FaizBlog LogoFaizBlog
Back to all articles
NetworkingWebSecurityHTTPSTutorial

Perbedaan HTTP dan HTTPS: Kenapa Huruf S Itu Penting

Bedah tuntas HTTP vs HTTPS — enkripsi TLS, sertifikat SSL, TLS handshake, dampaknya ke SEO dan keamanan, mitos umum, dan panduan migrasi HTTP ke HTTPS di 2026.

AI Insights

Generate a summary and suggested tags for this post.

Kalau kamu perhatikan address bar browser, sebagian website diawali http:// dan sebagian lagi https://. Cuma beda huruf S, tapi implikasinya besar — mulai dari keamanan data, ranking Google, sampai apakah browser mau menampilkan situsmu tanpa peringatan "Not Secure".

Artikel ini membahas tuntas: apa itu HTTP dan HTTPS, cara kerjanya, apa yang sebenarnya berubah dengan huruf S itu, dan kenapa di tahun 2026 tidak ada alasan lagi untuk pakai HTTP polos.

1. Apa Itu HTTP?

HTTP = HyperText Transfer Protocol. Ini protokol yang dipakai browser dan server web untuk saling bicara sejak awal 90-an.

Kerjanya sederhana:

  1. Browser mengirim request"Aku minta halaman /tentang.html dari contoh.com."
  2. Server mengirim response — biasanya HTML, plus status code seperti 200 OK, 404 Not Found, 500 Server Error.

HTTP jalan di atas TCP, umumnya di port 80. Datanya dikirim dalam bentuk teks biasa — dan di situlah masalahnya muncul.

2. Apa Itu HTTPS?

HTTPS = HTTP Secure. Sama seperti HTTP di sisi request/response, tapi seluruh komunikasi dienkripsi menggunakan TLS (dulu SSL).

Beberapa fakta dasarnya:

  • Port default: 443, bukan 80.
  • Butuh sertifikat SSL/TLS dari CA (Certificate Authority) yang dipercaya browser.
  • Data yang lewat di jaringan berupa teks acak — walau disadap, isinya tidak terbaca.

Jadi HTTPS bukan protokol baru — dia HTTP yang dibungkus dengan lapisan enkripsi TLS.

HTTP     : Browser  <── teks biasa ──>  Server
HTTPS    : Browser  <== TLS terenkripsi ==>  Server

3. Perbedaan Utama HTTP vs HTTPS

Kalau harus diringkas dalam satu tabel:

AspekHTTPHTTPS
EnkripsiTidak adaAda (TLS)
Port default80443
SertifikatTidak butuhWajib punya
KecepatanSedikit lebih cepat dulu, sekarang HTTPS setara/lebih cepat berkat HTTP/2 & HTTP/3Sama atau lebih cepat
Label di browser"Not Secure"Ikon gembok
SEOKurang disukai GoogleFaktor ranking positif
Cocok untukNyaris tidak ada di 2026Semua website

Tiga poin yang paling sering ditanya:

a. Enkripsi & privasi

Di HTTP, siapa pun yang duduk di jaringan yang sama (Wi-Fi publik, ISP, admin kantor) bisa membaca request dan response — termasuk password, cookie session, isi form.

Di HTTPS, mereka hanya lihat: "komputer A bicara dengan contoh.com". Isi percakapan? Terkunci.

2. Integritas data

Di HTTP, seseorang di tengah bisa mengubah paket yang lewat — misalnya menyisipkan iklan atau skrip berbahaya ke halaman yang kamu buka. Ini pernah dilakukan ISP secara terang-terangan (menyisipkan banner iklan ke situs pihak ketiga).

Di HTTPS, setiap perubahan pada data akan mematahkan MAC/tanda tangan TLS, dan koneksi diputus.

c. Autentikasi

HTTPS memaksa server membuktikan identitasnya lewat sertifikat. Jadi kamu tahu situs yang kamu buka memang milik bank-mu.com, bukan tiruan yang menyamar.

HTTP tidak punya mekanisme ini — teoritis, ada yang bisa menyamar jadi server tujuan.

4. Cara Kerja HTTPS: TLS Handshake

Sebelum request pertama dikirim di HTTPS, browser dan server melakukan TLS handshake. Ringkasannya:

  1. Client Hello — browser bilang: "Aku dukung versi TLS ini, cipher suite ini, ini random-ku."
  2. Server Hello + Certificate — server pilih cipher, kirim sertifikat SSL-nya.
  3. Verifikasi sertifikat — browser mengecek: sertifikat masih valid? Diterbitkan CA terpercaya? Nama cocok dengan domain? Tidak di-revoke?
  4. Key exchange — dua pihak menghasilkan session key bersama (biasanya via ECDHE), tanpa harus mengirim key itu lewat jaringan.
  5. Finished — mulai sekarang, semua traffic HTTP dienkripsi dengan session key tadi.

