Home Ancaman & Malware Cloud Security Forensik Digital Internet of Things Karier & Sertifikasi Keamanan Jaringan Keamanan Web Linux & Server Pengujian Keamanan Perlindungan Data Privasi & Anonimitas Tools & Software Search
Home » Keamanan Web » Cara Pasang SSL Gratis di Website — HTTPS untuk Semua dalam ...

Cara Pasang SSL Gratis di Website — HTTPS untuk Semua dalam 10 Menit

By Posted on 234 views
Ilustrasi cara pasang SSL gratis dengan gembok hijau HTTPS di address bar website yang menandakan koneksi terenkripsi dan aman menggunakan Encrypt

Cara Pasang SSL Gratis di Website — HTTPS untuk Semua dalam 10 Menit

Pertengahan tahun 2022, seorang teman blogger curhat ke saya. Blog resep masakannya yang udah jalan 3 tahun tiba-tiba trafiknya turun drastis. Padahal konten tetap rajin, SEO on-page udah oke, backlink juga lumayan. “Coba cek blog kamu pakai Chrome,” kata saya. Dia buka blognya, dan di address bar muncul tulisan merah menyala: “Not Secure.” Ternyata sejak Chrome update, semua website HTTP mulai dikasih label ini — dan pengunjung mulai takut. Apalagi blog resepnya punya form komentar dan newsletter subscription. Orang mikirnya: “Kalau Not Secure, data saya aman nggak ya?” Dan mereka pun pergi. Cara pasang SSL gratis ternyata bukan sekadar urusan teknis — ini soal kepercayaan pengunjung dan keberlangsungan bisnis online kamu.

Setelah kejadian itu, saya bantu teman saya setup SSL hanya dalam 15 menit lewat Encrypt. Hasilnya? Dalam 2 bulan, trafik organiknya naik hampir 40%. Gembok hijau kecil di address bar ternyata punya dampak psikologis yang besar — pengunjung lebih berani subscribe, lebih berani komen, dan Google lebih suka nampilin di hasil pencarian. Bahkan bounce rate-nya turun signifikan karena visitor nggak langsung kabur begitu lihat warning.

Nah, di artikel ini saya akan tunjukin cara pasang SSL gratis step-by-step — dari yang paling gampang (satu klik di hosting) sampai yang agak teknis (Certbot di server VPS). Semua metode GRATIS. Kamu bisa pilih sesuai level kenyamanan teknis kamu.

Disclaimer: Artikel ini untuk edukasi. Semua tools dan metode yang disebutkan legal dan digunakan untuk melindungi website kamu sendiri dengan enkripsi yang benar.

Kenapa HTTPS Itu Wajib, Bukan Lagi Opsional?

Dulu, sekitar 2015-2017, HTTPS identik dengan website e-commerce atau perbankan. Kalau kamu cuma punya blog atau portofolio, HTTP aja cukup. Tapi zaman sudah berubah drastis, dan sekarang HTTPS adalah standar minimal — bukan kemewahan.

1. Google Ranking Factor

Sejak 2014, Google secara resmi menggunakan HTTPS sebagai ranking signal. Artinya, website dengan HTTPS mendapat sedikit keunggulan di hasil pencarian dibanding website HTTP — dengan asumsi semua faktor SEO lainnya setara. Di niche yang kompetitif, perbedaan kecil ini bisa jadi penentu halaman 1 atau halaman 2.

2. Browser Warning “Not Secure”

Mulai Chrome 68 (Juli 2018), semua website HTTP ditandai “Not Secure” di address bar. Firefox, Safari, dan Edge mengikuti. Efek psikologis label ini ke pengunjung sangat nyata — berbagai survey menunjukkan mayoritas user akan meninggalkan website yang ditandai tidak aman, terutama kalau diminta ngisi form.

3. Data Encryption

HTTPS mengenkripsi semua data yang dikirim antara browser pengunjung dan server kamu. Tanpa enkripsi, data yang dikirim lewat form — termasuk password, email, data pribadi — bisa dicegat oleh siapa saja di jaringan yang sama (misalnya di WiFi publik kafe atau bandara).

4. Kepercayaan Pengunjung

Gembok hijau di address bar adalah sinyal visual bahwa website kamu bisa dipercaya. Pengunjung yang merasa aman lebih cenderung berinteraksi: subscribe newsletter, isi form kontak, atau melakukan pembelian.

5. Fitur Modern Browser

Banyak fitur web modern — seperti geolocation, service worker (PWA), HTTP/2, Brotli compression — hanya berfungsi di HTTPS. Kalau websitemu masih HTTP, kamu ketinggalan secara teknis dan nggak bisa memanfaatkan teknologi web terbaru.

