Teknologi
17 August 2020
Per 1 september 2020 Sertifikat SSL hanya berlaku selama 398 hari
Mungkin bagi para netizen hal ini tidak terlalu dipedulikan.
Sebaliknya bagi pemilik website hal ini cukup membuat was-was.
Apa pasalnya?
Yup, berikut saya jelaskan terlebih dahulu apa itu SSL, apa itu sertifikat SSL, apa itu CA mengapa demikian sangat penting sekali bagi para pemilik website, terutama situs-situs yang menjalankan transaksi didalamnya. Bahkan para netizen juga perlu tahu, karena ini menyangkut keamanan privasi anda dalam bertransaksi ataupun dalam mensharing data pribadi anda di berbagai situs.
Ok, langsung saja, SSL itu kepanjangan dari Secure Socket Layer yaitu standar teknologi untuk menjaga keamanan data yang dikirimkan antar 2 buah sistem berbeda. Jadi dalam hal ini komunikasi antara server dan client dalam melakukan request dan response data harus tetap terjaga keamanannya dari pihak-pihak yang tidak bertanggung jawab secara kriminal dapat menyadap dan membaca data privasi atau data-data sensitif lainnya (man-in-the-middle).
Dengan menggunakan teknologi SSL ini, data web akan dienkripsi sedemikian rupa sehingga akan sangat sulit dibaca oleh mata manusia biasa.
Dan akan kemudian di dekripsikan kembali sesuai dengan kunci publiknya.
Untuk mengetahu kunci publik, maka diperlukan sertifikat SSL yaitu sebuah file data kecil yang secara digital disematkan kunci publik ke detail data organisasi/kepemilikan website. Pada saat diinstall atau dikonfigurasikan ke web server, maka akan mengaktifkan https protokol yang membuka koneksi aman dari web server ke client browser. Biasanya protokol https ini menggunakan port 443 yang merupakan port standar SSL.
Lalu apa lagi itu CA? CA yaitu kepanjangan dari Certification Authority yaitu badan/organisasi otoritas yang menerbitkan sertifikat SSL resmi, sehingga sertifikat SSL tersebut dapat diakui oleh berbagai browser.
Sebenarnya pemilik website dapat membuat sendiri sebuah sertifikat SSL lalu memasangnya ke dalam web server, namun jika hal itu dilakukan niscaya sebagian besar browser tidak akan mengakui sertifikat SSL tersebut aman. Yang kemudian menampilkan pesan berbahaya jika dilanjutkan.
Yup, mengapa berbahaya? coba bayangkan apabila semua pemilik website bisa menerbitkan sertifikat SSL lalu dapat dibuka oleh browser, maka pemilik website malicious (organisasi yang bertujuan jahat) akan tetap dapat dibuka, plus dapat kepercayaan SSL security sekaligus oleh browser. Maka apa yang terjadi selanjutnya? maka konsumen yang akan dirugikan, karena mereka dapat terpancing oleh situs-situs kriminal yang akan memancing konsumen untuk percaya dan memberikan data privasinya.
Maka itu kita perlu badan otoritas yang melakukan validasi terlebih dahulu terhadap sebuah organisasi kepemilikan sebuah website. Sehingga dengan lulusnya validasi oleh otoritas penerbit sertifikat, setidaknya mengurangi resiko terjadinya tindakan kriminal oleh organisasi tertentu kepada konsumen.
Badan/Organisasi otoritas penerbit sertifikat ini antara lain Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (former Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius PKIoverheid, SHECA, SSL.com, Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (former Trustwave), dan lain-lain.
Kembali ke isu per - 1 September 2020, semua browser besar seperti: safari, chrome, dan mozilla akan menerapkan pemberlakuan masa berlaku sertifikat SSL hanya sampai batas maksimum 398 hari berdasarkan dari hasil forum otoritas penerbit sertifikat SSL dan perwakilan perusahaan-perusahaan besar browser (CA/Browser Forum).