Setelah handshake, HTTPS berjalan sama cepatnya dengan HTTP (bahkan sering lebih cepat, karena HTTPS syarat wajib untuk HTTP/2 & HTTP/3).

5. Sertifikat SSL: dari Mana Datangnya?

Kamu butuh sertifikat untuk pakai HTTPS. Ada dua jalur populer:

  • Let's Encrypt — CA gratis dan otomatis, dipakai jutaan website. Sertifikat valid 90 hari, otomatis di-renew oleh tool seperti Certbot.
  • CA berbayar — DigiCert, Sectigo, GlobalSign. Umum dipakai perusahaan yang butuh sertifikat OV (Organization Validation) atau EV (Extended Validation) dengan validasi legal yang lebih ketat.

Untuk kebanyakan website — blog, portofolio, aplikasi SaaS — Let's Encrypt sudah lebih dari cukup. Hosting modern (Vercel, Netlify, Cloudflare, Lovable, dll) bahkan mengurusnya otomatis tanpa kamu perlu tahu Certbot.

6. Kenapa Sekarang Wajib HTTPS?

Beberapa alasan konkret:

Browser sudah "menghukum" HTTP.
Chrome, Firefox, Safari menampilkan label "Not Secure" di address bar untuk semua situs HTTP. Form login di situs HTTP bahkan diwarnai merah.

Google jadikan HTTPS sinyal ranking.
Sejak 2014 HTTPS jadi faktor ranking. Website HTTP praktis sulit bersaing di SERP.

Fitur web modern butuh HTTPS.
Service Worker, PWA, Geolocation, Web Push, HTTP/2, HTTP/3, WebAuthn — semuanya menolak jalan di HTTP kecuali localhost.

Regulasi & standar.
PCI-DSS (kartu kredit), GDPR, ISO 27001 — semua mengharuskan enkripsi data in transit.

Gratis.
Let's Encrypt + hosting modern = HTTPS otomatis, tanpa biaya. Argumen "HTTPS mahal" sudah tidak berlaku sejak 2016.

7. Mitos yang Sering Salah

"HTTPS bikin website lambat."
Dulu iya, sedikit. Sekarang dengan TLS 1.3, session resumption, dan HTTP/2/3, HTTPS lebih cepat daripada HTTP polos dalam banyak skenario.

"Website statis nggak butuh HTTPS, kan cuma nampilin info."
Salah. HTTP masih rawan content injection oleh ISP/Wi-Fi publik. Ditambah label "Not Secure" langsung menurunkan trust.

"Ada gembok = pasti aman."
Gembok cuma berarti koneksinya aman. Situs phishing juga bisa punya sertifikat Let's Encrypt. Tetap cek nama domain di address bar.

"HTTPS mengenkripsi semuanya."
URL host (contoh.com) tetap terlihat di lapisan bawah (SNI) — meski isi request/response tersembunyi. Solusi lebih tertutup: ESNI/ECH, tapi belum umum di semua jaringan.

8. Cara Migrasi dari HTTP ke HTTPS

Kalau kamu punya website HTTP dan mau pindah:

  1. Pasang sertifikat SSL (Let's Encrypt lewat Certbot, atau lewat panel hosting).
  2. Aktifkan HTTPS di web server (Nginx/Apache/Caddy) atau di panel hosting.
  3. Redirect 301 semua HTTP → HTTPS. Contoh Nginx:
    server {
      listen 80;
      server_name contoh.com;
      return 301 https://$host$request_uri;
    }
  4. Perbaiki mixed content. Semua URL gambar, CSS, JS internal harus https:// (atau relatif). Kalau ada satu resource HTTP di halaman HTTPS, browser tetap tampilkan peringatan.
  5. Update canonical URL & sitemap.xml ke versi HTTPS.
  6. Tambahkan property HTTPS di Google Search Console dan submit ulang sitemap.
  7. Aktifkan HSTS setelah stabil — Strict-Transport-Security header memaksa browser selalu pakai HTTPS untuk domain kamu.

9. Ringkasan Cepat

  • HTTP = protokol web yang mengirim data tanpa enkripsi.
  • HTTPS = HTTP yang dibungkus TLS — data dienkripsi, integritas terjaga, identitas server terverifikasi.
  • HTTPS pakai port 443, butuh sertifikat SSL (Let's Encrypt gratis).
  • Browser modern menandai HTTP sebagai "Not Secure".
  • HTTPS = wajib untuk SEO, fitur web modern, dan kepercayaan pengguna.
  • Migrasi HTTP → HTTPS di 2026 = pasang sertifikat, redirect 301, benerin mixed content, aktifkan HSTS.

Kalau kamu masih menjalankan website di HTTP polos, prioritas hari ini adalah memindahkannya ke HTTPS. Tools-nya gratis, dokumentasinya melimpah, dan tidak ada trade-off nyata — hanya keuntungan.