SSL/TLS Dijelaskan dengan Simpel

Sebelum praktik, kita perlu ngerti dulu apa yang kita pasang. Nggak perlu dalem-dalem, cukup konsep dasarnya.

SSL (Secure Sockets Layer) dan penggantinya TLS (Transport Layer Security) adalah protokol enkripsi yang menciptakan koneksi aman antara browser dan web server. Prosesnya (disebut TLS handshake) kira-kira begini:

  1. Browser bilang “halo” ke server dan bilang cipher suite apa yang dia support.
  2. Server kirim sertifikat SSL yang berisi public key dan informasi identitas domain.
  3. Browser verifikasi sertifikat — apakah diterbitkan oleh Certificate Authority (CA) yang terpercaya? Apakah domainnya cocok? Apakah masih berlaku?
  4. Browser dan server sepakat session key untuk enkripsi simetris selama session tersebut.
  5. Semua data dienkripsi dengan session key tersebut — cepat dan aman.

Proses ini terjadi dalam hitungan milidetik setiap kali pengunjung membuka halaman HTTPS.

Metode 1: SSL Gratis dari Encrypt via Certbot

Encrypt adalah Certificate Authority nonprofit yang menyediakan sertifikat SSL gratis, otomatis, dan terbuka. Hampir 300 juta website di seluruh dunia pakai Encrypt, dan sertifikatnya diterima oleh semua browser modern.

Prasyarat

  • Server dengan akses SSH (root atau sudo)
  • Web server sudah terpasang (Nginx atau Apache)
  • Domain sudah mengarah ke IP server (DNS A record)
  • Port 80 dan 443 terbuka di firewall

Step-by-Step untuk Ubuntu + Nginx

1. Update sistem dan install Certbot:

sudo apt update
sudo apt install certbot python3-certbot-nginx -y

2. Dapatkan sertifikat:

sudo certbot --nginx -d websitemu.com -d www.websitemu.com

Certbot akan otomatis:

  • Verifikasi bahwa kamu memiliki kontrol atas domain tersebut (lewat HTTP challenge)
  • Generate sertifikat SSL
  • Update konfigurasi Nginx untuk pakai HTTPS dan listen di port 443
  • Reload Nginx tanpa downtime

3. Verifikasi:

Buka https://websitemu.com. Seharusnya sudah muncul gembok hijau. Tes juga https://www.websitemu.com untuk memastikan redirect www berfungsi.

Untuk Ubuntu + Apache

sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d websitemu.com -d www.websitemu.com

Setup Auto-Renewal

Sertifikat Encrypt berlaku 90 hari. Tapi Certbot otomatis bikin cron job atau systemd timer untuk renewal. Verifikasi bahwa auto-renewal berfungsi:

sudo certbot renew --dry-run

Kalau outputnya sukses tanpa error, auto-renewal sudah berfungsi. Sertifikat akan diperpanjang otomatis 30 hari sebelum kadaluarsa. Kamu bisa cek timer-nya dengan:

systemctl list-timers | grep certbot

Metode 2: SSL Gratis dari Cloudflare (Paling Gampang)

Metode ini jauh lebih gampang — kamu nggak perlu install apapun di server. Cloudflare akan jadi reverse proxy antara pengunjung dan server kamu, menyediakan SSL di sisi pengunjung.

Step-by-Step Cloudflare SSL

1. Daftar Cloudflare di cloudflare.com (gratis).

2. Tambahkan website kamu dan scan DNS records.

3. Ganti nameserver domain ke nameserver Cloudflare (dapat 2 alamat). Propagasi biasanya 1-24 jam, tapi sering kali lebih cepat.

4. Setelah aktif, buka SSL/TLS → Overview.

Pilih mode enkripsi:

  • Flexible: Enkripsi browser-ke-Cloudflare. Cloudflare-ke-server tetap HTTP. Cuma cocok untuk testing — jangan untuk production.
  • Full: Enkripsi end-to-end. Cloudflare akan menerima self-signed certificate dari server. Rekomendasi minimal.
  • Full (Strict): Sama kayak Full, tapi sertifikat server harus valid (dari CA terpercaya atau Cloudflare Origin CA). Paling aman, ini yang saya rekomendasikan.

5. Aktifkan “Always Use HTTPS” di Edge Certificates. Ini memaksa semua traffic HTTP redirect ke HTTPS.

6. Aktifkan “Automatic HTTPS Rewrites” untuk bantu memperbaiki mixed content otomatis.

Selesai. Website kamu sekarang HTTPS.

