Digital Transformation

HSTS (HTTP Strict Transport Security)

Vito Atmo
Vito Atmo·14 Juni 2026·0 kali dibaca·2 min baca

TL;DR: HSTS (HTTP Strict Transport Security) adalah header HTTP yang memerintahkan browser untuk hanya terhubung ke sebuah situs melalui HTTPS. Setelah header ini diterima, browser akan otomatis menolak koneksi HTTP yang tidak aman selama periode yang ditentukan. Ini menutup celah di mana penyerang bisa membajak koneksi sebelum redirect ke HTTPS terjadi.

Apa itu HSTS?

HSTS adalah kebijakan keamanan yang dikirim server lewat header Strict-Transport-Security. Tanpa HSTS, kunjungan pertama ke http://situs.com sempat berjalan tanpa enkripsi sebelum diarahkan ke versi aman, dan celah singkat itu bisa dimanfaatkan. HSTS menutupnya dengan memaksa browser mengingat bahwa situs Anda wajib diakses lewat HTTPS saja.

Cara Kerja Singkat

Server mengirim header seperti:

Strict-Transport-Security: max-age=31536000; includeSubDomains

  • max-age menetapkan berapa lama (dalam detik) browser mengingat aturan ini, umumnya satu tahun.
  • includeSubDomains memperluas aturan ke semua subdomain.
  • preload (opsional) mendaftarkan domain ke daftar bawaan browser, sehingga HTTPS dipaksa bahkan pada kunjungan pertama.

Mekanisme dan daftar preload dijelaskan di dokumentasi MDN tentang Strict-Transport-Security.

Kenapa Penting?

Bagi website bisnis yang menangani login atau pembayaran, HSTS adalah standar keamanan dasar. Dari pengalaman menyiapkan situs klien, mengaktifkan HSTS biasanya cukup satu baris konfigurasi di server atau CDN, tapi efeknya menutup salah satu celah serangan jaringan yang paling klasik. Satu catatan penting: pastikan HTTPS benar-benar sudah stabil sebelum menyetel max-age panjang, karena aturan ini sulit dibatalkan dari sisi pengguna.

Pertanyaan Umum

Apakah HSTS menggantikan sertifikat SSL?

Tidak. HSTS justru mengandalkan HTTPS yang sudah aktif. Ia hanya memaksa browser memakai koneksi aman itu dan tidak menggantikan sertifikat SSL.

Apa risiko menyetel max-age terlalu panjang sejak awal?

Jika HTTPS bermasalah setelah aturan tersimpan, pengguna bisa terkunci dari situs Anda sampai masa max-age habis. Praktik aman adalah mulai dengan nilai kecil, pastikan semua berjalan, baru naikkan.

Bagikan