Arsip

Sertifikat SSL/TLS Untuk Semua Akun Hosting indoglobal.com

Dear pelanggan indoglobal.com,

Kami informasikan bahwa seluruh akun hosting di indoglobal.com akan dilengkapi dengan sertifikat SSL/TLS. Sertifikat kami berikan tanpa ada biaya tambahan dan dilakukan secara otomatis oleh sistem tanpa ada prosedur yang perlu dilakukan oleh pelanggan. Sistem kami akan secara otomatis mendaftarkan seluruh subdomain yang anda miliki ke dalam sertifikat. Sertifikat diterbitkan oleh CA Let’s Encrypt dan mendukung seluruh web browser terkemuka.

Saat ini kami terikat dengan aturan rate limit yang diterapkan oleh CA. Menurut estimasi kami, proses pendaftaran sertifikat baru akan selesai untuk seluruh pelanggan kami dalam satu bulan ke depan. Walaupun demikian, proses pendaftaran telah kami mulai kami lakukan sejak akhir bulan Desember 2015 lalu. Untuk itu silakan untuk mencoba mengakses situs web anda melalui https, karena ada kemungkinan situs anda saat ini sudah mendapatkan sertifikat. Bila situs anda belum mendapatkan sertifikat, dan anda membutuhkannya, silakan hubungi layanan pelanggan kami untuk mendapatkan prioritas pendaftaran sertifikat.

Untuk informasi lebih lanjut mengenai fitur ini, silakan untuk membaca halaman Sertifikat Let’s Encrypt pada dokumentasi kami.

Gunakan Kunci Ganda Pada Situs WordPress Anda

wordpress-lock

Dear pelanggan indoglobal.com,

Kami informasikan bahwa penyebab paling utama masalah keamanan situs web saat ini adalah penggunaan password yang lemah. Salah satu target utama yang menjadi incaran pembobol adalah situs web berbasis WordPress.

Kami mencoba melakukan eksperimen dengan cara menginstal WordPress dengan menggunakan username ‘admin’ dan password ‘admin’. Hasilnya, situs web bobol tidak lebih dari 3 jam.

Untuk itu kami menyarankan hal-hal tersebut ini:

  • Tidak menggunakan ‘admin’ sebagai username. Gunakan misalnya ‘admin321423’ atau ‘namasaya’. Mayoritas pembobol akan pertama kali mencoba ‘admin’ sebagai username.
  • Menggunakan password yang kuat. Gunakan kombinasi huruf besar, huruf kecil, angka dan tanda baca dalam membuat password anda.

Selain itu kami juga menyarankan untuk menggunakan kunci ganda. Suntinglah file .htaccess dan tambahkan baris-baris di bawah ini:

<Files "wp-login.php">
Require valid-user
</Files>

Dengan cara ini, jika anda mencoba untuk login, maka anda akan ditanya password tambahan melalui HTTP authentication. Gunakan alamat email apa saja pada akun anda untuk login, dengan password email tersebut.

Untuk informasi lebih lanjut mengenai HTTP authentication, silakan lihat topik dokumentasi kami Otentikasi HTTP.

Celah Keamanan POODLE

poodle

Sebuah bug telah ditemukan pada protokol SSL versi 3.0. Bug ini dapat dimanfaatkan untuk melakukan intersepsi data antara web browser dan server. Bug ini dapat dieksploitasi jika server mendukung SSLv3 dan penyerang memiliki akses untuk melihat traffic antara server dan web browser.

Masalah ini tidak seserius celah keamanan Heartbleed, namun tetap membutuhkan penanganan.

Saat ini kami telah merespon masalah ini dengan mematikan protokol SSL versi 3. Kemungkinan besar tidak ada masalah berarti dengan dimatikannya protokol ini, karena web browser terakhir yang membutuhkan SSLv3 adalah Microsoft Internet Explorer 6.0 yang dirilis pada tahun 2001. Saat ini pengguna IE6 sudah berada di bawah angka 0.01% dan jumlahnya tidak lagi signifikan.

