Kemarin saya aktifkan HTTPS di blog Pondok Jeruk ini, dan seharian @-) melakukan perbaikan akibat perubahan alamat ini, dan karena prosesnya agak rumit maka diposting disini. Agar tidak lupa dan mungkin bisa dipakai referensi oleh para blogger lain yang mau pindah ke https dari http. Sebenarnya tidak rumit kalau cuma mengaktifkannya, yang rumit ini adalah tindakan susulan yang diperlukan.
Fasilitas SSL (Secure Socket Layer) / HTTPS (Hypertext Transport Protocol Secure) untuk custom domain di blogger.com ini masih baru, saya baru tahu kemarin lusa, dan akhirnya memutuskan untuk mengaktifkannya. Blogger dengan blog self hosting kadang harus membeli SSL untuk fasilitas ini dan kita pengguna blogspot hanya perlu mengaktifkannya dan semua manajemen instalasi dan perpanjangan diurus oleh blogger.com, kenapa tidak mengaktifkannya? Kan tolol kalau gak diaktifkan padahal gratis dan tidak merepotkan? Repotnya hanya diawal saja. 
Kenapa HTTPS?
Sebenarnya bagi saya pribadi HTTPS dan HTTP untuk sebuah blog tidak terlalu penting, namun persepsi pengguna internet diarahkan oleh propaganda google dan raksasa internet lainnya bahwa kalau tidak pakai HTTPS maka "tidak aman". Padahal tidak aman disini kan jika ada pertukaran data sensitif, misalnya di toko onlile atau perbankan. Kalau cuma membaca artikel sih gak ada bedanya.
Namun memang kalau blog tidak menggunakan HTTPS, maka browser otomatis akan memberikan informasi bahwa koneksi tidak aman, paling terlihat saat kita mengisi form, misal form komentar, maka di di sebelah kiri kotak URL browser akan muncul seperti gambar berikut ini, selain jelek dan gak keren, juga kadang orang awam jadi takut, padahal gak apa-apa lha bukan data sensitif. :))
Satu-satunya yang membuat saya merasa pentingnya menggunakan HTTPS adalah faktor rekomendasi Google sejak tahun 2014 lalu, bahwa situs dengan HTTPS akan lebih diprioritaskan di SERP (Search Engine Result Page) karena dianggap memberi perlindungan pada pengguna internet.
Apalagi semua para Pakar SEO semua sepakat dengan pentingnya menggunakan HTTPS di situs untuk memperkuat situs dalam persaingan di mesin pencari.
Namun inti penggunaan HTTPS sebenarnya adalah faktor keamanan. Enkripsi yang digunakan antara server dan client (browser). Untuk penjelasan ini cari ditempat lain, karena ini hanya pengertian sekilas saja.
Cara Mengaktifkan HTTPS Blog Custom Domain
Caranya sangat mudah dan cepat, pertama buka ke Pengaturan Dasar blog yang dimaksud, lalu aktifkan "Ketersediaan HTTPS", perhatikan gambar berikut ini:
Pilih "Ya", dan setelah itu harus menunggu masa propagasi sebelum aktif. Pada masa ini menu "Pengalihan HTTPS" tidak akan aktif, jadi kita hanya bisa menunggu.
Jangan kuatir masa propagasi di blogger.com untuk masalah ini tidak lama, saya cuma 1 jam. Entah tepatnya berapa, karena saya memeriksanya setelah 1 jam. :d Padahal saya sangka kayak jaman dulu untuk masa propagasi domain saja bisa 48 jam alias 2 hari. ~x(
Perlukah Pengalihan HTTPS?
Kenapa ini perlu ditanyakan? Karena pilihan ini memiliki konsekwensi berbeda. Untuk langkah "Ketersediaan HTTPS" diatas, siapapun silahkan diaktifkan, tidak akan memiliki dampak apapun, hanya memberikan fasilitas agar blog kita bisa diakses dengan HTTPS. Namun blog kita pada dasarnya masih pakai HTTP. Google akan mengindex halaman kita dalam HTTP, karena kemarin sempat mencoba lihat source code setelah mengaktifkan ini, meski saat blog kita akses dengan HTTPS, semua link sudah pindah ke HTTPS namun meta canonicalnya masih pakai HTTP.
