10 Pelajaran Berharga Setelah Migrasi dari HTTP ke HTTPS/SSL

HTTP to HTTPS

Memasang SSL dan migrasi sepenuhnya dari HTTP ke HTTPS bukan hal yang mudah bagi saya. Bukan karena sulit instalasi, tetapi karena masalah-masalah yang muncul setelah install SSL.

Ya, Berbagai masalah muncul setelah memasang SSL. Ternyata ada banyak pelajaran yang wajib saya pedulikan setelah menggunakan protokol HTTPS.

Di post ini, saya harap pengalaman saya bisa membantu teman-teman blogger menghindari masalah-masalah tersebut.

Sebelumnya, kenapa saya tertarik dan repot-repot memigrasikan web dari HTTP ke HTTPS?

Ada tiga alasan kenapa saya memigrasikan semua web saya ke HTTPS.

Alasan pertama adalah karena Chrome memberikan flag insecure di address bar mereka sejak tanggal 1 Juli 2018.

Alasan kedua adalah karena google memasukan HTTPS sebagai salah satu sinyal SEO.

Alasan terakhir karena sertifikat SSL sekarang bisa didapatkan secara gratis melalui Let’s Encrypt atau CloudFlare.

Ternyata saya salah… 

Install SSL memang mudah, tetapi implikasinya tidak saya perhitungkan. Masalah-masalah muncul setelah install SSL, seperti web yang berantakan, duplicate content, dan paling seram adalah hilangnya beberapa halaman web dari SERP.

Karena itu, 10 poin berikut bisa membantu kamu menghindari masalah-masalah yang saya alami setelah install SSL.

1. Pasang SSL yang Legit

Tidak semua SSL dapat memberikan jaminan keamanan. Contohnya, Google telah mengumumkan bahwa mereka tidak akan mendukung SSL yang dikeluarkan Symentic. Itu termasuk brand Thawte, VeriSign, Equifax, GeoTrust, dan RapidSSL.

Bagaimana dengan Let’s Encrypt SSL?

Tentu, Let’s Encrypt SSL bukan SSL yang dikeluarkan Symentic. Kamu bisa bernafas lega. Tetapi bukan berarti Let’s Encrypt aman dari masalah. Lihat tabel berikut, di sana ditulis browser mana saja yang mendukung Let’s Encrypt.

Saya sendiri memakai Let’s Encrypt di blog ini. Kenapa? karena statistik menunjukan bahwa tidak ada pengunjung Pabelog yang memakai browser seperti yang ditunjukan tabel tersebut.

2. Update Link Asset

Katakanlah kamu sudah berhasil Install SSL. Apa selanjutnya?

Nah, yang akan kamu lihat adalah web yang berantakan. Ini karena aset seperti gambar, css, dan javascript tidak bekerja. Untuk memperbaikinya, kamu harus mengganti semua link aset tersebut dari protokol HTTP ke HTTPS.

Kabar baiknya, kamu tidak perlu mengganti link tersebut secara manual. Kamu bisa menggunakan script search and replace.

Upload script tersebut di root-domain, se-level dengan wp-content, wp-admin, dll. Kemudian exstract. Akses search and replace dengan alamat namadomain.com/cari.

Mengubah http ke https

Mengubah http ke https

Setelah berhasil, ini PENTING! hapus folder cari yang sudah di-upload tersebut.

3. Update Internal Link

Beruntung jika web kamu tidak berantakan setelah berhasil install SSL.

Artinya kenapa?

Karena web kamu bisa diakses dengan protokol HTTP dan HTTPS.

Tetapi, besar kemunkinan bahwa kamu mendapatkan flag insecure saat diakses dengan HTTPS. Selain insecure, web kamu juga terkena masalah content mismatch atau mixed content. Alasannya sama, karena internal link masih merujuk ke domain http.

Solusinya mudah, kamu hanya perlu install plugin Really Simple SSL. Aktivasi plugin, lalu masuk ke menu Setting > SSL untuk melakukan konfigurasi.

Konfigurasi Really Simple SSL

Konfigurasi Really Simple SSL

4. Test Semua Sebelum Redirect

Konfigurasi yang kamu lakukan dikatakan berhasil jika flag https pada address bar menunjukan warna hijau untuk semua halaman.

Flag HTTPS berwarna hijau di address bar

Flag HTTPS berwarna hijau di address bar

Selain cara manual, kamu juga bisa melakukan test menggunakan SSL labs.

5. Update Google Search Console & Analytics

Untuk menghindari duplicate content atau hilangnya dari SERP. Kamu wajib update Google Search Console (dulu bernama Google Webmaster Tools) dan Google Analytics.

Saya yakin, kamu sudah memakai Google Search Console. Karena SSL yang kamu install sudah berhasil dan valid, google tentu bisa mengakses baik http dan https.

Pada tahap ini jangan redirect HTTP ke HTTPS dahulu. Ini penting, karena kamu harus mendaftarkan baik HTTP dan HTTPS di Google Search Console. Dan yah, kamu tdak bisa mendaftarkan salah satu-nya jika sudah memasang redirection HTTP ke HTTPS.

