Apa yang menjadi hot topic akhir-akhir ini adalah adanya informasi Chrome dan Mozilla yang akan menyusul untuk menerapkan kebijakan Apple. Dengan alasan keamanan siber dan guna menciptakan ekosistem sertifikat digital yang lebih mumpuni, para browser raksasa bersiap memberlakukan kebijakan satu tahun validasi sertifikat SSL/TLS mulai 1 September 2020. Apa yang perlu diketahui dan dipersiapkan lebih lanjut dari sisi admin situs dan reseller?

google dan mozilla menyusul apple untuk kebijakan satu tahun validasi

 

Tidak Hanya Apple, Google dan Mozilla Juga Memulai Pergerakan

Google

Kita tahu bahwa Google sudah bersikeras untuk mengurangi masa validasi sertifikat SSL/TLS menjadi satu tahun saat dilakukan pemungutan suara pada September 2019 lalu melalui Ballot SC22, hampir seluruh browser ternama termasuk Google mendukung pengurangan masa validasi sertifikat SSL/TLS menjadi 1 tahun (398 hari, lebih sebulan untuk menghindari miss expiration), namun suara mereka gagal karena unggulnya oposisi, CA dan para pengguna sertifikat yang keberatan dengan kebijakan tersebut.

Hingga adanya sebuah postingan dari Ketua emeritus CA/B Forum, Dean Coclin, pada 11 Juni 2020 melalui Twitter-nya.

cuitan twitter dean coclin tentang kebijakan validasi satu tahun google

Hal ini kemungkinan dibenarkan dengan adanya perubahan kode pada browser Chromium. Google sepertinya akan menyusul Apple dan membatasai maksimal masa validasi sertifikat dengan tajuk perubahan kode; Enforce 398-day validity for certificates issued on-or-after 2020-09-01

kode perubahan validasi satu tahun google melalui chromium

Sertifikat SSL/TLS yang memiliki masa validasi lebih dari satu tahun dan digunakan pada atau sesudah 1 September 2020 akan menjadi pelanggaran dan ditolak dengan pesan error;

ERR_CERT_VALIDITY_TOO_LONG 

Meskipun terdengar seperti sebuah pergerakan yang besar, sebenarnya aksi ini tidak akan memberikan perubahan signifikan nantinya karena memang sudah diprediksi jauh-jauh hari. Setelah kekalahan pada hasil Ballot SC22, Google akhirnya bisa mencapai tujuan yang sempat tertunda selepas Apple mengumumkan kebijakan sepihak yang ternyata satu suara dengan Google pada Februari 2020 kemarin.

 

Mozilla Firefox

Kemudian disusul oleh Mozilla Firefox dengan penerbitan blog yang menjabarkan alasan harus mengurangi masa validasi sertifikat SSL/TLS menjadi satu tahun sama seperti Apple dan Google pada 9 Juli 2020 kemarin. Apa yang dapat disimpulkan adalah Mozilla sedang mempersiapkan untuk menyetujui kebijakan ini ke dalam pembaruan peramban yang akan datang melalui diskusi Ballot SC31 dengan dua kemungkinan keputusan:

Dan selama persiapan untuk memperbarui kebijakan, pihak Mozilla sudah melakukan  survei terhadap beberapa CA yang setuju untuk mendukung kebijakan pengurangan masa validasi sertifikat SSL/TLS mulai 1 September 2020.

Yang tersisi saat ini adalah semua mata yang sedang tertuju ke Microsoft dengan harapan untuk segera mengambil keputusan di awal musim semi. Perlu diingat bahwa browser Edge menggunakan Chromium sebagai mesinnya.

Kenapa Google dan Mozilla sangat bersikeras dengan kebijakan ini? Apa keuntungan dan dampak yang diterima bagi end user maupun provider sertifikat dari keputusan ini?

 

Pengurangan Masa Validasi Sertifikat, Apakah Memberikan Perubahan yang Berarti?

Gagasan utama di balik keputusan pengurangan masa validasi SSL/TLS adalah agar lebih sering menerbitkan sertifikat sesering mungkin untuk meningkatkan keamanan kunci. Tujuan yang hebat, karena kita semua ingin sertifikat digital yang lebih aman, bukan?

Namun, di level lainnya, sebesar apa arti perubahan ini bagi admin situs, pengguna, maupun reseller?

Kenyataannya, tidak terlalu besar. Tidak ada banyak perubahan bagi siapapun.

Saat Apple mengeluarkan pengumumannya pada Februari lalu, kita tahu bahwa pergerakan ini secara tidak langsung akan menghasut browser lainnya untuk melakukan hal yang sama. Dan mau tak mau, memaksa Otoritas Sertifikat untuk mulai menerbitkan sertifikat SSL/TLS dengan maksimal 1 tahun masa validasi. Dan ini semua hanya ‘lah masalah waktu.

