Keabsahan Sertifikat SSL pada Internet
Sebelum membahas secara detail bagaimana protocol ACME mempengaruhi sistem keabsahan sertifikat SSL, team SSL Indonesia akan membahas terlebih dahulu apa itu ACME, cara kerja ACME, serta bagaimana ACME mempengaruhi keabsahan sertifikat SSL. ACME (Automated Certificate Management Environment) merupakan manajemen sertifikat SSL tidak berbayar yang bekerja sama dengan Certificate Authority (CA).
Pada awalnya ACME dikembangkan oleh kelompok riset keamanan internet untuk CA public yaitu Let’s Encrypt. ACME inilah yang memfasilitasi seluruh model serta sistem bisnis Let’s Encrypt yang memungkinkan untuk mengeluarkan sertifikat SSL tervalidasi pada domain selama 90 hari dan dapat diperpanjang dengan proses awal ataupun diganti dengan sertifikat SSL berbayar.
Pada bulan Maret 2019, protocol ACME akhirnya diterbitkan dan ditetapkan sebagai standard internet (RFC 8555) dan CA komersial mulai mendukung protocol ini. Salah satu CA yang mendukung yakni Sectigo yang saat ini sedang menguji dukungannya untuk protocol ACME sebelum dilakukan penerbitan.
1. Apa itu Protokol ACME dan Bagaimana Cara Kerjanya?
Protokol ACME akan berfungsi dengan menginstall agen manajemen sertifikat pada server web yang diberikan. Organisasi atau domain akan mengalami validasi pada awalnya, dimana agen manajemen membantu aspek verifikasi kontrol domain, setelah selesai agen dapat meminta, memperbaharui dan mencabut sertifikat yang digunakan.
Cara kerja yang sangat unik, dimana agen memiliki pasangan kunci dan membagikannya pada CA saat awal proses validasi. Setelah validasi selesai dan agen diverifikasi sebagai pemilik pasangan kunci yang terbukti, ia dapat menggunakan kunciny secara digital untuk menandatangani CSR yang dihasilkannya lalu mengirimkannya ke CA melalui permintaan HTTPS.
CA akan menggunakan CSR bersamaan dengan public key yang terkait untuk mengeluarkan sertifikat lalu mengirimkan kembali ke agen. Agen akan mengunduh, menginstal lalu akan memberitahu kontak yang ditunjuk. Agen dapat diotomatiskan untuk check-in dengan CA pada interval yang diberikan untuk memutar sertifikat dan kunci. Agen dapat diinstal pada server apa pun yang menggunakan sertifikat X.509 dan dapat menangani beberapa domain pada server yang sama atau agen dapat diinstal pada basis per domain.
a. Penerbitan/ Pembaruan
Penerbitan atau pembaruan untuk mendapatkan sertifikat digital yang dikeluarkan, agen hanya perlu menghasilkan CSR untuk domain yang diinginkan dan mengirimkan ke CA. Pertama, agen akan menghasilkan CSr untuk domain, CSR ini akan didapatkan dari server yang digunakan. Hal tersebutlah menjadi alasan mengapa agen harus diinstall terlebih dahulu pada server. Setelah penerbitan CSR, Agen akan melakukan penandatanganan public key yang dihasilkan bersama CSR dengan private key yang sesuai. Lalu agen akan menandatangani seluruh CSR dengan private key sendiri.
Gambar diatas sebagai bentuk proses kerja sama antara agen dengan CA yang dapat menerbitkan sertifikat SSL tidak berbayar. Proses tersebut juga sama saat melakukan pembaruan, agen dapat dikonfigurasikan untuk melakukan ping pada CA secara berkala baik untuk menerbitkan sertifikat ataupun mengganti seluruh sertifikat digital yang digunakan.
b. Revocation
Proses revokasi ataupun pencabutan sama seperti proses mendapatkan sertifikat yang dikeluarkan. Jika ingin melakukan pencabutan sertifikat agen harus melakukan penandatanganan permintaan private key, CA akan melakukan verifikasi tanda tangan, mencabut sertifikat lalu menerbitkan informasi tersebut ke Certificate Revocations Lists (CRLs) dan Online Certificate Status Protocol responders (OCSPs) yang diperlukan. Ini merupakan mekanisme yang digunakan oleh browser untuk memeriksa validitas sertifikat SSL yang digunakan.
2. Bagaimana Pengaruh ACME dengan Keabsahan Sertifikat SSL?
Protokol ACME yang pada dasarnya sistem keamanan yang sederhana. Proses keamanan ini hanya mengandalkan agen sebagai media yang digunakan untuk aktivasi sertifikat SSL pada website. Protocol ini sudah menjadi keamanan standard yang digunakan pada website.
Lalu apakah ini sah dan dapat dikatakan secure untuk digunakan di website? Tidak! SSL tidak berbayar seperti ini Sangat tidak direkomendasikan oleh Team SSL Indonesia meskipun sudah di akui oleh Google.
Namun perlu Anda pahami bahwa protocol ACME juga dapat digunakan untuk menerbitkan sertifikat SSL dengan otentikasi tinggi pada website bisnis. Ini berkaitan dengan hubungan kerja sama antara penyedia otoritas CA dengan penyedia sertifikat, contohnya sectigo. Sectigo akan diberikan akun oleh CA dan melakukan investasi pada CA yang digunakan. Protokol yang digunakan masih sama hanya ada beberapa hal yang berbeda, yang terjadi secara independen tanpa menggunakan agen pada ACME.