Apa itu SSL (HTTPS)?

Kenapa kamu harus beralih dari HTTP ke HTTPS (SSL)?

1. Performa dan HTTP/2
   Kenapa menggunakan google chrome jauh lebih cepat ketika kita mengakses website terutama website milik google seperti youtube,gmail,blogger dll, jawaban nya karena browser milik google mendukung protocol penyempurnaan dari HTTP 1 yang dilakukan oleh 2 engineer google yang  diberinama SPDY dan digunakan sejak tahun 2009.SPDY tidak menggantikan protocol lama hanya saja memanfaatkan protokol lama (HTTP 1) sebagai media tunnel untuk SPDY .HTTP/2 dibangun berdasar kesuksesan SPDY dan menggantikan HTTP versi sebelum nya dan SPDY, mayoritas browser sekarang telah mendukung protocol HTTP/2 sebagai dukungan migrasi menggunakan protocol HTTP/2 yang telah disempurnakan dan lebih cepat.
   berdasarkan informasi, kecepatan HTTP/2 jauh lebih cepat hingga 60% dibanding HTTP 1 . Jika kamu ingin menggunakan HTTP/2 maka syarat utama nya adalah kamu harus menggunakan TLS/SSL .
2. Keamanan
   ketika menggunakan TLS/SSL (Https) maka data yang dikirim dari server ke client dan sebaliknya dienkripsi sehingga jika ada penyadapan data yang kamu kirim lewat halaman website aman  (tidak bisa dibaca hacker). jika kamu seorang blogger yang menggunakan CMS & Hosting sendiri dan sering sekali menggunakan public hotspot maka kamu wajib megaktifkan SSL di blog/website yang kamu kelola, karena tidak menutup kemungkinan ketika kamu login ke website mu menggunakan jaringan public wifi/hotspot ada orang yang sedang menyadap (listen/monitor mode) maka hacker tadi akan mendapatkan account blog mu ketika kamu login ke web mu yang belum dipasang SSL (https)Website yang menggunakan HTTPS juga tidak bisa diinject malware (bentuk java script malware untuk hook) ketika website mu diakses melalui proxy, dengan kata lain website mu kebal terhadap serangan MITM (man in the midle attack).
   Aman disini tidak aman 100% karena tetap memerlukan kejelian dari penggunanya , karena diluar sana ada aplikasi MITM untuk mengubah website https menjadi http biasa agar bisa disadap (SSL strip)
3. SEO dan Ranking
   menggunakan SSL (https) di website /blog yang kamu kelola memberikan nilai positif dimata mesin pencari google, ini berdasar pernyataan resminya dalam artikel yang berjudul “HTTPS as a ranking signal“
4. Referal Data
   Google analytic akan meng block referal dari website https ke website non https . Sebagai contoh  jika ada website yang telah menggunakan SSL (https) dan mereferensikan website mu dengan meletakan link di artikelnya sedangkan website mu belum menggunakan SSL (https) maka oleh google analytic tidak akan dianggap 
5. SSL membangun kepercayaan
   jika website yang kamu kelola memerlukan interaksi user untuk mengisi dara pribadi maka HTTPS menjadi tolak ukur yang mutlak untuk membangun kepercayaan terhadap website yang kamu kelola. karena dengan SSL/HTTPS maka dijamin data pribadi yang akan dikirim user/client ke server di enkripsi (acak) terlebih dahulu dan hanya server yang bisa membacanya.

” TIPS:

-Ketika kamu memasang ssl (https) kamu protocol http tetap bisa diakses dan tidak bisa dimatikan, jika ingin menggunakan ful https maka harus di redirect.”

Mengenal jenis SSL mode pada Cloudflare

1. Tanpa SSL
   
   koneksi dari server kita ke cloudflare CDN  dan dari CDN ke user semuanya tidak menggunakan SSL, dan semua data dikirim dalam bentuk plain http (tanpa dienkripsi)
2. Flexible SSL
   
   koneksi dari server kita ke cloudflare tidak menggunakan SSL tetapi koneksi dari cloudflare ke user/visitor menggunakan SSL. Dengan kata lain webhosting kita tidak menggunakan SSL (https) tetapi ketika user mengakses web kita melalui CDN akan menggunakan SSL yang dipasang di Cloudflare  ,SSL ini telah disediakan Cloudflare secara gratis dan berbayar. SSL certificate yang gratis ditujukan untuk beberapa domain (Shared Certificate) sedangkan SSL certificate yang berbayar dibuat khusus untuk kamu (dedicated certificate)
3. Full SSL
   