Lalu dengan pertimbangan bahwa Apple, Google, dan Mozilla termasuk browser raksasa dengan angka pangsa memasuki 5 besar, maka tidak heran jika browser lainnya akan ikut menyusul untuk menerapkan kebijakan baru ini.

google dan mozilla masuk sebagai 5 browser terbesar

Yang berarti terlepas dari jika Google mengambil pergerakan atau tidaknya, cepat lambat industri ini juga akan bergerak untuk mengurangi masa validasi sertifikat SSL/TLS menjadi satu tahun.

Dan tentunya tidak semua orang gembira dengan perubahan ini, selain kebijakan yang diambil secara sepihak dan kemudian disusul oleh browser-browser besar, Google dan Mozilla. Seperti sebuah ‘kebijakan secara sembunyi-sembunyi’ menurut beberapa orang dengan Apple dan Google di belakangnya, dan lainnya tidak terlalu ambil pusing karena mereka hanya perlu mengikuti peraturan yang ada.

 

Mengapa Harus Satu Tahun?

Argumen yang Apple berikan dengan dilakukannya pergerakan ini adalah semakin lama usia sertifikat maka semakin lama juga pernjahat menyalahgunakannya untuk dicuri atau ditandatangani secara ilegal untuk tujuan berbahaya. Jadi, mengapa tidak dikurangi saja menjadi maksimal satu tahun validasi?

Tentunya, hampir semua orang di industri ini sepakat bahwa pengurangan masa valid sertifikat juga dibutuhkan, dengan riwayat pengurangan di bawah ini melalui Chromium.

*untuk penjelasan non-technical dimulai dengan tanda (//)

*BR merupakan singkatan dari Baselin Requirements, sebuah prinsip persetujuan yang menerapkan standard minimum pada sertifikat.

riwayat pengurangan masa valid sertifikat ssl/tls dari tahun ke tahun

Dari riwayat tersebut dapat dipahami, bahwa pengurangan masa validasi sertifikat tidak terjadi baru-baru ini saja, melainkan telah dilakukan sejak lama dari tahun ke tahun. Dari 10 tahun ke 5 tahun ke 3 tahun ke 2 tahun. Dan sekarang browser merencanakan mengurangi menjadi 1 tahun atau 398 hari.

Akan tetapi, perubahan ini tidak membebani hidup orang-orang yang mengelola sertifikat. Mari kita lihat sejauh apa perubahan ini mempengaruhi pada organisasi Anda.

 

Dampak Satu Tahun Sertifikat SSL/TLS bagi Admin Situs

Dari masa validasi dua tahun sertifikat SSL/TLS dipotong menjadi satu tahun, maka peluang miss expiration akan berkurang karena Admin Situs lebih sering berinteraksi dengan website dan meningkatkan prioritas keamanan.

Dan jika Anda adalah Situs Admin sekaligus pemilik, maka dengan adanya kebijakan baru ini maka Anda akan menjadi lebih sibuk dari sebelumnya dalam mengelola sertifikat serta mendapatkan tambahan kepercayaan untuk menjadi yang lebih aman karena:

  • Sertifikat Anda memiliki informasi paling terkini.
  • Kunci sertifikat Anda dirotasi sesering mungkin.
  • Jauh dari kekhawatiran sistem yang terbengkalai (misal, tidak memperbarui hash algoritma sejak 3 tahun lalu).

 

Dampak Satu Tahun Sertifikat SSL/TLS bagi Reseller

Singkatnya, pengguna bisa melanjutkan menerbitkan sertifikat 2 tahun sampai 31 Agustus 2020 dan menggunakan hingga masa aktifnya habis. Dan sertifikat yang diterbitkan setelah tanggal tersebut harus diterbitkan dengan masa valid 1 tahun agar terbilang valid pada browser, jadi pastikan kepada pelanggan Anda untuk memilih masa validasi 2 tahun sertifikat SSL/TLS selagi masih ada kesempatan sebelum 1 September tiba.

Para pihak penyedia layanan juga harus selalu berkomunikasi dengan pelanggan dan bersedia melakukan penerbitan serta verifikasi ulang setiap tahunnya. Penyedia harus lebih proaktif agar menghindari komplen pelanggan akibat miss expiration pada sertifikat SSL/TLS. Jaga komunikasi dengan mengirimkan email reminder perpanjangan secara bertahap; 90-60-30-14-7-3 hari sebelum tanggal kedaluwarsa.

 

Tindakan CA Untuk Plan Ini?

 

GogetSSL

Sebagai CA baru, GogetSSL juga mengambil tindakan cepat terhadap kebijakan validasi satu tahun ini.

