Let’s Encrypt Hapus Sertifikat SSL Aktif – SSL Indonesia

Let's Encrypt ssl gratis

Let’s Encrypt Hapus Sertifikat SSL Aktif – SSL Indonesia

Salah satu penyedia sertifikat SSL gratis dengan sistem perpanjangan sertifikat per tiga bulan yakni Let’s Encrypt. Sertifikat SSL Let’s Encrypt ini merupakan sertifikat yang masih banyak digunakan oleh pemilik situs website.

Selain karena memberikan sertifikat secara gratis, sertifikat ini juga diakui dan menjadi standard keamanan pada browser seperti Google Chrome dan Mozilla Firefox.

Pada tanggal 3 maret 2020 Let’s Encrypt sebagai penyedia otoritas sertifikat SSL CA gratis terbesar di dunia, mengumumkan kepada para pengguna bahwa mereka menemukan bug yang menyebabkan jutaan sertifikat SSL akan dicabut atau dinonaktifkan pada tanggal 4 maret 2020.

Hal ini dapat berdampak pada proses penelusuran yang akan di cekal oleh browser, tingkat keamanan yang kecil sehingga mudah di hack dan kerahasiaan informasi. Lalu Mengapa Let’s Encrypt melakukan penonaktifan sertifikat SSL secara massal?

Situasi Darurat SSL Let’s Encrypt

Pada tanggal 29 februari 2020, Let’s Encrypt menemukan bug pada kode keamanan mereka. Hal tersebut memungkinkan penerbitan sertifikat SSL tidak melalui pemeriksaan catatan domain yang benar. Masalah ini mengakibatkan pencabutan sertifikat SSL secara massal. Lebih dari 3 juta pengguna sertifikat aktif dilakukan pencabutan dan dinonaktifkan.

Sertifikat yang dilakukan pencabutan ini dapat diperbaharui kembali dengan melakukan proses validasi atau penerbitan ulang dan melakukan proses instalasi kembali.

Jacob Hoffman Andrews sebagai pengembang SSL Let’s Encrypt menyatakan bahwa bug sebagai akar masalah pencabutan sertifikat terdapat pada CAA mereka. Sebagai pemeriksa catatan otorisasi sertifikat CAA harus memiliki catatan detail dan sistem yang tidak cacat untuk melakukan proses validasi domain yang diajukan.

Pemeriksa Catatan Domain CAA

Sebagai pemeriksaan catatan otorisasi sertifikat CAA merupakan sumber daya yang dibuat untuk membantu mencegah adanya penerbitan sertifikat SSL secara curang. Hal ini akan membantu memperkuat ekosistem PKI (Public Key Infrastruktur).

CAA menjadi pusat catatan DNS pada domain dan harus dilakukan pemeriksaan domain oleh penyedia otoritas sertifikat yakni CA sebagai penerbit. CAA membantu CA untuk mengetahui apakah CA berwenang untuk mengeluarkan sertifikat pada domain yang telah diajukan untuk di amankan.

Jika terdapat catatan CAA, itu berarti CA yang terdaftar dapat menerbitkan sertifikat untuk domain spesifik yang di minta. Namun jika pada CAA tidak terdapat catatan terkait CA terdaftar, maka CA tidak dapat menerbitkan sertifikat pada domain yang diminta. Inilah mengapa CA selalu melakukan proses validasi data informasi pengguna sertifikat SSL.

Setiap kali otoritas sertifikat CA mengeluarkan sertifikat SSL, mereka diharuskan untuk mengikuti langkah-langkah spesifik yang diuraikan dalam dokumentasi persyaratan dasar (BR) CA / Browser Forum. Forum ini merupakan badan industry yang terdiri dari CA, browser dan produsen perangkat.

Sebagai bagian dari proses penerbitan, CA HARUS memeriksa catatan CAA dan mengikuti instruksi pemrosesan yang ditemukan, untuk setiap DNS Name dalam ekstensi SAN (Subject Alternative Name)  dari sertifikat yang akan diterbitkan. Jika CA menerbitkan sertifikat, mereka HARUS melakukannya secara tertulis dari catatan CAA, disetujui dan dapat diaktifkan 8 jam setelah proses validasi data.

Ini pada dasarnya berarti bahwa sertifikat Let’s Encrypt maupun brand lainnya diperlukan untuk memeriksa catatan CAA dalam waktu 8 jam sebelum sertifikat diterbitkan. Jika mereka tidak memenuhi persyaratan ini, apakah karena bug atau karena alasan lain, mereka harus secara massal mencabut sertifikat yang tidak dikeluarkan dengan cek CAA yang tepat.

Tips Jika SSL Let’s Encrypt Dicabut

Jika Anda adalah pengguna sertifikat SSL let’s Encrypt yang dinonaktifkan. Anda tidak perlu khawatir, karena Anda dapat melakukan pembaharuan ulang. Namun perlu Anda ketahui bahwa, sertifikat gratis seperti Let’s Encrypt ini tidak dianjurkan digunakan pada website yang menyimpan data sensitive seperti email dan password bahkan pada website yang melakukan proses transaksi online.

Ada kemungkinan sertifikat ini akan melakukan pencabutan ulang secara massal, karena banyaknya pengguna sertifikat. Let’s Encrypt sebagai standard keamanan browser, bukan berarti sebagai standard bahwa website yang Anda kunjungi adalah website yang tepat.

Pastikan Anda berpindah dari sertifikat gratis menjadi berbayar untuk menghindari adanya tindak kejahatan pada browser Anda. SSL Indonesia menyediakan sertifikat SSL murah dari berbagai brand seperti Digicert, Symantec, GeoTrust, Thawte, Sectigo, RapidSSL dan GlobalSign.

Share this post