Untuk Google Analytics, kamu tidak perlu membuat profile baru. Kamu hanya perlu meng-update alamatnya saja.

5. Jangan Lupa Redirect

Setelah berhasil menambahkan versi HTTP dan HTTPS di Google Search Console. Langkah selanjutnya yang harus kamu lakukan adalah melakukan redirect dari versi HTTP ke HTTPS.

kamu bisa melakukannya dengan cara update melalui .httaccess:

RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.NamaDomain.com/$1 [R,L]

Btw, saya sudah menulis tutorial lengkap cara redirect HTTP ke HTTPS.

Jangan lupa untuk mengganti WordPress Address dan Site Address dengan protokol https. Dengan cara masuk ke menu Settings > General.

6. Pilih Satu untuk Search Engine

Masih di Google Search Console. Langkah terakhir adalah memberitahu Google bahwa web kamu sebaiknya ditampilkan dengan HTTPS.

Caranya gampang, setelah masuk ke dashboard web Google Search Console. Di bagian kanan atas, klik icon gear. Lalu pilih change of address.

Pilih "Change of Address"

Pilih “Change of Address”

Terakhir, tinggal ikuti langkah-langkah selanjutnya dari Google Search Console.

8. AMP Ternyata Hanya Bisa HTTPS

Masalah saya sebelum install SSL adalah AMP. Saya tidak bisa membuat web saya mendukung AMP. Setelah membaca dokumentasi google, ternyata AMP hanya mendukung web yang sudah memasang SSL.

Sekarang kamu bisa install plugin AMP untuk membuat web kamu AMP ready.

9. Jangan Lupa Aktivasi HTTP/2

Tahukah kamu jika performa HTTP/2 bisa sepuluh kali lebih cepat dibanding HTTP/1.1?

Syarat pertama untuk aktivasi HTTP/2 adalah memakai SSL. Setelah memakai SSL kamu bisa meminta tolong tim bantuan hosting kamu untuk aktivasi HTTP/2.

Nah, jika kamu memakai Hawkhost, setelah install SSL, web kamu akan otomatis terinstall HTTP/2 juga.

Untuk melakukan test HTTP/2 kamu bisa menuju ke link berikut.

10. Tidak Ada Lagi Inject Iklan ISP

Saya yakin kamu pernah mengalami iklan pop-up tiba-tiba saat membuka halaman web. Pop-up itu muncul padahal kamu tidak memasang script iklan sekalipun.

Ya, terkadang ada ISP nakal yang meng-inject script iklan di web kita melalui jaringan mereka. Hal tersebut tentu buruk untuk user experience pengunjung web.

Kabar baiknya, ISP nakal tidak akan lagi bisa menginject script apapun di web yang memakai SSL. Inilah alasan kenapa sebaiknya kamu hanya perlu menghidupkan HTTPS saja.

**

Saya harap semoga 10 poin di atas bisa membantu kamu menghindari masalah-masalah yang sudah saya alami sebelumnya. Memang, migrasi HTTP ke HTTPS itu beresiko dan cukup merepotkan.

Tetapi untuk jangka panjang HTTPS akan sangat membantu. Seperti web yang lebih aman, performa yang meningkat, dan tentunya SEO friendly.

Dengan berbagai keunggulan HTTPS dan harganya yang bisa didapatkan dengan gratis. Menurut saya HTTPS bukan lagi sebuah opsi.

Jika kamu masih memiliki masalah atau pertanyaan, jangan sungkan untuk berkomentar. Saya akan dengan senang hati menjawabnya.

{ 6 comments… add one }
  • Nisa Nastiti 21/07/2018, 3:41 pm

    Selamat sore gan. File https://nos.wjv-1.neo.id/objects.cdn.pabelog.com/cari.zip tidak bisa di download.
    Terima Kasih kebetulan saya punya kasus sama.

  • Ade Roni 21/07/2018, 4:00 pm

    Kang file search and replace nya gak bisa di download.

  • keyoy 22/07/2018, 11:41 pm

    om kalau cloudflare https nya gimana bagus atau enggak ya? blog saya semua yang ganti https dengan cloudflare nyunsep trafik nya -_-

    • Nadiar AS 22/07/2018, 11:58 pm

      Secara teknikal, SSL cloudflare cukup bagus. Tetapi coba pertimbangkan ini:

      Untuk memakai Cloudflare universal SSL, kita harus melewati proxy Cloudflare.

      Which is…

      Jika kamu tipe orang yang tidak mau ambil pusing soal optimasi, Cloudflare SSL berarti tepat.

      Tetapi, jika kamu masih ingin otak-atik web / tuning web lebih jauh lagi. Sebaiknya jangan pakai Cloudflare. Memasang SSL Cloudflare hanya nambah kompleksitas.

      Soal trafik yang drop..

      Asal jangan pakai SSL yang dikeluarkan Symentic, seharusnya aman. Selanjutnya jangan lupa update alamat di Google Search Console. Pengalaman saya, trafiknya akan recovery 1-3 bulan.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.