   koneksi dari client/visitor ke web kita yang melalui cloudflare menggunakan HTTPS dan  koneksi dari server kita ke cloudflare juga menggunakan HTTPS, hanya saja cloudflare tidak mengecek validasi dari certificate yang kita gunakan untuk server yang kita kelola. Dengan kata lain jika kamu ingin menggunakan SSL certificate yang ditandatangani sendiri (self signed) maka kamu harus memilih opsi Full SSL
4. Full SSL (Strict)
   
   sama hanya dengan full SSL , koneksi dari cloudflare ke user/visitor dan koneksi dari cloudflare ke website yang kita kelola (yang dituju visitor melalui cloudflare) semuanya menggunakan HTTPS hanya saja pihak cloudflare mengecek keabsahan certificate yang kita gunakan di web yang kita kelola. dengan kata lain SSL certificate yang kita gunakan harus ditandatangin oleh pihak CA.

Cara memasang flexible SSL Cloudflare (CDN) pada wordpress

1. Login ke wordpress mu dan install plugin Really simple SSL
   
   Ingat hanya install saja, jangan dulu diaktifkan sebelum mengaktifkan SSL di cloudflare,karena plugin ini harus diaktifkan lewat koneksi SSL.
2. Login ke Cloudflare , klik pada menu Crypto dan aktifkan /pilih seperti gambar berikut.
   
   Jangan kuatir website mu error ,walau kamu mengaktifkan SSL ,website mu masih tetap bisa diakses kok lewat http://namawebsitemu.domain
3. Setelah SSL diaktifkan harusnya kamu sudah bisa mengakses websitemu melalui https, walau ada beberapa error /content yang gak muncul bahkan berantakan.
   akses website dengan mengetikan https://websitemu.domain/wp-admin contoh https://linexia.blogspot.co.id/wp-admin .
   Login lah dengan akun wordpress mu dan aktifkan plugin “Really simple SSL”
   
   setelah diaktifkan maka akan tampak seperti gambar diatas dan pada menu setting akan muncul menu SSL
4. Terkadang ada masalah /error ketika mengaktifkan plugin ini dan harus ditangani secara manual. error ini biasanya “.htaccess not writable” atau “redirect rule could not be verified”
   
   error ini bisa diatasi dengan cara mengedit file.htaccess melalui Cpanel dan menambahkan baris script  yang mucul ketika error , sebelum mengedit /menambahkan baris script secara manual ke file .htaccess baiknya atur parameter pada menusetting seperti gambar dibawah ini:
   
   Script diatas hanya contoh, silakan contek pada peringatan error, script seperti apa yang perlu ditambahkan tinggal diikuti saja.“Ingat ya ubah parameternya dulu lalu save baru edit file .htaccess nya , kalo langkah nya kebalik biasanya baris yang kita tambahkan akan hilang.
   File .htaccess berada di root directory file wordpress mu berada, attribut defaultnya adalah hidden jadi untuk melihatnya kamu harus mengaktifkan opsi view hidden file pada file explorer di cpanel mu
   “
5. Setelah kamu menambahkan script kedalam file .htaccess sesuai dengan petunjuk (script yang ditampilkan dalam error)  silakan klik lagi dibagian configuration untuk merefresh hasil nya
   Jika tampak seperti dibawah ini maka selesai sudah 
   

Redirect semua trafik ke SSL (HTTPS)

1. Redirect semua visitor yang menggunakan http:// ke https://www
   
2. visitor yang mengakses http://www akan diarahkan ke https
   
3. visitor yang mengakses subdomain dengan http akan diarahkan ke https
   

Update sitemap pada webmaster tool

A. Cek kebutuhan sistem

Sebagai langkah awal sebelum mempraktekan tutorial ini baiknya kamu cek dulu apakah TUN/TAP di server /VPS kamu sudah aktif /enable,karena tanpa ini VPN gak bakal jalan.kamu bisa menggunakan perintah cat /dev/net/tun pastikan outputnya adalah cat: /dev/net/tun: File descriptor in bad state kalau outputnya beda berarti TUN/TAP belum aktif silakan aktifkan terlebih dahulu melalui panel VPS atau hubungi support tempat kamu membeli VPS.

B. Install OpenVPN dan Easy-RSA

• Sebelum install baiknya kita mengupdate repository menggunakan perintah apt-get update agar list repository di mesin kita diperbaharui dengan versi ter anyar.
  
