Pihak CA/B Forum mengeluarkan pembaruan kebijakan validasi domain 2021 terhadap penerbitan sertifikat SSL/TLS yang telah disepakati pada pertemuan April dan Juni 2021. Pembaruan dan perubahan kebijakan ini berlaku untuk semua kategori sertifikat SSL/TLS, tetapi tidak mempengaruhi pada sertifikat SSL/TLS yang telah aktif atau diterbitkan sebelum tanggal-tanggal yang ditetapkan.
Pemotongan Masa Validasi Domain
Mulai 1 Oktober 2021 seluruh domain yang telah berhasil divalidasi tidak dapat lagi bertahan hingga 825 hari melainkan hanya 398 hari, ini adalah salah satu pembaruan kebijakan domain yang disepakati oleh CA/B Forum dalam Ballot SC42: 398 days reuse period dengan tujuan menjamin autentkasi kepemilikan domain yang valid dalam 13 bulan ke depan setelah diverifikasi.
“Insert as the last sentence in the third paragraph of section 4.2.1 of the BRs, “Effective 2021-10-01, for validation of Domain Names and IP Addresses according to Section 3.2.2.4 and 3.2.2.5, any reused data, document, or completed validation MUST be obtained no more than 398 days prior to issuing the Certificate.”
Validasi Domain Wildcard dan HTTP File
Pada Ballot SC45: Wildcard Domain Validation, pihak CA/B Forum menyampaikan pembaruan prosedur validasi untuk domain Wildcard yakni pengguna tidak diizinkan menggunakan metode Upload HTTP File untuk menuntaskan verifikasi domain Wildcard. Dengan beberapa pertimbangan CA/B Forum melarang HTTP File sebagai metode verifikasi Non FQDN (Fully Qualified Domain Name), perhatikan skema di bawah ini.
Pada sertifikat SS/TLS Wildcard dengan common name *.pusatssl.com, mengartikan seluruh subdomain di bawah nama pusatssl.com yang tidak dicantumkan secara detail melainkan dipresentasikan dengan simbol asterisk (*.) dan itu dianggap sebagai Non FQDN oleh industri, pahami lebih lanjut apa itu FQDN. Sehingga pada tahap ini, validasi domain Wildcard akan disesuaikan dengan tidak mengandalkan HTTP File sebagai prosedur verifikasi dan autentikasi.
Pembaruan kebijakan ini juga sekaligus mewajibkan setiap nama domain atau FQDN untuk divalidasi secara individual jika menggunakan HTTP File. Bila biasanya pengguna hanya perlu mengunggah HTTP File pada lokasi berdasarkan base atau root domain, maka setelah kebijakan ini diterapkan pengguna harus mengunggah HTTP File berdasarkan lokasi seluruh FQDN yang dipunya.
Contoh lokasi file yang diunggah:
https://pusatssl.com/.well-known/pki-validation/fileauth.txt (prosedur saat ini)
menjadi
http://sub.pusatssl.com/.well-known/pki-validation/fileauth.txt (prosedur baru)
Apabila pengguna hendak menerbitkan sertifikat SSL/TLS Multi Domain dengan beberapa daftar SAN di dalamnya, maka perlu menyelesaikan proses validasi secara individual untuk keseluruhan domain yang terdaftar (satu per satu) dengan tidak lagi berdasarkan base domain seperti contoh di atas. Kebijakan baru ini akan diberlakukan mulai 1 Desember 2021 mendatang.
Catatan: CA DigiCert mengefektifkan kebijakan validasi domain Wildcard ini lebih awal yaitu 15 November 2021.
Apa yang Harus Dilakukan?
Pembaruan kebijakan validasi domain ini menitikberatkan pada metode HTTP File, yang artinya pengguna masih bisa memanfaatkan 2 metode validasi domain lainnya yaitu Email Authentication dan DNS approval untuk menerbitkan semua jenis dan tipe sertifikat SSL/TLS berkualitas. Kedua metode tersebut tidak terdampak terhadap kebijakan yang dikeluarkan sehingga pengguna tetap bisa melakukan validasi domain tanpa kendala.
Secara teknis dan dalam jangka waktu dekat tidak dibutuhkan tindakan apapun untuk menanggapi pembaruan kebijakan validasi domain ini, namun pengguna perlu mempersiapkan beberapa hal.
- Memperbarui domain setiap 398 hari atau 13 bulan
Bagi pengguna yang memanfaatkan Multi Year Plan SSL lebih dari satu tahun, pastikan sertifikat SSL/TLS berkualitas Anda diperbarui (reissue) setiap tahunnya agar masa validasi domain dan sertifikat tetap terjaga hingga mencapai batas kedaluwarsa (expired date). Domain dan sertifikat SSL/TLS yang tidak diperbarui memungkinkan munculnya gangguan bahkan perlu divalidasi ulang.
- Mengubah preferensi metode validasi domain
Pilih metode validasi domain di antara Email Authentication atau DNS approval untuk proses verifikasi yang efisien setelah 1 Desember 2021, mengingat HTTP File akan membutuhkan waktu dan tenaga di mana Anda perlu menyelesaikan validasi untuk seluruh domain atau FQDN satu per satu. Pelajari lebih lanjut metode validasi domain lainnya.
- HTTP File hanya diperuntukan bagi single domain
Jika Anda beli sertifikat SSL/TLS Single Domain untuk satu domain atau FQDN, maka tidak masalah memanfaatkan HTTP File sebagai metode validasi domain karena hanya memverifikasi satu domain individu.
Ilustrasi Penempatan Lokasi HTTP File
Dengan gambaran di atas, pengguna harus memahami bahwa pada 1 Desember 2021 mengunggah HTTP File pada lokasi base atau root domain tidak dapat dilakukan dengan mengikuti penetapan kebijakan validasi domain terbaru. Namun, sebelum tanggal tersebut pengguna masih bisa menggunakan metode HTTP File sebagai preferensi validasi domain dan penerbitan sertifikat SSL/TLS.
Pembaruan kebijakan di atas berlaku bagi semua jenis validasi sertifikat SSL/TLS berkualitas (DV, OV, EV) baik itu untuk pembelian baru maupun perpanjangan.
Hubungi tim PusatSSL untuk pertanyaan lebih lanjut di Email (informasi@pusatssl.com) atau WhatsApp (62 811 1701 899)