Sertifikat SSL (Secure Socket Layer) merupakan benteng kuat yang paling penting pada situs website. SSL akan melindungi informasi data pengunjung situs website dan server website melalui port lalu lintas data secara khusus.

Situs website yang menggunakan sertifikat SSL secara visual akan sangat mudah terlihat dan dikenali. Selain melihat tanda gembok hijau pada situs website, ada juga tulisan dengan awalan https. Namun perlu Anda ketahui juga bahwa banyak situs website yang hanya menggunakan sertifikat SSL gratis hanya untuk mendapatkan gembok hijau pada situs website.

Sertifikat SSL gratis memiliki tingkat enkripsi yang berbeda dengan berbayar. Banyak situs website pemerintah masih mengandalkan sertifikat SSL gratis sebagai standard keamanan situs website. Hal tersebut meningkatkan kemungkinan terjadinya peretasan.

Setiap tahun situs pemerintahan di Indonesia terdapat penyerangan oleh para penjahat cyber. Tahun ini situs KPAI menjadi salah satu sasaran. Hal ini mengindikasikan bahwa situs website pemerintahan masih tidak perduli dengan keamanan situs website.

SSL Indonesia telah memberikan rekomendasi sertifikat SSL yang sangat cocok digunakan pada situs website khususnya situs website pemerintahan dan BUMN. Lalu bagaimana proses penerbitan sertifikat SSL pada situs website pemerintahan?

Proses penerbitan sertifikat SSL melewati proses verifikasi terlebih dahulu untuk memastikan kebenaran dan keabsahan pemesanan SSL oleh pengguna. Ada 3 jenis validasi SSL dan masing-masing jenis validasi memiliki syarat dan ketentuan yang berbeda sebelum diterbitkan.

Domain Validation (DV)

Jenis validasi DV ini menjadi standard validasi yang terutama namun sangat tidak direkomendasikan pada situs website pemerintahan dan BUMN karena tingkat enkripsi yang sangat rendah. Proses verifikasi domain validation ini hanya dibutuhkan 2 langkah verifikasi untuk mendapatkan sertifikat SSL.

Email Konfirmasi terhadap kepemilikan domain (Approver Email)

Konfirmasi email ini menjadi salah satu langkah dasar yang dilakukan oleh pihak penyedia otoritas sertifikat / CA. Setelah Anda melakukan pembelian sertifikat SSL pada SSL Indonesia, pastikan bahwa email yang Anda daftarkan pada Administrative Contact details merupakan email aktif yang dapat menerima email approval domain Anda.

Secara default alamat email yang biasa digunakan adalah salah satu dari email berikut admin@, administrator@, postmaster@, webmaster@ dan hostmaster@.  Sebelum melakukan pendaftaran pastikan bahwa email tersebut terdaftar pada mail server Anda sehingga Anda akan mendapatkan email approval yang dikirimkan oleh penyedia otoritas sertifikat/ CA.

Pemeriksaan Keamanan

Pemeriksaan keamanan ini bertujuan untuk melakukan check kembali setelah melakukan approval. Pada tahap ini pihak CA akan melakukan pemeriksaan terhadap isian data saat enrolment. Jika pihak CA melihat kejanggalan ataupun tidak metching isian data antara CSR dengan domain register (WOIS Lookup) maka akan dilakukan rejected dan akan di proses selama 1×24 jam aktivasi.

Organization validation (OV)

Organization Validation (OV) adalah validasi tingkat menengah yang akan melakukan verifikasi terhadap domain dan identitas pemesan sertifikat SSL baik itu organisasi maupun perusahaan. Proses verifikasi organisasi membutuhkan beberapa dokumen pendukung yang akan membuktikan nama pembeli baik organisasi maupun perusahaan telah terdaftar dan sesuai dengan data pemesanan SSL.

Ada 4 langkah yang harus di lewati untuk mendapatkan sertifikat SSL jenis OV ini:

Otentikasi Organisasi

Tahap ini dilakukan oleh CA untuk memastikan bahwa organisasi telah terdaftar secara resmi di instansi pemerintah. Jika yang melakukan pembelian adalah situs pemerintahan maka cukup memberikan surat dukungan yakni surat keputusan kedinasan maupun surat keputusan kementrian.

Otentikasi Domain

Tahap ini digunakan untuk melakukan konfirmasi kepemilikan domain. Sama halnya dengan proses verifikasi pada domain validation.

