HSTS (HTTP Strict Transport Security) adalah protokol keamanan yang dirancang untuk melindungi koneksi antara browser dan server.
Protokol ini memaksa browser menggunakan HTTPS untuk semua komunikasi, sehingga mencegah serangan seperti man-in-the-middle.
Namun, ada situasi tertentu di mana Anda perlu menonaktifkan HSTS.
Misalnya, ketika sedang menguji server, memperbaiki kesalahan konfigurasi, atau mengakses domain yang tidak lagi mendukung HTTPS.
Artikel ini akan membahas langkah-langkah mudah untuk menonaktifkan HSTS.
Cara Menonaktifkan HSTS
Sekilas Tentang HSTS?
HSTS adalah singkatan dari HTTP Strict Transport Security. Protokol ini diterapkan melalui header khusus yang dikirim oleh server ke browser. Begitu diterapkan, browser akan selalu mengarahkan koneksi HTTP ke HTTPS secara otomatis.
Manfaat utama HSTS adalah meningkatkan keamanan situs web. Namun, protokol ini juga dapat menyebabkan masalah jika HTTPS tidak dikonfigurasi dengan benar, karena browser tidak akan mengizinkan koneksi HTTP.
Cara Menonaktifkan HSTS
Berikut adalah langkah-langkah praktis untuk menonaktifkan HSTS. Pilih metode yang sesuai dengan kebutuhan Anda.
1. Hapus Data HSTS di Browser
Browser menyimpan daftar domain dengan HSTS yang aktif. Anda bisa menghapus data ini untuk menonaktifkan HSTS.
Langkah-Langkah (Google Chrome):
- Buka Chrome dan ketik
chrome://net-internals/#hsts
di bilah alamat. - Masukkan nama domain di kolom “Delete domain security policies”.
- Klik “Delete” untuk menghapus pengaturan HSTS untuk domain tersebut.
Contoh: Jika domain Anda adalah example.com
, masukkan nama tersebut, lalu klik hapus. Setelah itu, coba akses ulang menggunakan HTTP.
2. Hapus Header HSTS di Server
Jika Anda memiliki akses ke server, hapus atau nonaktifkan pengaturan header HSTS.
Langkah-Langkah:
- Periksa file konfigurasi server Anda.
- Untuk Apache: Periksa file
.htaccess
atau konfigurasi virtual host. - Untuk Nginx: Periksa file konfigurasi server blok.
- Untuk Apache: Periksa file
- Cari header HSTS, biasanya terlihat seperti ini:arduinoSalin kode
Strict-Transport-Security: max-age=31536000; includeSubDomains
- Hapus atau komentari baris tersebut.
- Simpan perubahan dan restart server.
Catatan: Langkah ini tidak akan langsung menonaktifkan HSTS di browser. Anda juga perlu menghapus cache HSTS di browser (lihat langkah pertama).
3. Kurangi Masa Aktif HSTS (max-age)
Jika Anda ingin menonaktifkan HSTS secara bertahap, ubah nilai max-age
menjadi 0.
Langkah-Langkah:
- Ubah header HSTS pada server menjadi:arduinoSalin kode
Strict-Transport-Security: max-age=0
- Restart server agar perubahan berlaku.
- Browser akan menghapus cache HSTS setelah menerima header dengan
max-age=0
.
Contoh: Skenario ini berguna jika Anda ingin menghapus HSTS tanpa mengganggu koneksi HTTPS.
4. Perbarui Pengaturan di CDN
Jika Anda menggunakan layanan CDN seperti Cloudflare, HSTS mungkin diaktifkan dari panel kontrol CDN Anda.
Langkah-Langkah:
- Masuk ke dashboard CDN Anda.
- Cari pengaturan HSTS di bagian keamanan atau SSL.
- Nonaktifkan opsi HSTS.
- Simpan perubahan dan tunggu beberapa menit hingga propagasi selesai.
Tips: Pastikan untuk menghapus data HSTS di browser setelah melakukan perubahan ini.
5. Pastikan Domain Tidak Ada di Preload List
Beberapa domain mungkin sudah terdaftar di HSTS Preload List, yang dikelola oleh browser. Domain dalam daftar ini akan dipaksa menggunakan HTTPS oleh semua browser.
Beberapa domain mungkin sudah terdaftar di HSTS Preload List, yang dikelola oleh browser. Domain dalam daftar ini akan dipaksa menggunakan HTTPS oleh semua browser.
Periksa apakah domain Anda ada di daftar preload:
Periksa apakah domain Anda ada di daftar preload:
Buka situs HSTS Preload List.
ajukan permintaan untuk menghapus
Jika domain Anda terdaftar, ajukan permintaan untuk menghapusnya dengan mengikuti petunjuk di situs tersebut.
Proses Penghapusan
Proses penghapusan membutuhkan waktu beberapa minggu untuk berlaku di semua browser.
Uji Perubahan Anda
Setelah menonaktifkan HSTS, pastikan untuk menguji koneksi HTTP dan HTTPS.
Gunakan Alat Diagnostik
Gunakan alat seperti SSL Labs atau Chrome DevTools untuk memverifikasi header dan status HSTS.
FAQs
1. Apa risiko menonaktifkan HSTS?
Menonaktifkan HSTS dapat membuka potensi serangan seperti man-in-the-middle pada koneksi HTTP. Pastikan keputusan ini sesuai dengan kebutuhan Anda.
2. Apakah semua browser mendukung HSTS?
Ya, sebagian besar browser modern seperti Chrome, Firefox, dan Edge mendukung HSTS.
3. Bagaimana jika domain tetap menggunakan HTTPS meski HSTS dinonaktifkan?
Ini mungkin disebabkan oleh cache browser atau pengaturan lain, seperti CDN atau Preload List. Pastikan semua langkah telah diikuti.
Kesimpulan
Menonaktifkan HSTS membutuhkan beberapa langkah, tergantung situasi dan konfigurasi. Hapus data HSTS di browser, perbarui header di server, atau nonaktifkan di CDN.
Langkah ini perlu dilakukan dengan hati-hati untuk menghindari risiko keamanan. Pastikan untuk menguji setiap perubahan dan memonitor dampaknya pada koneksi situs Anda. Dengan panduan ini, Anda dapat menonaktifkan HSTS dengan mudah dan cepat.