Sertifikat SSL adalah kredensial tepercaya yang dikeluarkan oleh otoritas sertifikat (CAs) terkenal yang telah disertifikasi oleh WebTrust. Sertifikat ini digunakan untuk mengotentikasi pengunjung situs web dan mengenkripsi data selama transmisi. SSL merupakan protokol keamanan yang menyediakan mekanisme enkripsi untuk transmisi data aplikasi pada jaringan TCP/IP, termasuk HTTP, Telnet, dan FTP. Protokol ini menggunakan kunci publik untuk mengenkripsi data yang ditransmisikan melalui koneksi TCP/IP, memastikan integritas pesan serta mengotentikasi server dan klien. Otentikasi klien bersifat opsional.
Implementasi
Enkripsi berbasis sertifikat SSL
SSL menerapkan komunikasi aman berdasarkan mekanisme hibrida enkripsi asimetris untuk otentikasi dan enkripsi simetris untuk transmisi data. Proses inti terdiri dari dua fase: pembuatan dan verifikasi sertifikat serta pembangunan sesi terenkripsi.
Pembuatan dan Verifikasi Sertifikat
Ketika server mengajukan permohonan sertifikat dari CA, server pertama-tama menghasilkan pasangan kunci berbasis Rivest-Shamir-Adleman (RSA) 2048-bit atau kriptografi kurva eliptik (ECC) 256-bit. Kemudian, server mengemas informasi yang diperlukan, seperti kunci publik, nama domain, dan informasi perusahaan, menjadi permintaan penandatanganan sertifikat (CSR).
Setelah CA menyetujui verifikasi kepemilikan nama domain menggunakan metode verifikasi Domain Name System (DNS) atau verifikasi file, CA menggunakan kunci privatnya sendiri untuk menandatangani secara digital kunci publik server dan menghasilkan sertifikat standar. Tanda tangan ini membantu menghasilkan rantai kepercayaan dalam struktur berikut: sertifikat root, sertifikat perantara, dan sertifikat server. Browser memverifikasi semua sertifikat dalam struktur ini untuk mencegah pemalsuan.
Pembangunan Sesi Terenkripsi
Dalam proses jabat tangan TLS, klien mengirimkan pesan ClientHello untuk memulai proses jabat tangan. Pesan tersebut mencakup cipher suite yang didukung dan angka acak.
Server merespons dengan pesan ServerHello, memilih cipher suite, dan mengirim rantai sertifikatnya.
Klien memeriksa validitas sertifikat, termasuk nama domain, periode validitas, dan status pencabutan seperti Protokol Status Sertifikat Online (OCSP).
Klien menghasilkan pre-master key, mengenkripsinya dengan kunci publik server, dan mengirimkannya ke server.
Klien dan server menggunakan pre-master key dan angka acak mereka untuk mendapatkan kunci sesi melalui mekanisme pertukaran kunci, seperti Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) atau Diffie-Hellman Ephemeral (DHE).
Komunikasi selanjutnya menggunakan algoritma enkripsi simetris, seperti Advanced Encryption Standard (AES), untuk meningkatkan performa dan mengurangi beban komputasi.
Sertifikat SSL menggunakan pasangan kunci dan algoritma seperti RSA, ECC, atau SM2 untuk mengenkripsi dan mendekripsi data. Untuk informasi lebih lanjut, lihat Algoritma Enkripsi Sertifikat dan Apa itu Kunci Publik dan Privat?
Skenario dan penggunaan
Situs web tanpa sertifikat SSL tidak dilindungi. Semua data transmisi dikirim dalam teks biasa, sehingga penyerang dapat dengan mudah mencegat informasi sensitif seperti kata sandi pengguna dan nomor kartu bank melalui metode seperti Wi-Fi publik dan sniffing jaringan. Sebagai contoh, serangan man-in-the-middle (MITM) dapat diluncurkan terhadap halaman pembayaran e-commerce suatu perusahaan, yang mengakibatkan pencurian dana. Browser menandai situs web semacam itu sebagai tidak aman, yang langsung menyebabkan hilangnya lalu lintas. Selain itu, komunikasi yang tidak dienkripsi dapat melanggar berbagai regulasi global, dan perusahaan yang terlibat dapat menghadapi denda tinggi serta kehilangan kualifikasi kepatuhan di industri seperti keuangan dan perawatan kesehatan.
