Sertifikat SSL (standar industri saat ini adalah sertifikat TLS) adalah sertifikat digital yang memverifikasi identitas website dan mengenkripsi komunikasi antara browser dan server. Sertifikat ini dikeluarkan oleh otoritas sertifikasi (CA) tepercaya dan menjadi fondasi protokol HTTPS, sehingga menjamin keamanan dan integritas transmisi data. Topik ini menjelaskan nilai inti, cara kerja, serta alur penggunaan Sertifikat SSL.
Layanan Sertifikat SSL secara bertahap beralih ke V2.0. Waktu pembaruan dapat berbeda-beda untuk setiap pengguna. Untuk perbedaan antara V1.0 dan V2.0, lihat Deskripsi Perubahan Versi Layanan Sertifikat SSL.
Nilai Inti
Penerapan sertifikat SSL/TLS merupakan langkah keamanan wajib bagi website modern. Langkah ini mengatasi isu-isu berikut:
Data encryption: Mengenkripsi data yang dikirimkan antara klien (seperti browser) dan server web. Hal ini mencegah data sensitif dicegat atau dimanipulasi secara ilegal.
Identity verification: Memverifikasi legalitas server. Ini mencegah pengguna mengakses situs web palsu atau penipuan phishing.
Enhance browser trust: Menghilangkan peringatan "Not Secure" di browser dan menampilkan ikon gembok keamanan di bilah alamat.
Compliance assurance: Memenuhi persyaratan regulasi keamanan jaringan dan perlindungan data, seperti Equal Protection 2.0 dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
Search Engine Optimization (SEO): Mesin pencari utama memberikan prioritas pengindeksan terhadap situs web HTTPS, yang membantu meningkatkan peringkat pencarian.
Cara Kerja
Protokol SSL/TLS menggunakan mekanisme enkripsi hibrid: enkripsi asimetris untuk verifikasi identitas dan enkripsi simetris untuk transmisi data.
Penerbitan dan Validasi Sertifikat (Pembentukan Rantai Kepercayaan)
Generate request: Server menghasilkan pasangan kunci (RSA 2048-bit atau ECC 256-bit). Kunci publik dan informasi organisasi dikemas ke dalam Certificate Signing Request (CSR).
CA Signing: Setelah otoritas sertifikasi (CA) memverifikasi kepemilikan domain, CA mengekstrak kunci publik dan informasi pemohon dari CSR. CA kemudian menggabungkan informasi penerbit, periode validitas, dan bidang ekstensi untuk menyusun isi sertifikat. CA menggunakan kunci privatnya untuk membuat signature digital, menghasilkan sertifikat yang sesuai standar X.509.
Trust Chain Establishment: Browser menggunakan root certificate yang telah dipasang sebelumnya untuk memverifikasi signature sertifikat server secara bertahap, sehingga membangun rantai kepercayaan.
Pembentukan Sesi Terenkripsi (TLS handshake)
Handshake initiation: Klien mengirim pesan
ClientHello. Pesan ini mencakup versi protokol yang didukung dan daftar cipher suite.Certificate delivery: Server merespons dengan pesan
ServerHellodan mengirimkan rantai sertifikat.Identity verification: Klien memverifikasi periode validitas dan kesesuaian nama domain pada sertifikat. Klien juga memastikan sertifikat belum dicabut melalui Certificate Revocation List (CRL) atau Online Certificate Status Protocol (OCSP). Beberapa penerapan menggunakan OCSP Stapling untuk mengoptimalkan proses ini.
Key exchange: Kedua pihak menghasilkan session key melalui mekanisme pertukaran kunci.
ECDHE mode (direkomendasikan): Kedua pihak menghasilkan pasangan kunci sementara dan saling bertukar kunci publik. Masing-masing pihak kemudian menghitung session key yang sama secara independen.
RSA mode (tradisional): Klien menghasilkan pre-master secret, mengenkripsinya dengan kunci publik server, lalu mengirimkannya. Setelah server mendekripsinya, kedua pihak menurunkan session key yang sama.
Symmetric communication: Setelah handshake selesai, semua data dienkripsi dan dikirimkan secara simetris menggunakan session key.
