19 Februari 2020 – Bratislava, Slovakia, Apple mengumumkan untuk hanya memercayakan situs web dengan menggunakan sertifikat SSL/TLS jangka validasi satu tahun (398 hari) dan kebijakan ini mulai diberlakukan pada 1 September 2020 mendatang. Keputusan sepihak yang diambil oleh pihak Apple ini bukan tanpa sebab–adanya sejarah panjang di dalam komunitas CA/B Forum yang berusaha untuk mengurangi masa aktif sertifikat dan memperbaiki keamanan digital, sembari menyeimbangkan kebutuhan transisi sertifikat secara mudah bagi pemilik website.

apple akan distrust validasi satu tahun sertifikat ssl/tls mulai 1 september 2020

Juru bicara mereka mengatakan demi keamanan pengguna. Seperti yang kita tahu pada diskusi CA/B Forum menyatakan bahwa masa sertifikat yang lama akan menimbulkan tantangan keamanan saat pergantian sertifikat, yang menyebabkan insiden keamanan major. Pihak Apple jelas-jelas ingin menghindari ekosistem yang tidak bisa merespon cepat terhadap ancaman sertifikat. Dengan masa sertifikat yang lebih pendek keamanan pun akan diperbaiki karena mereka meminimalisir terkesposnya jendela TLS yang dapat disusup. Dan membantu memperbarui detail organisasi pengguna apabila terjadi reshuffle staff ataupun resignation secara tahunan dengan informasi terbaru. Seperti hal peningkatan lainnya, pengurangan masa aktif sertifikat harus diimbangkan dengan penerapan perubahan ini.

Apple mulai menyatakan kebijakan validasi 1 tahun tersebut pada pertemuan diskusi CA/B Forum, yang merupakan grup standar industri yang terdiri dari Otoritas Sertifikat (CA) dan beberapa vendor Browser utama. Sementara informasi ini belum diunggah atau diungkapkan pihak Apple secara resmi, namun PusatSSL dapat memastikan informasi ini dengan beberapa partner CA yang mengikuti pertemuan tersebut.

Juga pada 20 Februari 2020, Tim Callan dari Sectigo memposting informasi tersebut pada akun LinkedIn.

konfirmasi sectigo terhadap kebijakan apple

Kebijakan ini diperuntukan bagi sertifikat SSL/TLS yang diterbitkan dengan root CA (bukan sertifikat self-signed atau root administrator). Apabila kebijakan ini dilanggar dengan tetap menggunakan sertifikat SSL/TLS lebih dari 1 tahun validasi, maka konsekuensi yang diterima adalah;

“Connection to TLS servers violating these new requirements will fail. This might cause network and app failure and prevent website from loading.”

Yang artinya situs web ataupun aplikasi yang menggunakan sertifikat SSL/TLS lebih dari setahun validasi setelah 1 September 2020, maka akan berhenti bekerja atau memungkinkan pesan error yang diterima oleh end user saat mengakses platform tersebut.

Kami pikir yang akan mulai menjalankan kebijakan validasi 1 tahun sertifikat SSL/TLS adalah browser Google atau Mozilla, namun ternyata bukan. Dan terlepas dari itu semua, pengguna harus memahami beberapa hal di bawah ini:

Dampak apa yang diterima oleh pengguna?

Safari merupakan salah satu browser ternama yang memiliki persentase penggunaan kedua paling banyak setelah Chrome. Mengikuti informasi  w3counter.com saham Safari  mencapai 13% pada Februari 2020 dan Google Chrome 58.1%. Dengan begitu, bukan hal mungkin bagi pengguna Safari menyelami situs-situs web yang tidak aman.

apple menjadi browser kedua dengan angka pangsa terbesar

Apa yang perlu diketahui oleh Administrator Situs

Dengan kesimpulan, sertifikat SSL/TLS manapun dan apaun yang diterbitkan sebelum 1 September 2020 tidak akan terganggu atau mendapatkan dampak dari kebijiakan ini. Sertifikat tersebut akan tetap valid dan bekerja seperti biasa sampai masa validnya benar-benar habis, tidak perlu diganti maupun dimodifikasi.