<link href='http://www.pondokjeruk.com/' rel='canonical' />Nah, lalu gunanya apa untuk SEO kalau cuma sekedar bisa diakses pakai HTTPS? di SERP dan index google akan tetap saja pakai HTTP, jadi ini tidak berguna untuk menguatkan blog di mesin pencari. Pengunjung dari mesin pencari juga tetap akan membuka versi HTTP-nya saja.
Namun jika tidak melakukan pengalihan ke HTTPS, maka tidak ada risiko sama sekali dan silahkan berhenti membaca sampai disini. Tidak ada tindakan apapun yang diperlukan setelah itu.
Memilih Pengalihan ke HTTPS
Jika memilih untuk mengalihkan HTTP ke HTTPS, ini yang akan berguna pada SEO. Namun sayangnya ini memiliki risiko kita harus repot memperbaiki beberapa hal.
Untuk blog baru dibuat tidak ada masalah, karena dari awal sudah HTTPS, namun untuk blog lama yang sebelumnya menggunakan HTTP akan diikuti masalah, sebab dengan pengalihan ini sebenarnya sama saja blog pindah alamat.
- Apakah index google untuk blog saya aman?
- Apa saja yang perlu saya lakukan sesaat setelah pengalihan diaktifkan?
- Apa saja yang dimaksud risiko itu dan apa yang perlu diperbaiki?
Pertanyaan-pertanyaan diatas itu bisa banyak sekali penjabarannya tergantung tiap blog. Untuk menjawab masing-masing pertanyaan dan solusinya mari kita lanjutkan.
Index Blog di Google
Jangan khawatir, index di google aman. Urusan redirect 301 sudah diurus oleh blogger.com kita tinggal menikmati saja tanpa perlu mengatur file .htaccess seperti kalau di server hosting sendiri. Untuk sementara indexnya akan tetap menggunakan index lama yang pakai HTTP, namun seiring waktu google akan mengubahnya ke HTTPS. Namun ada hal yang perlu kita lakukan sebagai lanjutan.
Perlu Dilakukan Pasca Pengalihan HTTPS
Masalah yang pertama kali ditemukan saat migrasi dari HTTP ke HTTPS adalah konten campuran. Error konten campuran di blog ini terjadi pada template / theme, pos dan laman, serta gadget / widget.
Kalau pakai HTTP, konten campuran antara HTTP dan HTTPS tidak ada masalah karena pada dasarnya memang bukan halaman secure. Tapi saat menggunakan HTTPS, maka adanya konten dengan akses ke HTTP dianggap celah keamanan, dan browser akan bereaksi untuk hal ini. Ada tanda seru di kotak URL. Bahkan untuk script dengan AJAX yang mencoba mengakses HTTP, akan langsung diblokir dan tidak bekerja. Ini terbukti pada Blogger Tool Sitemap saya sendiri jika mencoba mengakses blog lain tanpa HTTPS.
1. Edit Template
Yang perlu dilakukan pertama kali adalah mengedit template. Semua atribut tag HTML di template yang mengandung HTTP ganti menjadi HTTPS. Yang paling perlu diperhatikan adalah untuk tag <img>, <video>, <audio>, <script>, dan <link>. Untuk urusan ini mudah dan cepat.
2. Edit Pos dan Laman
Namun berikutnya adalah membetulkan pos dan laman, dan ini berat sekali, saya sendiri memilih untuk pelan-pelan saja editnya kalau pas memang mau edit disebabkan artikel ada tambahan atau membetulkan kesalahan. Bayangkan saja jika post dan halaman kita ada 1000 lebih, apa gak capek memeriksanya? Jadi saya abaikan saja. Kamu ingin sempurna? silahkan diperiksa semua. Yang perlu diperhatikan tetap adalah tag <img>, <video>, <audio>, <script>, dan <link>.
Berkaitan dengan capeknya mengubah gambar, link anchor dan script yang mungkin ada dalam postingan maka saya menambahkan kode berikut ini di template agar mengubah otomatis dari HTTP ke HTTPS di semua posting jika ditemukan. Namun kalau sudah diedit manual semua ya tidak perlu menambah script ini.
