Kami akan menjawab ‘Ya Anda bisa, namun kami tidak merekomendasikannya.’ Jika alamat IP Anda mengubah sertifikat SSL/TLS Anda maka akan menjadi tidak berguna lagi.

Namun, apabila Anda benar-benar ingin menerbitkan sebuah SSL/TLS dari Otoritas Sertifikat (CA) terpercaya untuk mengamankan alamat IP, baik menjadi common name atau SAN di dalamnya, Anda harus mengetahui ketentuan, kondisi,dan batasan khusus untuk dipertimbangkan kembali:

  1. Alamat IP harus bersifat publik (Mis: 18.236.49.115).
  2. Harus organisasi atau perusahaan Anda yang memiliki otorisasi terhadap alamat IP tersebut, bukan provider hosting.
  3. Alamat IP harus terdaftar pada Whois IP Address Lookup, agar CA dapat memverifikasi; kepemilikan alamat IP, Organisasi atau Perusahaan yang memilikinya, alamat fisik perusahaan, email pengelola.
  4. Sertifkat SSL/TLS OV (Organization Validation) dengan tipe Single Domain dan Multi Domain yang hanya bisa mengamankan IP Address.
  5. Kelengkapan legalitas perusahaan untuk divalidasi.
  6. Alamat IP dapat diletakkan sebagai common name maupun SAN.
  7. Seluruh versi Windows mendukung jika Anda menjadikan alamat IP sebagai common name. Namun, Windows 8.1 dan versi lama lainnya tidak mendukung jika Anda menjadikan alamat IP sebagai SAN.
  8. Sertifikat SSL/TLS tidak bisa diterbitkan untuk Alamat IP yang direserved (Mis: 10.0.0.0), Privasi (IPv4 dan IPv6), Intranet atau Internal Server Name, server lokal dengan akhiran domain non-public.

Semua ketentuan sudah terpenuhi, tapi ingin membeli sertifikat SSL/TLS jenis DV atau EV untuk mengamankan alamat IP nya.

CA tidak menerbitkan sertifikat SSL/TLS DV maupun EV untuk mengamankan alamat IP. Karena akan menimbulkan ancaman keamanana tertentu (alamat IP tidak unik seperti domain) dan karena adanya risiko keamanan yang tinggi untuk penggunaan SSL/TLS EV.

Bisakah sertifikat SSL/TLS diterbitkan untuk alamat IP privat?

Pada Oktober 2016, CA/B Forum mengumumkan bila SSL/TLS sudah TIDAK bisa diterbitkan untuk alamat IP privat dan server lokal tanpa akhiran domain yang non-public dan meminta seluruh CA untuk mencabut sertifikat SSL/TLS tersebut. Karena alamat IP privat maupun server lokal tidak unik, mereka dengan mudah dapat ditiru oleh attackers untuk melakukan serangan Man-In-the-Middle-Attack dan mendapatkan akses yang tidak terotorisasi ke pusat data. Demikian’lah, CA tidak lagi menerbitkan sertifikat untuk mengamankan alamat IP privat.

Namun, Anda dapat menggunakan dan menerbitkan sertifikat Self-Signed untuk mengamankan alamat IP privat dan jaringan intranet, kok.

super
super

Would you like to share your thoughts?

Your email address will not be published. Required fields are marked *

10 − nine =