• Setelah pembaruan selesai kemudian kita install openvpn dengan perintah apt-get install openvpn
  
• Setelah openvpn terinstall selanjutnya kita akan menginstall easy-rsa dengan perintah apt-get install easy-rsa
  

untuk memastian kalau easyrsa sudah terpasang coba kamu  ke directory easy-rsa seperti di gambar atau bisa list langsung dengan perintah ls /usr/share/easy-rsaKopi directory easy-rsa ke /etc/openvpn ini hanya untuk memudahkan pas kamu nyeting biar gampang diingat kalau setingan yang berkaitan dengan openvpn ada di folder /etc/openvpn gunakan perintah ini untuk mengcopy directory easy-rsa dan isinya cp -a /usr/share/easy-rsa /etc/openvpn
untuk mengecek apa sudah berhasil, kita pindah ke directory /etc/openvpn dengan perintah cd /etc/openvpn/easy-rsa
Setelah masuk ke directory /etc/openvpn/easy-rsa berikan perintah chmod +x * agar semua file di dalam folder easy-rsa bisa dieksekusi

1. Menbuat ROOT CERTIFICATE AUTHORITY (CA) CERTIFICATE/KEY dengan Easy-RSA

Jalankan perintah dibawah ini secara ber urutan !! kalo pengin liat manual lengkap bisa dilihat di panduan menggunakan easy-rsasource ./vars
./vars
./clean-all
./build-ca   Masukan data ke formulir seperti Country name,emal dll seperti gambar dibawah ini ketika kamu membuat root certificate

2. Membuat Server Key

Buat Key Server dengan perintah ./build-key-server namafilekeymuBebas kamu bisa menggunakan nama ap aja serah2 kmu aja 

3. Build Diffie Hellman

untuk membuatnya cukup ketikan perintah ./build-dh tunggu sampai kelar. biasnaya ini agak lama

Semua file yang kita buat tadi berada di folder /etc/openvpn/easy-rsa/keys

C. Setting OpenVPN dan Firewall

4. Membuat Server config File

local 103.252.101.170  #ganti dengan IP VPS atau domain anda
port 995  #Sesuaikan dengan port yang anda inginkan
proto tcp #ptocol bisa tcp atau  udp sesuaikan dengan kebutuhan
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt  #lokasi file ca yang kita buat dengan easy-rsa
cert /etc/openvpn/easy-rsa/keys/serverVPNTembolokID.crt #lokasi file server crt yang kita buat dengan easy-rsa
key /etc/openvpn/easy-rsa/keys/serverVPNTembolokID.key #lokasi file key server yang kita buat dengan easy-rsa
dh /etc/openvpn/easy-rsa/keys/dh2048.pem #lokasi file dh yang kita buat dengan easy-rsa
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so /etc/pam.d/login
management localhost 8443 #console untuk memonitor user VPN
client-cert-not-required
username-as-common-name
server 10.9.8.0 255.255.255.0   # ip yang akan dipakai client
ifconfig-pool-persist ipp.txt
push “redirect-gateway def1”
push “dhcp-option DNS 8.8.8.8”
push “dhcp-option DNS 8.8.4.4”
keepalive 5 30
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3

5. Menjalankan Service OpenVPN

Setelah semua dirasa cukup dan benar saatnya kita jalankan openvpn server kita dengan perintah service openvpn start  dan cek dengan perintah service openvpn status pastikan statusnya running kalo tidak berarti ada yang salah silakan trouble shoot seperti dibawah ini

6. Mengaktifkan IP Forwarding NAT

kita harus mengaktifkan IP forwarding dan NAT agar user yang terkonek ke VPN server kita bisa mengakses internet lewat server kita.
pico /etc/sysctl.conf  lalu hilangkan tanda pagar pada net.ipv4.ip_forward=1 ,jangan lupa save perubahan dengan CTRL+X  lalu Y .

kemudian jalankan perintah sysctl -p /etc/sysctl.conf

Kemudian kita setting NAT dengan IPTABLES jalankan perintah ini secara berurutaniptables ‐t nat ‐I POSTROUTING ‐s 10.9.8.0/24 ‐o venet0 ‐j MASQUERADE   # ip bisa disesuaikan dengna ip yg dipakai pada openvpnconfig
iptables‐save > /etc/iptables.cfg

pico /etc/rc.local # tambahkan baris  iptables-restore < /etc/iptables.conf  lalu simpan dengan CTRL+X lalu Y
ini dilakukna agar setiap kali kamu restart server kamu gak perlu lagi setting iptables,jadi settingan iptables kita  menjadi permanent.