<script>/*<![CDATA[*/
$( function() {
$.each({
"a": "href",
"img": "src",
"script": "src",
"link": "href"
}, function( k, v ) {
$( k ).each( function() {
var a = $( this ),
b = a.attr( v );
a.attr( v, b.replace( "http:\/\/", "https:\/\/" ) );
});
});
});
/*]]>*/</script>Kode diatas harus pakai jQuery, jika tidak maka tidak akan bekerja, saya tidak terbiasa menggunakan javascript native jadi bisanya membuat dalam jQuery library.
Update: Ternyata untuk gambar oleh Blogger sudah diatasi dengan mengubah http:// menjadi //. Sehingga akan mengikuti protocol induk laman. Namun ini menyisakan masalah pada mark up laman, bisa error di tes struktur HTML, karena tidak memberikan URL valid menurut kriteria di https://schema.org.
Untuk Edit Pos dan Laman ini saya sudah tuliskan cara menemukan mixed content sangat cepat, tidak melelahkan, dan tidak memakan waktu di post Cara Membersihkan Materi Campuran di Seluruh Halaman Blog / Website Dengan Cepat (HTTPS Mixed Content Issues). Disitu dibahas juga kemungkinan mixed content dari enclosure posting.
3. Periksa dan Edit Gadget / Widget
Sama saja ini dengan diatas, perhatikan tag HTML yang itu-itu saja, ubah http:// ke https:// semua. Dan jangan kaget jika kemudia widget kamu ada yang tidak bekerja, cari saja alternative lainnya. Kalau kamu bisa edit sendiri isi widgetnya silahkan dilakukan.
Perlu diketahui bahwa link ke HTTP tidak bermasalah asal bukan terdiri dari gambar, video, audio dan link. Jadi misalkan kita membuat link anchor ke HTTP tidak apa-apa.
Juga perlu diketahui, sampai saat ini feed blog meski diakses dengan HTTPS, tetap saja isinya masih pakai HTTP, jadi untuk widget-widget yang memakai feed (misalnya related post, recent post dan lainnya) maka hasilnya akan tetap jadi HTTP, dan ini tidak apa-apa karena saat di klik tetap akan di redirect ke HTTPS. Untuk melihat silahkan buka:
https://www.pondokjeruk.com/feeds/posts/default?redirect=false
Lihat isinya dengan Ctrl + F dan cari http://www.pondokjeruk.com, maka isinya memang begitu semua, masih pakai HTTP meski diakses menggunakan HTTPS. Semoga kedepannya akan ikut menadi HTTPS.
Referensi tambahan berkaitan 3 point diatas yang perlu juga kamu baca adalah laman help google di Memperbaiki konten campuran di blog.
Hal Lain Perlu Dilakukan
Perlu diperiksa dan dilakukan karena kalau tidak maka menjadi kurang sempurna hasilnya, meskipun tidak dilakukan mungkin pengaruhnya kecil.
Periksa robots.txt
Dari pengalaman saya, pengalihan ke HTTPS ini tidak mengubah otomatis file robots.txt yang sudah pernah disetting sebelumnya. Saya pernah melakukan setting robots.txt di posting Mengatasi Error 404 di Search Console Google yang disebabkan Kode Javascript via Robots.txt. Dan di file itu URL sitemap masih pakai HTTP, saat sudah melakukan migrasi ke HTTPS ubah URL sitemap ke HTTPS juga. Untuk mengedit buka blogger dan di setelan pilih seperti gambar berikut ini:
Menambahkan URL Baru ke Search Console Google
Ini perlu dilakukan sama seperti pertama kali submit blog, sebelumnya kita sudah menambahkan URL blog seperti:
http://www.pondokjeruk.comhttp://pondokjeruk.com
Tambahkan 2 lagi setelah pengalihan HTTPS:
https://www.pondokjeruk.comhttps://pondokjeruk.com
Jadi akan tampak seperti gambar berikut ini: (klik untuk memperjelas)
Untuk versi HTTPS-nya setting juga domain yang dipilih, seperti gambar berikut ini:
Setting lain sesuaikan saja dengan setting pilihan kamu seperti yang dulu melakukan setting di versi HTTP-nya namun khusus untuk sitemap, jangan menambahkan feed sebagai sitemap. Sebab seperti sudah disinggung diatas, isi dari feed masih versi HTTP. Tapi kalau kamu maksa juga ya silahkan karena pada intinya HTTP sudah di redirect ke HTTPS.