Otentikasi Alamat dan Telepon

Untuk memastikan keabsahan organisasi atau perusahaan pembeli sertifikat SSL, CA akan melakukan penelusuran terkait dengan alamat dan nomor telepon yang terdaftar.

Verifikasi Telepon/ Panggilan

Ini merupakan tahap terakhir sebelum akhirnya sertifikat SSL akan terbit. Tujuan dilakukannya verifikasi panggilan adalah konfirmasi informasi data yang telah ditelusuri sebelumnya. Biasanya penyedia otoritas atau CA akan melakukan panggilan terhadap nomor telepon yang telah dicantumkan, menanyakan perihal data yang telah diisi pada form enrolment sertifikat. Setelah itu CA akan mengirimkan sertifikat jika sudah dilakukan verifikasi panggilan.

Extended Validation (EV)

Proses verifikasi ini merupakan proses verifikasi dengan tingkat enkripsi paling tinggi dibandingkan dengan kedua jenis validasi sebelumnya. Proses penerbitan sertifikat jenis ini juga membutuhkan pemeriksaan yang ketat untuk memastikan identitas pengelola situs website.

Ada 9 tahap yang harus diikuti untuk melakukan penerbitan sertifikat SSL jenis EV ini:

Otentikasi Organisasi

Proses otentikasi ini sama saja dilakukan oleh CA seperti pada proses validasi di OV.

Eksistensi Operasional

Tahap ini merupakan syarat khusus dari pihak penyedia otoritas sertifikat. EV dapat diterbitkan hanya pada situs website yang sudah berjalan kurang lebih selama 3 tahun. Biasanya untuk organisasi swasta dibuktikan dengan informasi ditjen AHU yang didapat dari Kemenkumham. Sedangkan untuk situs pemerintahan, cukup dengan surat dukungan berupa surat keputusan kedinasan maupun kementrian. Biasanya pihak CA juga akan melakukan penelusuran terkait pembenaran organisasi pemerintahan yang aktif.

Otentikasi Domain

Proses otentikasi domain sama dengan proses yang terjadi pada jenis validasi DV dan OV. Hanya melakukan proses verifikasi lewat domain yang telah didaftarkan.

Otentikasi Alamat

Otentikasi alamat ini bertujuan untuk melihat keabsahan organisasi berdasarkan data yang tercantum pada dokumen pengajuan sertifikat SSL.

Otentikasi telepon

Otentikasi telepon digunakan untuk mengkonfirmasi informasi database pelanggan yang telah didaftarkan disesuaikan dengan informasi yang diisi pada administrative contact details.

Verifikasi Karyawan

Otoritas penyedia sertifikat SSL atau CA akan melakukan verifikasi dan konfirmasi kontak karyawan yang telah Anda daftarkan saat mengisi data enrolment. Hal ini juga dilakukan untuk memastikan informasi data jumlah karyawan serta informasi perusahaan.

Verifikasi Otoritas Penyedia Sertifikat

Proses ini terjadi saat Anda sudah pernah mendaftarkan perusahaan atau organisasi Anda menggunakan data karyawan yang sudah resign. CA akan melakukan konfirmasi dengan pimpinan perusahaan atau organisasi. CA akan memastikan apakah kontak yang melakukan pembelian memiliki ijin untuk membeli sertifikat SSL atas nama perusahaan.

Persetujuan Perjanjian

Penyedia otoritas sertifikat SSL atau CA akan memberikan dokumen terkait syarat dan ketentuan yang harus ditandatangani oleh organisasi. Namun sejauh ini penandatangan melalui CSR sudah mencakup hal tersebut.

Verifikasi Panggilan

Setelah dilakukan penyelidikan dan mendapatkan kepastian tentang data karyawan dan organisasi yang melakukan pengajuan maka CA akan melakukan pemanggilan untuk verifikasi akhir. Setelah terverifikasi maka akan langsung dikirimkan sertifikat SSL ke alamat email validasi yang telah dicantumkan pada CSR dan email validasi.

Itulah beberapa tahapan yang harus dilalui oleh organisasi, perusahaan maupun instansi pemerintahan saat melakukan penerbitan sertifikat SSL pada situs website. Tahapan ini bisa berubah sesuai dengan kelengkapan data yang didaftarkan oleh tiap instansi baik itu pada AHU maupun surat dukungan.

Jika Anda memiliki kendala dalam proses verifikasi, penerbitan dan instalasi silahkan hubungi tim SSL Indonesia melalui live chat ataupun email ke support@sslindonesia.com