  • Memberhentikan penerbitan sertifikat SSL/TLS untuk masa validasi 2 tahun mulai 1 September 2020

GogetSSL akan hanya menerbitkan sertifikat SSL/TLS untuk masa validasi 398 hari (13 bulan).

  • Tidak ada perpanjangan 90 hari sebelum expired

Masa aktif sertifikat terbaru adalah 398 hari, yang mana CA hanya dapat menambahkan bonus maksimal 30 hari saat penerbitan ulang sertifikat dilakukan.

Hal ini dilakukan karena sertifikat SSL/TLS manapun yang memiliki masa validasi lebih dari 13 bulan setelah 1 September 2020 akan dikenakan sebagai ‘policy violation’, yang berarti CA harus mengahadapi sidang disiplin dengan browser.

Situs web yang menggunakan sertifikat SSL/TLS validasi 2 tahun sebelum September 2020 akan tetap valid sampai tanggal kedaluwarsa, namun tidak bagi sertifikat yang terbit setelah tanggal tersebut.

 

Sectigo

Meskipun kebijakan satu tahun validasi sertifikat SSL/TLS gagal pada perhitungan suara tahun lalu, Sectigo telah mempersiapkan alternatif lainnya untuk mendukung jalannya kebijakan ini.

Sectigo mengumumkan bahwa penerbitan sertifikat SSL/TLS dengan validasi dua tahun hanya berlaku sampai 20 Agustus (07.00 WIB), setelah tanggal tersebut seluruh sertifikat SSL/TLS akan diterbitkan dengan maksimal masa validasi 398 hari (13 bulan).

Bagi Anda yang telah memiliki sertifikat SSL/TLS yang aktif dengan masa validasi 2 tahun dan ingin melakukan reissue sertifikat karena perubahan CSR, kehilangan private key, edit/tambah SAN, maka sertifikat tersebut akan mengurangi masa validasi menjadi 1 tahun sesuai kebijakan baru. Namun, pelanggan bisa melakukan reissue lagi untuk mendapatkan masa validasi yang terpotong saat mendekati tanggal habis sertifikat.

**Kebijakan ini juga berlaku terhadap brand GogetSSL, sebagai sub-CA dari Sectigo.

Sectigo akan mengikuti kebijakan validasi satu tahun ini dengan menawarkan paket multi year plan dan certificate management yang berkemampuan unggul untuk membantu pengguna dalam mengelola sertifikat SSL/TLS (keterangan solusi alternatif CA akan dijelaskan pada bagian sub topik di bawah).

 

Digicert

Awal bulan Agustus, Digicert sudah mengirimkan pengumuman terkait keputusan validasi satu tahun sertifikat SSL/TLS. Sebagai CA raksasa di industri, Digicert menghargai keputusan para Browser untuk menjalankan kebijakan tersebut dan tengah bersiap menawarkan beberapa solusi alternatif.

Digicert tetap akan menawarkan produk sertifikat SSL/TLS 2 tahun sampai 28 Agustus (07.00 WIB) kepada pelanggan yang informasi bisnisnya pernah divalidasi (pelanggan lama), dan menawarkan hingga 13 Agustus (07.00 WIB) kepada pelanggan yang perlu divalidasi bisnisnya (pelanggan baru). Dan untuk sertifikat 2 tahun yang berjalan sebelum 1 September 2020 akan tetap habis masa aktifnya tanpa perubahan atau modifikasi sertifikat. Namun, Digicert tidak dapat menerbitkan ulang (reissue) sertifikat SSL/TLS 2 tahun tersebut setelah 1 September 2020, tindakan reissue apapun (ganti CSR, hilang private key, tambah/hapus/edit SAN) akan mengurangi masa validasi menjadi 1 tahun sesuai kebijakan setelah 1 September 2020, pelanggan bisa melakukan reissue lagi untuk mendapatkan masa validasi yang terpotong saat mendekati tanggal habis sertifikat.

Sangat disarankan untuk memproses sertifikat SSL/TLS 2 tahun dari sekarang apabila Anda ingin tetap menggunakan validasi dua tahun.

 

Tanggapan Kami Terhadap Kebijakan ini

Mungkin dari sisi pengguna, kebijakan sedikit merepotkan karena dalam jangka tiap tahunnya mereka perlu menginstal ulang banyak sertifikat ke masing-masing server. Namun, itu semua akan menjadi bayaran yang sesuai dengan kerugian yang timbul akibat longgarnya keamanan situs perusahaan. Anda perlu tahu bahwa 79% perusahaan mengalami kerugian akibat kesalahan sertifikat. Dan untuk menghindarinya adalah dengan melakukan interaksi sesering mungkin dengan ekosistem sehingga sertifikat tetap terpantau dengan baik–tidak terjadi miss expiration–atau mengandalkan performa otomasi.