Jika sertifikat SSL diterapkan, saluran aman yang dibangun oleh mekanisme enkripsi hibrida sangat sulit dan memakan waktu untuk dipecahkan meskipun data dicegat, karena membutuhkan sejumlah besar sumber daya komputasi dan waktu. Setelah sertifikat SSL diterapkan, ikon gembok akan ditampilkan di bilah alamat browser Anda. Jika Anda menerapkan sertifikat validasi ekstensif (EV), nama perusahaan Anda akan ditampilkan di bilah alamat. Ini secara signifikan meningkatkan kepercayaan pengguna terhadap situs web. Secara hukum, sertifikat SSL memenuhi persyaratan lebih dari 20 sertifikasi internasional, termasuk Skema Perlindungan Multi-Tingkat (MLPS) 2.0 dan PCI-DSS, sehingga menghindari risiko hukum.
Prosedur
Pembelian
Alibaba Cloud mendukung sertifikat divalidasi domain (DV), divalidasi organisasi (OV), dan EV. Alibaba Cloud juga mendukung beberapa CA tepercaya, termasuk DigiCert, GlobalSign, dan GeoTrust. CA ini menyediakan berbagai jenis sertifikat, termasuk sertifikat domain tunggal, wildcard, dan multi-domain. Anda dapat memilih merek dan jenis sertifikat berdasarkan persyaratan keamanan situs web Anda. Untuk informasi lebih lanjut tentang cara membeli sertifikat, lihat Beli Sertifikat Resmi.
Permohonan
Proses permohonan sertifikat terdiri dari langkah-langkah permohonan dan verifikasi kepemilikan nama domain.
Permohonan
Anda harus memasukkan informasi yang diperlukan berdasarkan jenis sertifikat dan mengirimkan informasi tersebut ke CA untuk ditinjau. Informasi yang diperlukan mencakup nama domain atau alamat IP yang ingin Anda ikat ke sertifikat, metode verifikasi kepemilikan nama domain, informasi kontak sertifikat, dan izin usaha perusahaan Anda. Untuk informasi lebih lanjut, lihat Ajukan Sertifikat.
Verifikasi kepemilikan nama domain
Sebelum CA menerbitkan sertifikat untuk situs web Anda, Anda harus bekerja sama dengan CA untuk memverifikasi bahwa Anda memiliki atau dapat mengelola nama domain yang terikat pada sertifikat. Untuk informasi lebih lanjut, lihat Verifikasi Kepemilikan Nama Domain.
Penyebaran
Setelah sertifikat diterbitkan, Anda dapat menerapkannya ke server situs web Anda untuk memastikan akses HTTPS ke situs web. Proses penyebaran bervariasi berdasarkan jenis server dan lingkungan hosting. Server yang didukung mencakup Apache, NGINX, dan IIS. Untuk informasi lebih lanjut, lihat Terapkan Sertifikat SSL.
Operasi selanjutnya
Perpanjangan
Ketika sertifikat akan kedaluwarsa, Anda dapat memperpanjangnya untuk mendapatkan sertifikat baru dan memasang sertifikat baru di server situs web Anda guna memastikan enkripsi dan keamanan berkelanjutan untuk situs web. Dalam kebanyakan kasus, sertifikat berlaku hingga 397 hari, sekitar 13 bulan. Jika Anda tidak memperpanjang sertifikat setelah kedaluwarsa, masalah keamanan mungkin terjadi dan peringatan keamanan mungkin dihasilkan di browser, yang merusak kepercayaan dan pengalaman pengguna. Untuk informasi lebih lanjut, lihat Perpanjang Sertifikat SSL Resmi.