Kelebihan Metode Cloudflare

  • Nggak perlu akses SSH atau skill teknis. Semua dari web dashboard.
  • Satu klik.
  • Dapat CDN global (lebih cepat), DDoS protection, dan WAF sekaligus.
  • Sertifikat auto-renewal tanpa konfigurasi.

Kekurangan

  • Traffic lewat Cloudflare (ada implikasi privasi data dan kepatuhan regulasi)
  • Kalau Cloudflare down (jarang tapi pernah terjadi), website kamu ikut tidak bisa diakses
  • Mode Flexible kurang aman karena setengah jalan masih HTTP

Metode 3: SSL Gratis dari cPanel Hosting

Kalau kamu pakai shared hosting dengan cPanel (Niagahoster, Hostinger, Rumahweb, Dewaweb, dll.), sebagian besar sudah menyediakan fitur SSL gratis satu klik lewat AutoSSL atau Encrypt integration.

Step-by-Step di cPanel

1. Login ke cPanel hosting kamu.

2. Cari menu “SSL/TLS Status” atau “Encrypt SSL” atau “AutoSSL”.

3. Pilih domain yang ingin dipasang SSL. Centang include www subdomain.

4. Klik “Install” atau “Run AutoSSL”.

5. Tunggu beberapa menit. Sistem akan otomatis generate, validasi, dan install sertifikat.

6. Verifikasi dengan membuka https://domainmu.com.

Kalau hostingmu belum support Encrypt, kontak support mereka — biasanya mereka bisa mengaktifkan atau memberi alternatif. Beberapa hosting seperti Hostinger punya fitur “SSL” di hpanel yang juga satu klik.

Setelah SSL Terpasang: Langkah Wajib Berikutnya

Pasang SSL itu langkah pertama. Tapi masih ada beberapa hal yang harus kamu lakukan supaya HTTPS-mu benar-benar optimal dan nggak setengah-setengah.

1. Force HTTPS — Redirect Semua HTTP ke HTTPS

Setelah SSL aktif, pastikan semua traffic HTTP otomatis 301 redirect ke HTTPS.

Nginx:

server {
    listen 80;
    server_name websitemu.com www.websitemu.com;
    return 301 https://$host$request_uri;
}

Apache (.htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

WordPress: Install plugin “Really Simple SSL” — satu klik, plugin ini yang handle redirect, mixed content fix, dan update site URL.

2. Atasi Mixed Content Warning

Mixed content terjadi ketika halaman HTTPS masih memuat resource (gambar, CSS, JavaScript) lewat HTTP. Browser akan menampilkan warning “Not Secure” meskipun SSL terpasang — atau bahkan memblokir resource tersebut.

Cara menemukan mixed content:

  • Buka Developer Tools di Chrome (F12) → Console. Warning mixed content akan muncul dalam warna kuning atau merah.
  • Atau pakai tools online seperti whynopadlock.com.

Cara memperbaiki:

  • WordPress: Plugin Really Simple SSL bisa auto-fix sebagian besar mixed content dengan mengganti URL di database dan output.
  • Manual: Cari dan ganti semua URL http:// di database menjadi https://. Tools seperti Better Search Replace (plugin WP gratis) bisa membantu melakukan find-replace aman di database.
  • Custom code: Pastikan semua asset (gambar, CSS, JS) di-load dengan protocol-relative URL (//) atau HTTPS absolute URL.

3. Pasang HSTS Header

HTTP Strict Transport Security (HSTS) adalah header yang memberitahu browser: “Jangan pernah akses website ini lewat HTTP. Selalu pakai HTTPS.” Ini mencegah SSL stripping attack di mana attacker di tengah jaringan memaksa koneksi turun ke HTTP.

Konfigurasi HSTS di Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Konfigurasi HSTS di Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Peringatan penting: Setelah HSTS diaktifkan dengan max-age, browser akan menolak HTTP selama durasi tersebut (biasanya 1 tahun). Pastikan HTTPS-mu benar-benar stabil dan nggak ada rencana balik ke HTTP. Mulai dengan max-age kecil dulu (misal 1 jam) untuk testing, baru perpanjang kalau udah yakin.

4. Cek Konfigurasi SSL dengan SSL Labs

Buka ssllabs.com/ssltest, masukkan domainmu. Tool ini akan menganalisis konfigurasi SSL-mu secara mendalam dan ngasih grade A+ sampai F. Target minimal: grade A. Kalau dapat B atau di bawahnya, lihat rekomendasinya — biasanya masalah di cipher suite yang lemah atau protokol usang (SSLv3, TLS 1.0, TLS 1.1) yang masih aktif.

