Memperbaiki Kesalahan 525: handshake SSL gagal
Memperbaiki Kesalahan 526: Sertifikat SSL tidak valid

Jika Anda Perlu Bantuan Lain
Komunitas pengguna Cloudflare yang lain ini mungkin dapat membantu Anda, masuk ke Cloudflare dan posting pertanyaan Anda ke Komunitas tersebut. Saat Anda memposting di Komunitas, pastikan untuk memasukkan sebanyak mungkin informasi: pesan kesalahan spesifik yang Anda lihat, URL tempat kejadian, tangkapan layar dari kesalahan, dan langkah untuk menghasilkan kembali kesalahan itu. Tunjukkanlah langkah pemecahan masalah yang telah Anda coba untuk memudahkan kami membantu Anda.

Komentar Pakar Sangat Dihargai
Tip Komunitas ini akan tetap terbuka untuk masukan dari para pakar Komunitas dan dari pihak yang memahami masalah ini. Kami sangat menghargai komentar seperti: “Apa saja tiga hal yang harus dicoba”, atau “Lakukan ini terlebih dahulu” atau “Menurut pengalaman saya”.

Ini adalah Tip Komunitas Cloudflare, untuk meninjau tips lain, klik di sini.

Çevirmek…traduzir…翻译…traducir…Traduire…Übersetzen…:greyg: Terjemahkan Tip ini

AQSECT 030321