
Sertifikat SSL sangat krusial untuk keamanan website. Namun, apa jadinya jika sertifikat nan semestinya melindungi website justru dicabut?
Ada beragam penyebab SSL Certificate Revoked alias dicabut dari website. Apa sajakah itu? Dan gimana langkah mencegahnya?
Temukan jawabannya di tulisan ini, yuk, GudPeople!
Apa Tujuan SSL Certificate Revoked?
Pencabutan sertifikat SSL bermaksud untuk membatalkan validitas sertifikat sebelum tanggal kedaluwarsanya.
Alasannya beragam, tetapi umumnya berangkaian dengan masalah keamanan alias perubahan administratif, seperti:
| Alasan Pencabutan | Deskripsi |
| Key Compromise | Terjadi ketika private key nan mengenai dengan sertifikat dicuri alias diakses oleh pihak tidak berwenang. |
| Kesalahan penerbitan | Jika sertifikat diterbitkan dengan info nan salah alias dengan langkah tidak benar, sertifikat tersebut kudu dicabut. |
| Perubahan kepemilikan domain | Hal ini dilakukan untuk mencegah potensi penyalahgunaan oleh pemilik domain nan baru. |
| Serangan Siber (Cyberattacks) | Jika terjadi serangan malware alias serangan siber lainnya, kudu melakukan pencabutan sertifikat SSL. Jika tidak, sertifikat nan dikompromikan bisa digunakan untuk menyebarkan malware lebih lanjut. |
| Perubahan CA | Jika tidak lagi berafiliasi dengan Certificate Authority (CA) nan menerbitkan sertifikat, Anda perlu mencabutnya. |
Apa Itu Daftar Pencabutan Sertifikat / Certificate Revokation List (CRL)?
Daftar Pencabutan Sertifikat alias Certificate Revocation List (CRL) adalah sebuah daftar nan berisi sertifikat-sertifikat SSL/TLS nan telah dicabut oleh CA penerbitnya sebelum tanggal kedaluwarsa nan dijadwalkan.
Tujuan utama CRL adalah untuk meningkatkan keamanan.
Jika sertifikat kompromi, misalnya, private key dicuri, nan tidak dicabut dan masuk CRL, pihak jahat bisa menggunakannya untuk menyamar sebagai server sah, alias dikenal serangan man-in-the-middle.
Karena keterbatasan CRL, ada protokol lain nan lebih modern nan disebut Online Certificate Status Protocol (OCSP).
Apa Itu Online Certificate Status Protocol (OCSP)?
Online Certificate Status Protocol (OCSP) adalah sebuah protokol internet nan digunakan untuk menentukan status pencabutan sertifikat digital X.509 (seperti sertifikat SSL/TLS) secara real-time.
OCSP jauh lebih sigap daripada mengunduh CRL nan besar. Browser hanya perlu menanyakan status satu sertifikat, bukan mengunduh daftar komplit sertifikat nan dicabut.
Cara Kerja OCSP
1. Permintaan dari Klien
Ketika browser terhubung ke server nan menggunakan sertifikat SSL/TLS, browser bisa mengirimkan permintaan OCSP ke OCSP responder.
OCSP responder ini biasanya dioperasikan oleh CA nan menerbitkan sertifikat tersebut. Permintaan OCSP berisi nomor seri sertifikat nan mau diperiksa.
2. Respon dari OCSP Responder
OCSP responder memeriksa status sertifikat dalam database-nya dan memberikan salah satu dari tiga respons berikut:
- “Good” (Baik): Sertifikat tersebut sah dan belum dicabut.
- “Revoked” (Dicabut): Sertifikat tersebut telah dicabut.
- “Unknown” (Tidak Diketahui): Responder tidak mempunyai info tentang sertifikat tersebut (biasanya lantaran sertifikat tersebut tidak diterbitkan oleh CA nan bersangkutan).
