Pemeriksaan lintas negara. Cek kebijakan. Kandang keamanan. Brankas rahasia. Ini hanya beberapa rintangan yang dihadapi oleh pihak Otoritas Sertifikat selama mereka berusaha menjaga keamanan situs web selama pandemi Covid-19.

Pengawasan Otoritas Sertifikat (CA)  memang sudah kompleks dan sulit sebelum merebaknya pandemi Corona Virus, namun dengan diberlakukannya pembatasan sosial (social distancing), karantina mandiri dan mengamankan diri di rumah berhari-hari membuat aktivitas meeting dengan tim keamanan dan memverifikasi sertifikat digital menjadi lebih sangat rumit.

Contohnya, pihak Vendor Browser ternama meminta CA untuk menjalankan audit tahunan, yang mana telah dilakukan oleh perusahaan pihak ketiga. Selain itu, CA juga yang melakukan key ceremony (prosedur dimana sepasang kunci—public key dan private key dihasilkan) yang digunakan pada sertifikat keamanan digital, dan bahkan berwenang untuk mencabut atau menghancurkan sertifikat yang rusak. Kebanyakan key ceremony tidak memerlukan Auditor, melainkan notaris, legal dokumen pengguna, sumber daya online terpercaya yang menyatakan adanya keaslian informasi. Ceremony key dilakukan oleh pihak yang terotorisasi yang berada di dalam lingkungan yang aman–untuk mengaksesnya membutuhkan beberapa lapisan otentikasi keamanan, termasuk menggunakan smart card dan pemindai biometrik.

Proses audit yang terlewat dan key ceremony yang tertunda dapat memiliki konsekuensi yang menghancurkan tidak hanya bagi CA itu sendiri, tetapi bagi seluruh website HTTPS, aplikasi yang menggunakan code signing, dan dokumen digital otentikasi yang bergantung pada sertifikat CA.

“Kami memiliki tim Audit apabila hal tersebut mungkin terjadi, dan kami memiliki material kunci yang harus dijaga dengan aman di pusat data, yang membutuhkan personel khusus untuk mengunjunginya secara langsung,” ungkap Nick France, CTO Sectigo.

Dalam situasi yang terbaik, peristiwa-peristiwa semisal tersebut melibatkan perencanaan yang cermat dan proses yang melelahkan. Pandemi telah membuat proses audit yang kompleks dan bahkan operasi manajemen lebih menantang saat adanya peningkatan penyerangan phising yang menyalahgunakan sertifikat, tangapan dari Arvid Vermote, CISO GlobalSign UK.

Beberapa CA juga mengatakan hal yang sama bahwa mereka sedang menangani insiden manajemen kunci dengan situasi terbaru ini. Akan tetapi, masih belum jelas berapa lama mereka akan bertahan, terlebih lagi jika situasi semakin memburuk.

Tantangan Bagi CA

Kebanyakan CA memiliki rencana kelanjutan bisnis yang ekstensif dan pemulihan untuk memastikan kunci root mereka dilindungi, diterbitkan, dicabut sesuai kebutuhan. Namun, mereka mengakui bahwa tidak ada persiapan sama sekali untuk menghadapi situasi di bawah pandemi Covid-19.

Beberapa tahun lalu GlobalSign menangangi risiko seputar keamanan dan ketersediaan kunci root, info dari Vermote. Perusahaan  memiliki lokasi di tiga benua berbeda dimana menangani sepasan kunci root yang aktif dan mengelola kunci jika satu atau bahkan dua lokasi menjadi tidak bisa diakses karena bencana alam, gangguan geopolitik,  atau sejenis peristiwa di luar kehendak lainnya.

“Kami awalnya membahas masalah itu, dan kami pikir akan cukup untuk memastikan ketahanan sumber daya kunci,” ujar Vermote.

Dan tidak beruntungnya, keadaan ini berubah saat pandemi global mempengaruhi ketiga wilayah GlobalSign. GlobalSign bersama CA lainnya telah ditunjuk sebagai bisnis penting di sebagian besar negara dan wilayah dimana mereka beroperasi, yang memungkinkan pegawainya untuk mengakses pusat data untuk manajemen key ceremony yang penting.

Namun, dikarenakan aktivitas tersebut membutuhkan sejumlah tugas–dan risik –selama pandemi utama, pihak CA telah mencoba untuk mengadaptasikan praktek dan jadwal mereka. Contohnya, DigiCert yang berbasis di Utah, US mengatakan bahwa aktivitas manajemen kunci ‘yang tidak penting’ditunda demi memprioritaskan keselamatan pegawai dan mempromosikan gerakan pembatasan sosial (social distancing) untuk menurunkan angka penyebaran pandemi. DigiCert tetap berhubungan dengan pelanggan untuk mengantisipasi adanya permintaan dan menjadwalkannya sesuai kebutuhan, mereka tidak melihat adanya dampak signifikan.

Tidak seluruh manajemen key ceremony bisa ditunda atau direncanakan berminggu-minggu maupun berbulan-bulan sebelumnya. CA terkadang akan mengalami keadaan darurat dimana kunci root perlu dicabut dan dihancurkan. Dan pada semisal kasus tersebut, key ceremony harus tetap berjalan.

Untuk menerbitkan kunci atau menandatangani sebuah daftar pencabutan sertifikat (CRL), Anda hanya memerlukan satu lokasi manajemen kunci. Berbeda dengan pencabutan sertifikat, pedoman menyatakan kalau Anda perlu menghancurkan seluruh salinan kunci yang dimiliki, yang mana mau tidak mau harus mengunjungi beberapa pusat data. Proses ini sangat menantang tentunya.

Akan tetapi, mungkin masalah besar yang muncul di antara para ahli adalah apakah CA memiliki rencanan berkelanjutan dan pemulihan. Beberapa perusahaan mungkin tidak memiliki infrastruktur atau personil untuk menanggapi peristiwa demikan secepat atau seefektif mungkin dalam keadaan darurat.

Meskipun GlobalSign dan Sectigo mengatakan sedang mengambil langkah konservatif bersama mitra kerja mereka selama pandemi, harus diketahui kalau ekosistem sertifikat digital sudah luas.

“Ada banyak CA yang lebih kecil secara regional,” ungkap Vermote, “dan saya penasaran bagaimana mereka menangani proses pencabutan, manajamen key ceremony, yang mana diperlukan bagi kunci yang dirusak dan sangat penting bagi keamanan internet dalam 24 jam penuh,”

 

 

Sumber:
https://searchsecurity.techtarget.com/news/252482099/COVID-19-strains-critical-certificate-authority-processes?track=NL-1820&ad=933784&src=933784&asrc=EM_NLN_126913477&utm_medium=EM&utm_source=NLN&utm_campaign=20200429_Ransomware,%20cloud%20attack%20spikes;%20COVID-19%20strains%20certificate%20authorities
super
super

Would you like to share your thoughts?

Your email address will not be published. Required fields are marked *

4 × one =