Saya sendiri hanya submit sitemap sesuai di robots.txt yaitu:
https://www.pondokjeruk.com/sitemap.xml
Karena post di Pondok Jeruk sudah lumayan banyak, isi dari sitemap diatas dibagi 2 halaman, yaitu:
https://www.pondokjeruk.com/sitemap.xml?page=1
https://www.pondokjeruk.com/sitemap.xml?page=1
Silahkan buka sitemap diatas, dan lihat, semuanya sudah jadi HTTPS. Sudah cukup submit sitemap itu saja mewakili semua post yang ada, ngapain juga submit pakai feed, hanya mengulangi URL saja, udah gitu gak pakai HTTPS, malah jadi sitemap menyesatkan karena bukan alamat canonicalnya.
Apakah sudah selesai sampai disini, sebenarnya ada banyak, tapi tidak penting mungkin, hanya bagi saya yang penting, jadi tidak perlu dituliskan.
Review SSL dari Blogger.com
Bagi yang belum paham banyak tentang SSL, silahkan googling saja atau baca artikel di penjual hosting dan SSL. Karena kali ini hanya membahas tentang SSL dari Blogger.com saja yang digunakan di blog-blognya yang custom domain.
SSL yang digunakan untuk blog custom domain di blogger.com ini menggunakan Let’s Encrypt. SSL ini memang gratis namun dari segi perlindungan keamanan dan kecocokan banyak versi browser tidak kalah dengan SSL berbayar. Tentu saja tidak ada garansi dan asuransi, namanya juga gratis. Tapi fungsi keamanannya tidak diragukan
Menurut saya SSL dari blogger ini dari segi kebergunaan sangat memuaskan lihat hasil tesnya berikut ini: (klik untuk memperjelas)
Untuk melihat online langsung bisa disini. Setelah terbuka dan sudah muncul seperti diatas, untuk melihat rincian panjangnya klik pada link sebelah kiri (IP address), dan akan muncul seperti:
Gambar diatas hanya potongan, sebenarnya panjang kebawah, dan rinci sekali. Intinya memuaskan untuk SSL gratis. Let’s Encrypt ini karena gratis maka masa berlakunya tidak sama dengan SSL berbayar, kalau yang berbayar biasanya 1 tahun, namun Let’s Encrypt hanya 90 hari, dan inilah enaknya pakai blogger.com, urusan perpanjangan kita tidak repot harus membuat script di server untuk membuat autorenew karena kalau manual bisa lupa kita. Di blogger.com semua sudah otomatis dihandle google. Jadi pokoknya tinggal pakai beres, renew akan dilakukan oleh blogger.com tanpa kita setting sendiri.
Cara Melihat SSL via Browser
Ada yang perlu diketahui bahwa SSL untuk blog di blogger.com tidak sama antara yang custom domain dengan yang tidak. Secara kualitas sepertinya masih bagus SSL yang digunakan oleh blog yang masih pakai subdomain blogspot karena SSL yang dipakai sama persis dengan SSL dari google sendiri. Untuk melihat SSL tiap situs atau blog, kita cukup klik-klik pada browser seperti berikut ini:
Kesimpulan
Sepertinya setelah membaca semua diatas, kesimpulannya sudah jelas, tidak perlu dijelaskan sekali lagi, hanya saja ada ungkapan yang perlu disampaikan dengan perkembangan internet sampai saat ini, mengingat bahwa pembaca artikel ini adalah para blogger, dimana pengetahuan dan ketrampilan adalah salah satu dari keuntungan menjadi blogger. Apakah untuk mencoba hal baru sesuai tuntutan teknologi kita takut risiko belajar?
HARI GINI MASIH PAKAI HTTP, APA KATA DUNIA?!
:)) :)) :)) :)) :)) =)) :)) :)) :)) :)) :))
