Second Brain Notes

Capture what you’ve learned. Not just to teach others, but to remind yourself when the memory fades.

Stop Bilang SSL Kalau Maksudnya TLS

Belum lama ini saya melihat komentar seseorang di LinkedIn yang bilang:

“TLS. SSL is Dead”

Komentar itu sebenarnya sederhana, tapi cukup menohok. Karena ya memang benar dan mungkin sudah waktunya kita semua lebih sadar soal istilah ini. Saya lihat masih banyak orang (kadang termasuk saya sendiri), bahkan di industri teknologi yang bilang SSL, padahal yang dipakai sebenarnya sudah TLS. Vendor sertifikat juga masih menjual produknya dengan label SSL Certificate demi mudah dipahami kebanyakan orang, walau sebenarnya secara teknis sudah bukan SSL lagi.

Dulu HTTPS memang literally HTTP over SSL. SSL (Secure Sockets Layer) itu protokol enkripsi buat web di era 90-an.

  • SSL 2.0 keluar 1995
  • SSL 3.0 sekitar 1996

Tapi SSL punya celah keamanan. SSL 2.0 sudah deprecated sejak 1996. SSL 3.0 pun rentan terkena serangan POODLE. Browser modern sudah nggak mau mendukung koneksi prototokol SSL 3.0. Setelah SSL sudah dinilai tidak aman, lahirlah TLS (Transport Layer Security) sebagai penggantinya. TLS 1.0 sebenarnya bisa dibilang SSL 3.1 yang diperbaiki. Namun seiring berjalannya waktu TLS 1.0 dianggap rentan terhadap serangan seperti BEAST dan downgrade attack sehingga sekarang sudah deprecated atau tidak disarankan untuk digunakan. TLS 1.2 jadi standar aman yang umum digunakan sekarang, dan TLS 1.3 hadir lebih modern, cepat, dan lebih aman lagi. Hari ini, HTTPS yang kita gunakan sebenarnya adalah HTTP over TLS. Semua browser, server, dan client API melakukan TLS handshake bukan SSL handshake. Tapi kenapa orang masih bilang SSL? Karena kebiasaan, karena branding vendor, dan karena istilah SSL Certificate keburu populer, padahal yang dipakai sekarang adalah TLS 🙂

Kenapa sih harus repot-repot meluruskan istilah? Karena kalau kita salah sebut, itu bisa nutupin masalah yang sebenarnya penting. SSL yang lama itu sudah tidak aman dan deprecated. Server modern seharusnya cuma mengaktifkan TLS 1.2 atau 1.3. Kalau masih aktif SSLv2 atau SSLv3, itu malah membuka celah keamanan. Jadi penting buat bilang yang benar HTTPS itu HTTP over TLS, bukan SSL, supaya komunikasi lebih jelas, menghindari misleading dan praktik security kita juga lebih rapih. Kalau mau aman, bukan cuma koneksinya yang harus dienkripsi, tapi istilah kita juga harus diperbaiki. Yuk, mulai sekarang biasain bilang TLS 🙂

bayyuaji

Leave a comment