Dan untuk sertifikat SSL/TLS yang diterbitkan pada 1 September 2020 hanya berlaku untuk 1 tahun ke depan dan diperpanjang tiap tahunnya agar tetap dapat dipercaya oleh Safari.

Apabila pengguna merupakan perusahaan besar yang menggunakan banyak sertifikat, maka perlu menggunakan solusi manajemen sertifikat dan tidak mengandalkan sertifikat manual.

Apa yang perlu diketahui oleh Reseller

Singkatnya, pengguna bisa melanjutkan menerbitkan sertifikat 2 tahun sampai 31 Agustus 2020 dan menggunakan hingga masa aktifnya habis. Dan sertifikat yang diterbitkan setelah tanggal tersebut harus diterbitkan dengan masa valid 1 tahun agar terbilang valid pada browser Safari.

Sertifikat SSL/TLS apapun  dan dari brand apapun yang dijual harus diperpanjang tiap tahunnya agar dapat dipercaya oleh Safari.

Solusi Baru: SSL/TLS Subscription Multi Year

Saat ini sudah banyak CA yang mulai memutuskan membuat solusi otomatisasi perpanjanan SSL/TLS dan layanan subscription plan yang membuat manajemen sertifikat menjadi lebih mudah.

multi year subscription ssl/tls menjadi opsi kebijakan satu tahun validasiBeberapa CA sudah mengumumkan solusi baru ini, Sectigo yang meluncurkan solusi subscription plan pada bulan lalu dan Digicert yang akan menyusul dengan akun multi year-nya sebelum September. Dengan layanan multi year yang berdasarkan subscription ini tentunya pada administrator bisa membelinya untuk masa sertifikat yang lebih lama dan me-reissue tiap sertifikat setiap saat selama sertifikat masih valid.

Manfaat yang didapat?

Biaya – pengguna akan mendapatkan potongan harga di tiap harga per tahunnya. Semakin lama masa valid yang dibeli, maka potongan harga juga semakin besar.
Waktu – pengguna hanya perlu membeli subscription sekali saja dan tidak perlu mengkhawatirkannya lagi untuk masa valid sertifikat sampai lima tahun ke depan.

Pengguna dapat membeli sertifikat SSL/TLS dengan masa aktif yang lebih lama (misal, 5 tahun) dan kemudian hanya perlu me-reissue sertifikat tiap tahunnya untuk memperbaruinya–tentunya menghemat biaya dan waktu jika harus membeli sertifikat manual satu-satu. Win win solution bagi kedua pihak.

Berita ini bukan lah hal yang mengejutkan–yang mana industri SSL/TLS memang sudah bersiap untuk perubahan ini. Karena pada Agustus 2019 lalu, juga terdapat pemungutan suara terkait pengurangan masa aktif sertifikat SSL/TLS (SC22 Ballot: Reduce Certificate Lifetimes) yang diprakarsai oleh Google. Namun, gagal karena jumlah voting dan oposisi pengguna, yang memberatkan kebutuhan tim IT untuk memasang sertifikat setiap periode yang pendek. Ini semua hanyalah tentang waktu, apabila browser melakukan perubahan kembali, maka itu berarti seluruh CA akan ikut membuat perubahan juga terhadap masa valid sertifikat dari dua menjadi satu tahun.

Tidak perlu khawatir. Perubahan yang dilakukan oleh Apple ini tidak akan menelantarkan pengguna maupun reseller, karena tentunya CA sudah memiliki solusi untuk memberikan alternatif yang menolong. Dengan subscription SSL/TLS dan manajamen sertifikat yang tersedia, maka akan mengarahkan kita pada perpindahan keamanan yang lebih baik lagi.

 

Sumber:

https://www.thesslstore.com/blog/ssl-certificate-validity-will-be-limited-to-one-year-by-apples-safari-browser/

https://www.digicert.com/position-on-1-year-certificates/

https://www.w3counter.com/globalstats.php?year=2020&month=2

https://discussions.apple.com/article/HT211025

super
super