Kami perkirakan dalam beberapa hari lagi mayoritas situs web di Internet juga akan mematikan SSLv3. SSLv3 merupakan versi terakhir dari protokol SSL, dan ini menandakan berakhirnya era protokol SSL dan digantikan dengan protokol TLS.

Injected Javascript pada Telkom Speedy

Dear pelanggan indoglobal.com,

Saat ini kami mendapat mendapat laporan bahwa ada yang melakukan penyisipan kode Javascript pada setiap halaman HTML, walaupun kode HTML di server tidak berubah. Kami informasikan bahwa penyisipan tersebut tidak dilakukan oleh indoglobal.com. Besar kemungkinan aksi ini dilakukan oleh Telkom Speedy atau ISP lain yang anda gunakan.

Mulai beberapa hari terakhir ini, Telkom Speedy melakukan penyisipan kode Javascript pada setiap halaman HTML yang didownload oleh pengguna. Berikut adalah perbedaan dalam format diff antara halaman HTML asli dan halaman HTML yang sama jika didownload melalui Telkom Speedy:

--- speedy-orig.html    2014-10-01 16:49:42.079000053 +0700
+++ speedy.html 2014-10-01 16:54:18.444740918 +0700
@@ -934,5 +934,5 @@
 _WidgetManager._RegisterWidget('_NavbarView', new _WidgetInfo('Navbar1', 'navbar', null, document.getElementById('Navbar1'), {}, 'displayModeFull'));
 _WidgetManager._RegisterWidget('_BlogView', new _WidgetInfo('Blog1', 'main', null, document.getElementById('Blog1'), {'cmtInteractionsEnabled': false, 'lightboxEnabled': true, 'lightboxModuleUrl': 'https://www.blogger.com/static/v1/jsbin/2838879091-lbx.js', 'lightboxCssUrl': 'https://www.blogger.com/static/v1/v-css/2392111094-lightbox_bundle.css'}, 'displayModeFull'));
 </script>
-</body>
+<script type="text/javascript">if(self==top){var idc_glo_url = (location.protocol=="https:" ? "https://" : "http://");var idc_glo_r = Math.floor(Math.random()*99999999999);document.write("<scr"+"ipt type=text/javascript src="+idc_glo_url+ "cfs.u-ad.info/cfspushadsv2/request");document.write("?id=1");document.write("&amp;enc=telkom2");document.write("&amp;params=" + "4TtHaUQnUEiP6K%2fc5C582NgXaqsgjSGNs3lbIXWj8KAI9hZxx17Sb3fuELjDJZUfbvZ3LPn7%2bWvUU6xjnS%2b6MeNqHEzu8L4USEMTnyDMakWORBj49qHxFeircI5pPmryGvF7Zi5O78lNgsFlyAZZFrPkW6x0eLoObosK7H5dgaGD7M0%2fyBNpuRE%2burYg9mLNuNxNpTZmszvbFliQPEu2Cqk39ZStJpWgtnfg4m%2byEA10ghTfOaVdLgR7zNdjDy9QI9U7FsRgQhfd3l3cR34Zq0iuWMXrNTFbYe86KMFH3GQ%3d");document.write("&amp;idc_r="+idc_glo_r);document.write("&amp;domain="+document.domain);document.write("&amp;sw="+screen.width+"&amp;sh="+screen.height);document.write("></scr"+"ipt>");}</script><noscript>activate javascript</noscript></body>
 </html>

Praktik semacam ini juga dilakukan ISP lain seperti Telkomsel atau XL.

Untuk melakukan pengaduan atas masalah ini, kami sarankan untuk menghubungi langsung pihak Telkom Speedy atau ISP lain yang anda gunakan.

Dari sisi pemilik situs web, anda juga bisa mencegah situs anda diinjeksi Javascript oleh ISP dengan cara menggunakan HTTPS.

Update: Kami mendapat informasi bahwa praktik ini sudah dilakukan sejak tahun lalu, namun sebelumnya tidak semua pelanggan mendapat Javascript injection seperti ini.