Pencabutan
Jika Anda tidak lagi ingin menggunakan sertifikat karena alasan keamanan atau lainnya, Anda dapat mencabutnya. Setelah sertifikat dicabut dari CA, Anda tidak dapat lagi menggunakan sertifikat tersebut untuk komunikasi aman. Untuk informasi lebih lanjut, lihat Cabut dan Hapus Sertifikat.
Merek dan jenis sertifikat
Anda dapat membeli sertifikat SSL dari berbagai merek dan jenis melalui Layanan Manajemen Sertifikat Alibaba Cloud. Saat membeli sertifikat, Anda harus mempertimbangkan faktor-faktor seperti skenario penyebaran, jenis sertifikat, tingkat keamanan, dan harga. Untuk informasi lebih lanjut, lihat Pilih Sertifikat SSL.
Jenis sertifikat
Alibaba Cloud mendukung sertifikat DV, OV, dan EV. Jenis sertifikat yang berbeda memberikan tingkat keamanan yang berbeda, mendukung merek sertifikat yang berbeda, dan cocok untuk jenis situs web yang berbeda.
Jenis sertifikat | Situs web yang sesuai | Tingkat kredibilitas | Kekuatan otentikasi | Tingkat keamanan | Metode verifikasi dan materi yang diperlukan | Rata-rata waktu yang diperlukan untuk penerbitan sertifikat | Merek sertifikat yang tersedia |
DV | Situs web pribadi yang digunakan untuk layanan aplikasi, tampilan informasi, pengujian perusahaan, atau pengujian pribadi. Catatan Jika situs web Anda dimiliki oleh individu yang tidak memiliki izin usaha perusahaan, Anda hanya dapat mengajukan sertifikat DV. | Sedang | CA memverifikasi keaslian situs web, bukan perusahaan. | Sedang | Verifikasi DNS. Anda hanya perlu menentukan nama domain. | 1 hingga 15 menit |
|
OV | Situs web untuk sektor layanan publik, usaha kecil dan menengah, serta lembaga pendidikan. Catatan Untuk perusahaan umum, situs web seluler, atau aplikasi terkait panggilan API, kami menyarankan Anda membeli sertifikat OV atau sertifikat yang memberikan tingkat kepercayaan lebih tinggi. | Tinggi | CA memverifikasi keaslian organisasi atau perusahaan. | Tinggi | Email atau panggilan telepon. Anda harus menyerahkan informasi untuk verifikasi kepemilikan nama domain, profil perusahaan, dan izin usaha. | 5 hari kalender |
|
EV | Situs web privasi tinggi yang melibatkan transaksi, pembayaran, dan data privasi, termasuk situs web perusahaan besar dan situs web yang berkaitan dengan industri seperti keuangan dan e-commerce. Catatan Untuk perusahaan keuangan atau pembayaran, kami menyarankan Anda membeli sertifikat EV. | Tertinggi | CA melakukan otentikasi ketat. | Tertinggi | Email atau panggilan telepon. Anda harus menyerahkan informasi untuk verifikasi kepemilikan nama domain, profil perusahaan, dan izin usaha. | 5 hari kalender |
|
Merek sertifikat
Tabel berikut menjelaskan merek sertifikat yang mendukung sertifikat SSL.
Merek sertifikat | CA | Deskripsi |
DigiCert | DigiCert, Inc. | DigiCert adalah CA terkenal dan tepercaya serta merek sertifikat SSL di industri. Semua sertifikat DigiCert menggunakan teknologi enkripsi canggih untuk menyediakan solusi keamanan yang ditingkatkan untuk berbagai situs web dan server. DigiCert dulunya dikenal sebagai Symantec. |
GlobalSign dan Alibaba Cloud | GMO GlobalSign Pte Ltd. | GlobalSign adalah CA awal di industri. GlobalSign berkomitmen pada otentikasi keamanan jaringan dan layanan sertifikat digital. GlobalSign adalah CA tepercaya dan merek sertifikat SSL. Dibandingkan dengan merek sertifikat lainnya, sertifikat Alibaba Cloud lebih hemat biaya. |