5. Update URL di Google Search Console

Setelah pindah ke HTTPS, tambahkan versi HTTPS websitemu sebagai property baru di Google Search Console. Google menganggap HTTP dan HTTPS sebagai website yang berbeda — jadi kamu perlu verifikasi ulang dan submit sitemap baru. Jangan lupa setup 301 redirect dari HTTP ke HTTPS supaya Google tahu ini permanent move, bukan duplicate content.

Masalah Umum dan Cara Mengatasinya

“ERR_SSL_PROTOCOL_ERROR”

Penyebab: Server nggak merespons dengan benar di port 443 (HTTPS). Solusi: pastikan web server listen di port 443, firewall mengizinkan port 443, dan konfigurasi SSL tidak corrupt.

“NET::ERR_CERT_DATE_INVALID”

Penyebab: Sertifikat kadaluarsa. Cek apakah auto-renewal berfungsi. Renew manual dengan sudo certbot renew. Cek juga apakah jam server akurat — perbedaan waktu bisa bikin sertifikat dianggap expired.

“Your connection is not private” / “NET::ERR_CERT_AUTHORITY_INVALID”

Penyebab: Sertifikat tidak valid atau tidak terpercaya. Pastikan domain di sertifikat cocok dengan domain yang diakses. Cek apakah CA root terpercaya oleh browser. Kalau pakai self-signed certificate, browser akan menolak.

Mixed Content Warning Setelah Pasang SSL

Ini masalah paling umum — biasanya karena gambar di post lama masih pakai HTTP, atau theme/plugin yang hardcode URL HTTP. Solusi tercepat: pakai plugin Really Simple SSL atau Cloudflare “Automatic HTTPS Rewrites”. Kalau masih ada, periksa satu per satu lewat Chrome DevTools Console.

Redirect Loop Setelah Force HTTPS

Penyebab: konfigurasi redirect yang bentrok. Misalnya Cloudflare di set Flexible sementara server juga redirect ke HTTPS — bikin loop. Solusi: pilih satu tempat untuk redirect, matikan yang lain.

Pengalaman Pribadi: Dampak HTTPS ke SEO dan Kepercayaan

Balik ke cerita teman blogger tadi. Setelah HTTPS terpasang, saya bantu dia:

  1. Setup 301 redirect HTTP ke HTTPS yang benar
  2. Perbaiki semua mixed content (ada sekitar 200 gambar di post lama yang masih HTTP — kita fix pakai Better Search Replace)
  3. Update internal links ke HTTPS (link antar artikel di dalam konten)
  4. Submit sitemap baru di Google Search Console untuk versi HTTPS
  5. Pasang HSTS header dengan max-age 6 bulan dulu (testing), lalu setahun
  6. Cek SSL Labs — dapat grade A, langsung pede

Hasil setelah 2 bulan:

  • Trafik organik naik 38%
  • Bounce rate turun 12%
  • Newsletter subscribers naik 25%
  • Komentar blog meningkat signifikan
  • Page speed sedikit membaik karena HTTP/2 otomatis aktif

Tentu nggak semua kenaikan itu semata-mata karena HTTPS — tapi transisi ini menghilangkan barrier kepercayaan yang selama ini bikin pengunjung ragu. Dan Google jelas lebih suka meranking website yang secure. HTTP di 2026 itu udah kayak naik motor tanpa helm — masih bisa sih, tapi risikonya nggak worth it.

Penutup

Cara pasang SSL gratis itu udah jauh lebih gampang dari yang kebanyakan orang kira. Dengan Encrypt, Cloudflare, atau fitur bawaan cPanel — kamu bisa mengamankan website dalam hitungan menit tanpa keluar biaya sepeserpun. Nggak ada alasan lagi untuk tetap di HTTP di tahun 2026.

Mulai dari yang paling gampan: kalau pakai shared hosting, cek cPanel dulu — kemungkinan besar AutoSSL sudah tersedia tinggal klik. Kalau pakai VPS, install Certbot — 3 command baris selesai. Kalau mau paling praktis, aktifkan Cloudflare — ganti nameserver dan beres. Pilih satu metode, jalanin, dan rasakan sendiri bedanya: website yang lebih aman, lebih terpercaya, dan lebih disukai Google.

Gembok kecil di address bar itu bukan cuma hiasan. Itu simbol bahwa kamu peduli dengan keamanan data pengunjungmu. Dan di era di mana pelanggaran data terjadi hampir setiap hari, kepedulian itu adalah nilai jual yang nggak bisa ditawar.

Tags: #linux #enkripsi #cloud
Banditz Cyber
Banditz Cyber
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts →

Related Articles