PusatSSL juga sedang mempersiapkan alternatif baru untuk memaksimalkan perubahan ini, apa yang sedang PusatSSL persiapkan adalah;

1. Multi Years Plan SSL/TLS

Tentu saja, Anda masih bisa menggunakan sertifikat SSL/TLS dengan masa validasi lebih dari setahun setelah 1 September 2020. Bagaimana bisa?

multi year plan sertifikat ssl/tls validasi satu tahunCA besar saat ini sedang mempersiapkan paket multi year dengan harga diskon sebagai antisipasi pertama. Anda bisa membeli sertifikat SSL/TLS dengan masa validasi 1-2-3-4 bahkan 5 tahun dan semakin lama masa validasi sertifikat SSL/TLS yang dipilih, maka semakin murah harga per tahunnya. Opsi ini akan menghemat budget Anda dalam jangka panjang, namun tetap saja diperlukannya penerbitan ulang manual di setiap tahunnya–maaf, tetapi tidak ada jalan lain untuk ini.

Menggunakan Multi Year Plan tetap memperbolehkan Anda untuk:

  • Mengubah atau menghapus SAN
  • Bebas melakukan reissue sertifikat
  • Mengubah masa aktif sertifikat kapanpun
  • Harga diskon setiap tahunnya dengan opsi maksimal 5 tahun

Adapun brand CA yang saat ini tengah menawarkan opsi multi year plan SSL/TLS adalah GogetSSL, Sectigo, Digicert, Symantec, GeoTrust, dan Thawte yang mana memberikan diskon harga per tahunnya jika Anda memilih opsi ini. Bagaimana untuk mengaktifkannya?

Hubungi tim Sales PusatSSL di informasi@pusatssl.com untuk detail lebih lanjut.

**Multi Year Plan tidak berlaku bagi pelanggan Sectigo yang menggunakan Certificate Management.

 

2. Certificate Management Automation

otomasi manajemen sertifikat ssl/tls caApabila Anda khawatir untuk mengelola ratusan sertifikat secara sembarangan yang berakhir merugikan bisnis perusahaan, Anda akan memiliki alasan yang bagus untuk menggunakan otomasi manajemen sertifikat. Di mana Anda bisa menjaga seluruh sertifikat yang dimiliki tetap pada tempatnya, menentukan waktu perpanjangan, mengatur pencabutan sertifikat dengan lebih efisien. Selain sertifikat SSL/TLS otomasi manajemen ini juga mendukung sertifikat Code, Email, Document Signing ataupun S/MIME.

Hubungi tim Sales PusatSSL di informasi@pusatssl.com untuk detail lebih lanjut.

 

Akhir Kata …

Pengumuman terbaru ini mungkin terdengar sangat mengejutkan, namun ini semua telah diprediksi dan tetap akan menjadi langkah baru bagi validasi satu tahun sertifikat SSL/TLS.

Perlu dicatat, kebijakan ini hanya berlaku untuk sertifikat SSL/TLS yang diterbitkan oleh CA atau publik tidak akan memberikan pengaruh kepada sertifikat internal, self signed, ataupun root administrator. Dan kebijakan ini diperuntukan bagi sertifikat SSL/TLS, jika Anda menggunakan sertifkat code signing, digital signing, ataupun S/MIME maka tidak perlu mengambil tindakan apapun.

Dan kepada Anda, pengguna maupun penyedia layanan harus mulai mempersiapkan perencanaan dengan salah satu opsi di atas, atau Anda harus membeli sertifikat SSL/TLS dengan maksimal masa validasi satu tahun. Namun, jika Anda ingin tetap membeli dengan masa validasi dua tahun… segera ‘lah beli sertifikat SSL/TLS dan menerbitkannya sebelum 1 September 2020. Karena seluruh Otoritas Sertifikat akan mengikuti kebijakan ini dan tengah mempersiapkan diri untuk kesibukan tanpa batas.

 

 

 

 

 

Sumber
https://support.apple.com/en-us/HT211025
https://www.thesslstore.com/blog/google-chrome-to-join-apple-safari-in-one-year-certificate-validity/#:~:text=At%20the%20end%20of%20last,1
https://chromium-review.googlesource.com/c/chromium/src/+/2258372
https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/
https://www.gogetssl.com/news/22.html
https://www.digicert.com/blog/1-year-public-trust-ssl-certificates/?om_ext_cId=dc_email_7010z000000ynaxAAA
https://docs.digicert.com/manage-certificates/multi-year-plans/?om_ext_cId=dc_email_7010z000000ynaxAAA
https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFKp
super
super