Berkolaborasi dengan beberapa Otoritas Sertifikat, Digicert mengajukan 4 peningkatan untuk proses validasi sertifikat SSL/TLS EV
Kenapa sertifikat SSL/TLS EV berperan penting sebagai identitas website?
Apakah Anda mendengar ‘On the internet, nobody knows you’re a dog’? Kalimat yang diungkapkan oleh kartunis Peter Steiner pada 1993 adalah highlight dari kesadaran kita dalam mempercayai seseorang tanpa identitas di internet.
Di dalam internet telah banyak ‘aktor tanpa nama’ yang sering melakukan aktivitas jahat–phising, pembulian, penipuan, memangsa anak-anak, scamming, dan lainnnya. Karenanya, banyak pengguna internet yang cenderung melemparkan kecurigaannya saat berinteraksi dengan orang-orang, website, ataupun perusahaan yang tidak diketahui asal usulnya–atau dengan kata lain, ingin mengetahui identitas asli dari individu atau perusahaan tersebut yang berinteraksi dengan kita.
Apa yang Anda pikirkan apabila pergi ke pusat perbelanjaan dan mendapati sebuah toko tanpa nama bisnisnya?
Mungkin Anda akan terheran dan sekaligus tidak mempercayakan toko tersebut. Karena seorang pelanggan tidak bisa menerima tanpa identitas selama melakukan transasksi, pelanggan ingin tahu dengan siapa mereka berbisnis.
Sama halnya dengan berbisnis online, pelanggan memerlukan identitas website untuk dapat mempercayakan dan menjamin kegiatan transaksi mereka. Di toko fisik Anda bisa menemukan identitas bisnisnya pada papan plang. Namun, untuk online shop identitas bisa … disembunyikan. Seperti yang Steiner ungkapkan, Anda bisa menjadi seekor anjing, scammer, ataupun predator dan tidak ada yang mengetahuinya.
Di dalam lingkungan yang menyatu banyak dengan anonim, sertifikat SSL/TLS menjadi alat hebat yang bisa dimanfaatkan oleh konsumen untuk mengetahui siapa pemilik website dengan percaya diri, juga menolong mereka dalam memutuskan untuk mempercayainya atau tidak. Demikian, kami mendukung penuh SSL/TLS EV sebagai opsi kuat yang dapat digunakan. Dan itulah sebabnya kami bersemangat saat tahu Digicert telah mengusulkan peningkatan SSL/TLS EV.
4 Ajuan Proposal Digicert untuk Meningkatkan SSL/TLS EV
Digicert mengusulkan 4 spesifikasi pembaruan dan penambahan standar CA/B Forum untuk SSL/TLS EV. Penambahan ini akan menguatkan sertifikat dan memuaskan beberapa kelemahan yang ditunjukkan oleh peneliti.
- Melaksana proses validasi melalui CAA Record
CAA Record merupakan DNS entry yang meemungkinkan pemegang website untuk membatasi CA mana yang boleh menerbitkan sertifikat. Merupakan cara yang tepat untuk membasmi IT bayangan dan memastikan pihak perusahaan saja yang berwenang mengatur sertifikat website.
Namun, baru-baru ini CAA Record hanya bisa menentukan otoritas sertifikat saja. Digicert mengusulkan pengembangan CAA Record sehingga Administrator domain bisa mengontrol atau membatasi level validasi sertifikat yang mau diterbitkan untuk domainnya. Misal, Administrator bisa membatasi domainnya hanya untuk menggunakan SSL/TLS EV dari Otoristas Sertifikat tertentu. Jika, suatu perusahaan memperkerjakan seorang web developer dan dia menginstal file editor plugin wordpress, dia bisa menyelesaikan permintaan verifikasi domain dan menerbitkan sertifikat SSL/TLS sendiri dari CA yang tidak diotorisasi yang mana tidak mengendalikan baik sertifikat maupun private key. Ini akan menimbulkan masalah keamanan yang signifikan, apa yang terjadi ketika sertifikat menjadi kedaluwarsa?
Seandainya website perusahaan mengimplementasikan CAA Record yang membatasi domain untuk hanya dapat diterbitkan sertifikat EV dari Digicert, si web developer tidak akan bisa menerbitkan sertifikat apapun karena diidentifikasikan gagal oleh CAA.
- Memasukan data LEI ke dalam sertifikat
Menambahkan LEI ke SSL/TLS EV menawarkan 2 manfaat berikut:
- Menambahkan informasi tambahaan terkait organisasi perusahaan.
- Mengarahkan langsung kepada konsumen untuk meriset dan memverifikasi detail perusahaan.
Apabila Anda melihat sebuah perusahaan pada database LEI, Anda akan mendapatkan laporan dengan banyak detail tentang organisasi/perusahaan tersebut. Dimulai dengan informasi dasar:
Bahkan termasuk informasi anak dan induk perusahaan:
Dan infomasi tersebut sudah matang untuk digunakan sebagi data lain untuk menyelesaikan kasus penggunaan jaminan identitas perusahaan. Sama seperti SSL/TLS EV, infrastrukturnya sudah tersedia dengan jelas.
- Menstandarisasi sumber data untuk validasi EV
Di bawah pedoman EV sekarang, masing-masing CA memutuskan sendiri sumber data apa yang digunakan untuk melakukan validasi terhadap detail organisasi – dengan fakta, CA melakukan validasi organisasi untuk ratusan negara dan bisa saja ada banyak variasi dalam kualitas sumber data yang digunakan dari negara ke negara lainnya. Digicert mengusulkan kalau CA/B Forum menentukan daftar standarisasi sumber data yang dapat diterima untuk proses validasi EV.
Menggunakan sumber data yang berstandar menawarkan beberapa manfaat:
- Memperbaiki konsistensi dan kecepatan validasi EV
- Menutup celah potensi yang bisa digunakan oleh pihak tidak bertanggung jawab
- Bisa digunakan sebagai dasar untuk berurusan dengan benturan (collision).
- Menyertakan verifikasi trademark selama validasi EV
Karena SSL/TLS EV adalah tentang menunjukan identitas organisasi yang terverifikasi kepada pelanggan, trademark menjadi tambahan yang logis. Seperti yang dijelaskan oleh Dean Coclin (Digicert):
“Trademark are well known, understood, unique and can be validated. Consumers recognize them and so if a browser wanted to include the trademark in their UI, they could do so with confidence that it had been properly validated. If they don’t, that’s fine, but iyt would be in the cert for any relying party to examine.”
Trademark merupakan cara lainnya bagi pelanggan untuk meyakinkan jika mereka berinteraksi dengan perusahaan yang dimaksud. Misal, pelanggan PusatSSL merupakan trademark dari PT. Pusat Digital Indonesia. Namun, tidak segelintir pelanggan tahu jika PusatSSL merupakan brand yang dimiliki oleh PT. Pusat Digital Indonesia. Jika digambarkan dengan pedoman EV yang saat ini, maka hanya terbilang PT. Pusat Digital Indonesia saja. Namun, jika SSL/TLS EV mendisplay trademark PusatSSL, kepercayaan diri pelanggan bisa terbantu bahwa mereka benar-benar berada di website resmi yang dituju.
Di internet tidak ada yang tahu jika website Anda adalah resmi dan terverifikasi. Digicert sedang mencoba melakukan sesuatu untuk ini semua.
Sumber:
https://www.digicert.com/potential-enhancements-to-ev-standards/