Mengapa Demikian ? pastinya ada yang jengkel, kesal dan was-was karena menganggap ini tidak fair. Namun begitu, mari kita lihat terlebih dahulu beberapa alasannya
-
Mengatasi InsidenDengan dikuranginya masa berlaku menjadi 398 hari, hal ini menghindari terjadinya insiden dan kasus-kasus terkait tabrakan kepemilikan domain. Apa contohnya? misalnya si A membeli domain contoh.com selama setahun, lalu si A memesan sertifikat SSL pada salah satu badan otoritas untuk 3 tahun. Lalu setelah setahun berlalu si A tidak/lupa melanjutkan domain contoh.com tersebut, yang kemudian domain tersebut dipesan oleh si B. si B kemudian mendaftarkan sertifikat SSL pada domain contoh.com yang kemudian menjadi kepemilikan si B. Nah.. dimana yang terjadi redundan? si A padahal masih memiliki kepemilikan SSL pada domain contoh.com sedangkan si B baru mengajukan kepemilikan. Ada kasus dimana si B akhirnya dicabut kepemilikannya/tidak diakui kepemilikannya. Ada juga kasus dimana domain si B jadi terkena DOS (Denial of Service) pada service SSL yang manfaatkan oleh si A jika sertifikat tersebut multiple domain. Nah hal ini yang sangat mengganggu stabilitas kepemilikan domain.
-
Meningkatkan KeamananDengan melakukan update sertifikat SSL setahun sekali dapat meningkatkan faktor keamanan. Mengapa? karena dengan lamanya masa berlaku sebuah sertifikat SSL dalam hal ini lebih dari setahun, semakin memperbesar resiko kunci private ter-expos keluar. Karena tanpa kita sadari kunci private sering sekali bagi para developer digunakan untuk mengkoneksikan sistem mereka ke server guna mengupload atau mengupdate data ataupun untuk me-manage server mereka. Apabila developer tersebut habis kontrak maka mereka memiliki kunci private tersebut yang mana masih tetap bisa digunakan sampai sertifikat SSL habis. Atau bisa juga data kunci private bocor akibat kecerobohan developer atau NOC. Maka itu perlunya sertifikat SSL ini diupdate setahun sekali agar kunci private bisa diubah kembali. (kalau perlu 3 bulan sekali seperti lets encrypt :D).
-
Keamanan lebih UptodateAda kasus dimana dulu kunci MD5 terbit dan lambat laun dapat di pecahkan oleh para ilmuwan dan hacker. Kemudian dibuatlah SHA1 agar lebih kuat kembali enkripsinya, namun hal serupa juga terjadi, lambat laun dapat dipecahkan oleh sistem komputer terkini yang semakin canggih dan cepat. Begitu pula dengan enkripsi yang digunakan oleh SSL. Saat ini SSL sudah mencapai versi 3.0 dengan TLS 1.3 yang terbaru. Ciphertext yang paling kuat yang masih sulit dipecahkan oleh komputer generasi sekarang. Namun kita tidak tahu kemungkinan beberapa tahun lagi versi tersebut akan usang dan mulai dapat dipecahkan. Maka itu gunanya keamanan sertifikat SSL masa berlakunya dikurangi jadi setahun agar memudahkan pemilik web mendapatkan sertifikat SSL dengan teknologi terbarukan.
-
Membuat Tantangan (Chalenge)Mengapa penulis katakan sebuah tantangan, yah, ini merupakan tantangan bagi pemilik website untuk selalu senantiasa aktif memantain keamanannya. Semakin sering pemilik web mengupdate atau memantain webservernya, maka semakin tinggi kepercayaan konsumen terhadap website tersebut, yang berarti konsumen pula yang diuntungkan dalam keamanan privasi datanya.
Well, dari beberapa alasan tersebut, maka bisa kita anggap wajar para browser mematuhi dan menerapkan hasil keputusan suara dari forum
(CA/Browser Forum). Dan kita tidak perlu terlalu menyalahkan mereka, karena hal ini dibuat demi menjaga keamanan privasi data konsumen. So, dengan diterapkannya hal ini, semoga tingkat kriminal di dunia maya dapat berkurang ke depannya.
Ketik Komentarmu