3. Tindakan oleh Klien
Berdasarkan respons OCSP, browser bakal mengambil tindakan:
- Jika responsnya “Good”, browser bakal melanjutkan hubungan nan aman.
- Jika responsnya “Revoked”, browser bakal menampilkan peringatan keamanan kepada pengguna dan mungkin memblokir koneksi.
- Jika responsnya “Unknown”, browser mungkin bakal memperlakukan sertifikat tersebut sebagai sah alias tidak valid, tergantung pada konfigurasinya (kebijakan fail-soft alias fail-hard).
Reissue (Mengeluarkan Ulang) SSL Setelah Pencabutan
Setelah mencabut sertifikat SSL, Anda perlu menerbitkan ulang (reissue) sertifikat baru jika tetap mau mengamankan situs web dengan SSL/TLS.
Pencabutan membatalkan sertifikat nan lama, dan sertifikat tersebut tidak bisa digunakan lagi.
Ini langkah-langkah nan kudu dilakukan dalam proses publikasi ulang (reissue):
1. Identifikasi Alasan Pencabutan
Pastikan Anda memahami kenapa sertifikat original dicabut.
Ini krusial untuk menghindari masalah nan sama terulang kembali dengan sertifikat baru.
Misalnya, jika pencabutan lantaran private key kompromi, Anda kudu membikin key pair nan betul-betul baru.
2. Buat Certificate Signing Request (CSR) Baru
Dalam kebanyakan kasus, Anda perlu membikin CSR baru dari server tempat sertifikat bakal dipasang. CSR ini berisi info tentang situs web Anda dan private key nan baru.
Proses pembuatan CSR berbeda-beda tergantung pada jenis server web dan sistem operasi nan Anda gunakan (Apache, Nginx, IIS, dll.). Jangan gunakan kembali kunci privat lama.
3. Ajukan Permintaan ke CA
Anda mengusulkan CSR baru ini ke CA tempat membeli sertifikat asli, alias ke CA lain jika mau beralih. Proses ini biasanya dilakukan melalui situs web CA.
CA bakal melakukan pengesahan ulang terhadap identitas alias organisasi Anda, sesuai jenis sertifikat nan diminta (DV, OV, alias EV). Tingkat pengesahan ini menentukan seberapa ketat pemeriksaan nan dilakukan CA.
4. Penerbitan Sertifikat dan Instalasi Sertifikat Baru
Setelah pengesahan berhasil, CA bakal menerbitkan sertifikat SSL baru.
Unduh sertifikat baru dari CA, dan instal di server web Anda. Proses instalasi juga berbeda-beda tergantung pada jenis server.
Biasanya, Anda perlu menggabungkan sertifikat utama dengan sertifikat intermediate (jika ada) dari CA, lampau mengonfigurasi server web untuk menggunakan sertifikat tersebut.
Pastikan untuk me-restart server web setelah instalasi, ya.
5. Uji Sertifikat
Setelah sertifikat baru terpasang, sangat krusial untuk menguji apakah sertifikat berfaedah dengan benar.
Gunakan tools online seperti SSL Labs’ SSL Server Test untuk memeriksa konfigurasi, rantai sertifikat, dan potensi masalah lainnya.
Beli SSL Lebih Hemat di GudangSSL!
GudangSSL adalah penyedia sertifikat SSL terbaik dan termurah nan menyediakan sertifikat SSL dari beragam brand ternama, seperti Sectigo, Globalsign, Entrust, Sectigo, Symantec, dan banyak lagi.
Kami juga menyediakan beragam produk SSL dengan harga 30% lebih hemat daripada CA!
Semua produk SSL di GudangSSL bisa bekerja di lebih dari 99% browser! Bila ada masalah, kami memberikan GARANSI 15 HARI setelah SSL diaktifkan!
Yuk, amankan website Anda sekarang dengan sertifikat SSL dari GudangSSL!
HUBUNGI KAMI SEKARANG!
1 tahun yang lalu
English (US) ·
Indonesian (ID) ·