Cara Implementasi SSL Pinning di Flutter untuk Keamanan Aplikasi Maksimal

by Ricky Irfandi

SSL Pinning adalah salah satu teknik keamanan penting yang digunakan untuk memperkuat perlindungan data dalam aplikasi Flutter. Meskipun penggunaan HTTPS sudah menjadi standar dalam mengamankan komunikasi antara aplikasi dan server, hal tersebut belum cukup untuk melindungi aplikasi yang menangani data sensitif, seperti layanan keuangan atau kesehatan. Penyerang masih dapat mengeksploitasi celah melalui sertifikat palsu dan melakukan serangan man-in-the-middle untuk mengelabui aplikasi agar terhubung ke server yang tidak sah.

SSL Pinning merupakan teknik keamanan penting yang memastikan aplikasi Flutter hanya mempercayai server asli, bukan server mana pun yang memiliki sertifikat valid. Panduan ini akan menjelaskan apa SSL pinning, mengapa itu penting, dan bagaimana cara menerapkannya di Flutter.

Apa Itu SSL Pinning dan Bagaimana Cara Kerjanya di Flutter?

SSL pinning, atau certificate pinning, adalah metode untuk mencegah serangan Man-in-the-Middle (MITM) pada aplikasi Flutter. Dengan SSL pinning, aplikasi akan memeriksa fingerprint sertifikat server dengan daftar yang telah tentukan. Jika cocok, koneksi diizinkan. Jika tidak, koneksi akan diblokir, meskipun sertifikatnya valid secara umum.

Panduan : Implementasi SSL Pinning di Flutter

Langkah 1: Dapatkan Fingerprint Sertifikat Server

Untuk mendapatkan fingerprint SHA-256 sertifikat server, gunakan perintah berikut. Ganti api.mycompany.com dengan domain server yang digunakan.

Salin fingerprint SHA-256 dan hapus tanda titik dua.

Langkah 2: Tambahkan Packages yang Dibutuhkan ke Proyek Flutter

Pada file pubspec.yaml file, tambahkan:

dependencies:
  flutter:
    sdk: flutter
  dio: ^5.8.0+1
  http_certificate_pinning: ^3.0.1

Jalankan flutter pub get untuk menginstal packages.

Langkah 3: Implementasi SSL Pinning di Kode Flutter

import 'package:dio/dio.dart';
import 'package:http_certificate_pinning/http_certificate_pinning.dart';

class ApiService {
  static const _allowedSHAFingerprints = [
    'A1B2C3D4E5F67890ABCDEF...', // Current certificate
    'F6E5D4C3B2A10987FEDCBA...', // Backup certificate
  ];

  final Dio _dio = Dio()
    ..interceptors.add(
      CertificatePinningInterceptor(
        allowedSHAFingerprints: _allowedSHAFingerprints,
      ),
    );

  Future<void> fetchSecureData() async {
    try {
      final response = await _dio.get('https://api.mycompany.com/data');
      print('Success! Data: ${response.data}');
    } catch (e) {
      print('Security or network error: $e');
    }
  }
}

Mengelola Sertifikat agar Aplikasi Tetap Aman

Menerapkan SSL pinning di Flutter bisa diibaratkan seperti memasang pintu brankas pada jalur komunikasi aplikasi. Cara ini memang efektif untuk menjaga keamanan, tetapi juga membawa tanggung jawab yang tidak bisa diabaikan. Jika kita lalai, risiko terbesarnya adalah aplikasi bisa mengalami masalah terutama saat terjadi pergantian sertifikat

Mengapa hal ini sangat penting?

Setiap sertifikat server memiliki masa berlaku dan pada waktunya pasti akan diganti. Jika aplikasi hanya mengenali fingerprint dari sertifikat yang lama, maka saat sertifikat server diperbarui, aplikasi akan menolak koneksi ke server tersebut. Akibatnya, semua koneksi akan gagal dan aplikasi tidak dapat digunakan oleh seluruh pengguna.

Agar hal ini tidak terjadi, Kita harus mengelola fingerprint yang dipin dengan baik dan menjadikannya bagian penting dari proses rilis aplikasi. Berikut beberapa strategi yang umum digunakan untuk mengelola sertifikat:

Strategi 1: Backup Pinning

Ini adalah cara paling umum digunakan. Aplikasi akan mengenali baik sertifikat saat ini maupun sertifikat selanjutnya, sehingga proses pergantian sertifikat berjalan lancar.

Cara Menerapkan Backup Pinning::

  1. Dapatkan sertifikat baru. Sebelum masa berlaku sertifikat saat ini berakhir, request sertifikat baru ke Certificate Authority (CA) dan ambil SHA-256 fingerprints dari sertifikat yang sekarang dan sertifikat baru.
  2. Perbarui aplikasi. Tambahkan kedua fingerprint ke daftar yang diizinkan di aplikasi:
static const _allowedSHAFingerprints = [
  'A1B2C3D4E5F6...', // Certificate saat ini
  'F6E5D4C3B2A1...', // Certificate baru
];
  1. Rilis aplikasi. Publikasikan versi aplikasi baru ke App Store dan Play Store. Tunggu hingga sebagian besar pengguna memperbarui aplikasi.
  2. Ganti sertifikat server. Setelah mayoritas pengguna sudah update, ganti sertifikat server ke yang baru

Strategi 2: Pinning ke Intermediate Certificate

Langkah ini tidak melakukan pinning ke sertifikat server secara spesifik, namun melakukan pinning ke intermediate CA yang menerbitkannya.

  • Kelebihan: Intermediate certificate biasanya berlaku lebih lama, bahkan bertahun-tahun, sehingga kita bisa memperbarui sertifikat server beberapa kali tanpa perlu update aplikasi.
  • Kekurangan: Jika intermediate CA diretas, Attacker bisa menerbitkan sertifikat valid untuk domain kita yang akan dipercaya aplikasi. Ini kurang aman dibanding pinning ke sertifikat milik kita sendiri.

Strategi 3: Dynamic Pinning via Remote Configuration

Untuk sistem skala besar, kita bisa mengambil daftar fingerprint yang dipercaya dari endpoint khusus saat aplikasi dijalankan.

  • Kelebihan: Kita bisa mengganti pin dan merespons insiden keamanan secara real-time tanpa perlu memaksa pengguna update aplikasi.
  • Kekurangan: Request pertama saat mengambil daftar pin harus tetap aman, jadi kita tetap harus memastikan endpoint untuk mendapatan daftar fingerprint tersebut aman.

Kesimpulan: Amankan Aplikasi Flutter dengan SSL Pinning

SSL pinning adalah cara untuk melindungi aplikasi Flutter dari serangan Man-in-the-Middle. Namun, teknik ini membutuhkan pengelolaan sertifikat yang cermat agar aplikasi tetap berjalan lancar. Dengan melakukan implementasi SSL pinning di Flutter, Kita dapat menjaga aplikasi tetap aman, dan dipercaya pengguna.

Cyber Security Mobile Developer Teknologi
Ricky Irfandi
Ricky Irfandi

https://www.logique.co.id/blog/author/ricky-irfandi/