Keamanan Tambahan Bagi CMS Anda Dengan HTTP Authentication

Sebagai provider hosting, server-server kami menerima serangan secara periodik. Salah satu jenis serangan yang paling populer adalah ‘brute force attack’.

Pada ‘brute force attack’, penyerang melakukan percobaan login secara berkali-kali dengan username dan password yang umum digunakan, dengan tujuan untuk mengetahui username dan password yang kita gunakan.

Salah satu target serangan yang populer adalah URL login, misalnya wp-login.php pada CMS WordPress atau /administrator/index.php pada Joomla. Berdasarkan perhitungan kami, setiap detik ada saja yang mengakses URL-URL tersebut.

Continue reading

Mengapa indoglobal.com Tidak Merekomendasikan Sertifikat SSL / TLS Validasi Organisasi

Pada halaman Sertifikat SSL/TLS dan juga pada formulir pemesanan, kami tidak memasukkan sebagian besar sertifikat dengan validasi organisasi ke dalam rekomendasi kami. Berikut adalah alasan kami.

Berdasarkan teori, sertifikat dengan validasi organisasi lebih aman karena lebih sulit bagi pihak lain yang berniat jahat untuk mendaftarkan sertifikat ini. Pihak penerbit (CA) akan melakukan validasi dengan meminta bukti-bukti legalitas perusahaan. Jika pendaftar tidak dapat memberikan syarat-syarat tersebut, penerbit akan menolak pendaftaran.

Continue reading

Produk Sertifikat SSL/TLS Multi-Domain dan Update Halaman Pemesanan Sertifikat SSL/TLS

Untuk melayani dengan lebih baik lagi, saat ini kami telah menyediakan produk-produk sertifikat SSL/TLS multi-domain. Sertifikat jenis ini menggunakan field ‘Subject Alt Names’ (SAN) untuk mendukung beberapa hostname dalam satu sertifikat. Sertifikat ini akan valid untuk beberapa hostname sekaligus.

Selain itu kami juga telah melakukan pembaharuan terhadap halaman pemesanan SSL/TLS kami sehingga lebih mudah untuk digunakan. Pemesan dapat melakukan filter terhadap jenis sertifikat yang dikehendaki dan sistem akan secara otomatis menampilkan produk-produk sertifikat yang memenuhi kriteria saja.

Celah Keamanan Shell Shock

Shell Shock

Dear pelanggan indoglobal.com,

Pada hari Rabu malam pukul 22.30, RedHat mengeluarkan update untuk bash. Ternyata ada masalah keamanan yang sangat serius dari bash. Bash adalah shell yang paling populer di Linux, dan juga komponen yang paling penting karena juga berfungsi sebagai /bin/sh.

Terkadang pengguna tidak menyadari pentingnya komponen ini karena seringkali digunakan secara implisit, misalnya pada system call popen() atau system(). Pada PHP, /bin/sh juga digunakan secara implisit pada fungsi exec(), passthru(), shell_exec(), system(), popen() dan mungkin yang lainnya.

Tim indoglobal.com langsung melakukan update terhadap seluruh server kami. Celah keamanan ini sangat serius karena berpotensi dimanfaatkan secara remote, tanpa perlu login ke sistem.

Namun dalam beberapa jam kembali ada kabar buruk. Ternyata update tersebut memiliki efek samping dan menimbulkan celah keamanan yang lain. Dan mungkin karena timing yang kurang pas, celah keamanan yang kedua ini belum ada updatenya dari sebagian besar vendor besar.

Untuk itu, tim indoglobal.com mengambil inisiatif untuk melakukan sendiri perbaikan bash tanpa menunggu update dari RedHat, vendor sistem operasi yang kami gunakan. Pada Kamis, 25 September 2014, sekitar pukul 14.00 kami berhasil melakukan sendiri patch. Dan dari percobaan yang kami lakukan, perbaikan ini bisa mengatasi masalah celah keamanan yang terjadi.