7. Troubleshooting OpenVPN Server

kadang walau sudah pempraktekan sesuai tutorial ada saja yang error,nah error ini biasanya karena typo atau kesalahan ketik atau perbedaan directory pas kita install karena tutorial dan server kamu berbeda,jadi kamu disini harus teliti ,dan untuk membantu melihat error yang terjadi kita bisa membuka error log dengan perintah grep ovpn /var/log/syslog
Contoh diatas adalah openvpn gak mau jalan walau sudah di start dan tidak menampilkan error ketika di start menggunakan perintah service openvpn start,setelah ditelusuri lewat log ternyata ada file yang tidak ditemukan ,nah ternyata nama file plugin nya ini berbeda dengan yang dulu pak bikin catatan. jadi intinya kamu harus cek config file apa sudah betul apa belum.

8. Membuat File Config OpenVPN untuk  Client

client
dev tun
proto tcp 
remote 103.252.101.170 995  #Ip Server kamu dan port
route-method exe
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
auth-user-pass
comp-lzo
verb 3

<ca>
—–BEGIN CERTIFICATE—–
isi bagian ini dengan isi file ca.crt    #
—–END CERTIFICATE—–
</ca>

D. Membuat,mengatur dan memonitor User  SSH /VPN

1. Membuat User dan membatasi masa aktif akun SSH /VPN

#!/bin/bash
#Script auto create trial user SSH
#yg akan expired setelah 5 Bulan
# ./ini.sh username jumlah-hari
Login=$1-`</dev/urandom tr -dc X-Z0-9 | head -c4`

Pass=`</dev/urandom tr -dc a-f0-9 | head -c9`
IP=`ifconfig eth0:0| awk ‘NR==2 {print $2}’| awk -F: ‘{print $2}’`
useradd -e `date -d “$2 days” +”%Y-%m-%d”` -s /bin/false -M $Login
echo “____________________________________________________________”
echo -e “$Pass\n$Pass\n”|passwd $Login &> /dev/null
echo -e “Username: $Login\nPassword: $Pass”
echo “_____________________________________________________________”
echo -e |chage -l $Login

Setelah disave jalankan perintah chmod +x buatuser.sh agar file bisa dieksekusi
Cara menggunakanya dengan ekseskusi file secara langsung dan masukan parameter dengan format ./buatuser.sh namaUser masaAktifHari contoh ./buatuser.sh dodit 60

2. Mengatur dan mengelola UserVPN dan SSH

#!/bin/bash
# melihat semua user dan expired date
echo “—————————————————-“
echo “USERNAME          CREATE DATE          EXP DATE     “
echo “—————————————————-“
while read penghuni
do
        AKUN=”$(echo $penghuni | cut -d: -f1)”
        ID=”$(echo $penghuni | grep -v nobody | cut -d: -f3)”
        exp=”$(chage -l $AKUN | grep “Account expires” | awk -F”: ” ‘{print $2}’)”
        create=”$(chage -l $AKUN | grep “Last password change” | awk -F”: ” ‘{print $2}’)”
        if [[ $ID -ge 1000 ]]; then
        printf “%-17s %2s %18s\n” “$AKUN” “$create” “$exp”
        fi
done < /etc/passwd
JUMLAH=”$(awk -F: ‘$3 >= 1000 && $1 != “nobody” {print $1}’ /etc/passwd | wc -l)”
echo “—————————————————–“
echo “Jumlah akun: $JUMLAH user”
echo “—————————————————–“

3. Blokir user menggunakan ssh tunnel

Jika kamu membuat server VPN dengan settingan yang ketat (misal server vpn hanya bisa mengakses server game online tertentu agar bandwidth irit) maka kamu perlu memblokir user untuk menggunakan ssh tunnel,karena walau tanpa shell user linux masih bisa login lewat protocol shh dan menggunakan tunnel,kalau sampai terjadi sama aja server VPN kita kecolongan.
Cara memblokir user linux menggunakan ssh protocol :
Jalankan perintah pico /etc/ssh/sshd_config
lalu tambahkan baris DenyUsers user1 user2 user3 user4 userdst   # kamu bisa memasukan user kesini dengan pemisah spasi sebanyak yang kamu mau dalam satu baris
Simpan dengan tombol CTRL+X lalu Y
Restart ssh service dengan perintah service ssh restart

4. Memonitor user VPN yang aktif

ini berguna untuk ngecek ada berapa user yang sedang aktif biar gak kecolongan kalau ada user yang uda abis masa aktif tapi msh bisa login karena kesalahan mesin atau kita.
jalankan perintah telnet 127.0.0.1 8443 (8443 adalah port yang ada di file config openvpn,pada baris management localhost 8443 kamu bisa merubah nya sesuka hati ) untuk menampilkan daftar perintah yang ada ketik help dan u ntuk keluar ketik exit