Sedangkan untuk sistem lama, kami belum berhasil melakukan perbaikan terhadap celah keamanan yang kedua ini. Solusinya kini kami menggunakan zsh sebagai /bin/sh dan mengubah shell pengguna menjadi zsh.

Sampai saat ini (Jumat, 26 September 2014, pukul 01.30 dinihari) kami masih belum menerima update dari RedHat. Namun berdasarkan pengamatan kami, server kami dan akun pelanggan-pelanggan kami sudah dalam kondisi yang aman sejak siang Kamis kemarin, sangat jauh lebih cepat daripada server hosting lain pada umumnya. Kami akan kembali melakukan update jika RedHat sudah merilis perbaikannya.

Kami merilis informasi ini karena dalam beberapa jam terakhir, masalah ini mulai ramai dibahas di media massa. Celah keamanan ini dinamai Shell Shock, dan mungkin berpotensi menyamai popularitas Heartbleed beberapa bulan yang lalu.

Pelanggan kami tidak perlu kuatir, karena berdasarkan investigasi kami, tidak ada masalah keamanan yang sempat timbul akibat celah keamanan ini. Namun jika pelanggan merasa ada masalah pada akunnya, akibat celah keamanan, atau karena inkompatibilitas dengan perbaikan yang kami lakukan, silakan untuk segera menghubungi tim dukungan teknis kami.

(Gambar ilustrasi dari Symantec)

Mengatasi Penyisipan Iklan Oleh ISP Dengan SSL

Dear pelanggan indoglobal.com,

Satu masalah yang sangat mengganggu pengguna Internet di Indonesia akhir-akhir ini adalah semakin banyaknya ISP yang melakukan HTML injection. Terkadang saat kita mengakses sebuah situs web, akan tampil iklan dari ISP, atau bahkan akan di-redirect ke halaman iklan satu halaman penuh (interstitials). Tentunya hal ini sangat mengganggu aktivitas ber-Internet.

telkomseladpop

Masalah ini biasa disebut oleh kalangan security dengan serangan man in the middle (MITM). Perbedaannya, hal ini dilakukan oleh ISP kita sendiri, bukan oleh penjahat yang tak kita kenal.

Namun tahukah anda bahwa masalah tersebut dapat dicegah dari sisi web server dengan menggunakan HTTPS? HTTPS adalah enkripsi end-to-end antara web server dan web browser yang digunakan oleh pengguna. ISP nakal tidak akan lagi dapat memodifikasi kode HTML di tengah jalan.

Dengan HTTPS, kenyamanan berselancar di sisi pengakses menjadi terjamin. Dan anda sebagai pengelola situs tidak perlu kehilangan traffic akibat ulah tak terpuji dari ISP nakal.

Untuk menjadikan situs anda bisa diakses melalui HTTPS, indoglobal.com menyediakan beberapa produk sertifikat SSL dari beberapa perusahaan certificate authority terkemuka. Untuk daftar produk yang kami miliki, silakan lihat produk-produk sertifikat SSL/TLS rekomendasi kami.

Untuk prosedur pembelian dan instalasi, silakan lihat beberapa topik dari Panduan berikut ini:

Jika anda menggunakan akun hosting premium dari indoglobal.com dan melakukan pemesanan sertifikat SSL di kami, kami akan melakukan bantuan instalasi tanpa biaya tambahan.

Heartbleed: Celah Keamanan OpenSSL

heartbleed

Dear pelanggan indoglobal.com,

Pada awal bulan April ini telah ditemukan celah keamanan yang sangat serius pada library OpenSSL. Dinamai ‘heartbleed’, celah keamanan ini bisa dieksploitasi secara remote tanpa perlu login ke sistem.

Kami informasikan kepada pelanggan kami bahwa kami telah melakukan update terhadap masalah ini, dan kini sistem kami aman dari celah keamanan ini.

Dari investigasi yang kami lakukan, kami tidak menemukan masalah keamanan yang diakibatkan oleh Heartbleed.

Namun jika pelanggan merasa mengalami masalah yang mungkin berhubungan dengan celah keamanan ini, silakan untuk menghubungi tim teknis kami melalui Area Klien.