Kunci publik dalam sertifikat (berdasarkan algoritma RSA, ECC, atau SM2) digunakan untuk memverifikasi identitas server dan membangun saluran aman untuk pertukaran kunci. Transmisi data aktual menggunakan kunci simetris yang dinegosiasikan (seperti AES) untuk enkripsi guna menjamin performa. Untuk informasi lebih lanjut, lihat Apa itu kunci publik dan kunci privat.
Alur Penggunaan
Beli Sertifikat
Pilih jenis sertifikat yang sesuai kebutuhan Anda. Untuk detailnya, lihat Panduan Pemilihan Sertifikat SSL.
Lihat Beli sertifikat komersial untuk mengisi informasi pembelian sertifikat.
Buat Sertifikat
Hanya berlaku untuk SSL Certificate Management (V1.0, pembelian baru telah dihentikan). Di SSL Certificate Management V2.0, Anda tidak perlu membuat sertifikat setelah pembelian.
Jika Anda tidak mengaitkan nama domain saat pembelian, buat sertifikat untuk menghubungkan kuota yang dibeli dengan nama domain tersebut. Saat pembuatan, sistem menyediakan opsi Quick Issue:
Pilih Quick Issue: Anda perlu memberikan informasi aplikasi. Setelah sertifikat dibuat, sistem akan secara otomatis mengirimkan permintaan sertifikat ke CA, dan Anda hanya perlu menyelesaikan verifikasi kepemilikan domain.
Jika Anda tidak memilih Quick Issue: Setelah pembuatan, Anda harus login ke konsol sertifikat untuk mengisi dan mengirimkan permintaan secara manual. Untuk langkah-langkah detailnya, lihat Kirim Permintaan ke Otoritas Sertifikasi (CA).
Daftar sertifikat hanya menampilkan sertifikat yang berhasil dikaitkan dengan nama domain. Sertifikat yang belum dikaitkan dengan nama domain akan terlihat setelah Anda menyelesaikan operasi Create Certificate.
Minta Sertifikat
Kirim permintaan ke Otoritas Sertifikasi (CA)
Kirimkan aplikasi ke CA. Isi informasi yang sesuai berdasarkan jenis sertifikat (misalnya nama domain atau IP yang dikaitkan dengan sertifikat, kontak, perusahaan, dan lisensi usaha). Lalu kirimkan permintaan sertifikat ke CA. Untuk operasi spesifiknya, lihat Minta sertifikat.
Verifikasi Kepemilikan Nama Domain
Validasi kepemilikan domain. Saat mengirimkan aplikasi ke CA, verifikasi kepemilikan Anda atas nama domain tersebut. Untuk informasi lebih lanjut, lihat Validasi kepemilikan domain.
Sertifikat Domain Validated (DV) mendukung tiga metode validasi: Automatic DNS Verification, Manual DNS Verification, dan File Verification.
Sertifikat Extended Validation (EV) atau Organization Validated (OV): Selesaikan validasi berdasarkan konten email validasi domain yang dikirimkan oleh CA.
Tinjauan CA
Tinjauan oleh CA. Setelah mengirimkan aplikasi dan menyelesaikan validasi kepemilikan domain, tunggu tinjauan dari CA. Untuk melihat progres dan hasil tinjauan, lihat Penanganan Hasil Tinjauan CA. Waktu penerbitan rata-rata untuk sertifikat Domain Validated (DV) adalah 1 hingga 15 menit, sedangkan untuk sertifikat Organization Validated (OV) dan Extended Validation (EV) adalah 5 hari kalender.
Terapkan Sertifikat
Setelah tinjauan CA disetujui dan status sertifikat menjadi "Issued", terapkan file sertifikat ke server web Anda (seperti Nginx, Apache, atau IIS) atau produk cloud. Hal ini mengaktifkan HTTPS untuk situs Anda. Untuk operasi spesifiknya, lihat Terapkan Sertifikat SSL.
Jika server Anda berlokasi di Tiongkok daratan, Anda harus menyelesaikan Pendaftaran ICP. Jika tidak, situs web tidak akan dapat diakses.
Jika Anda menggunakan server Alibaba Cloud, kunjungi sistem Pendaftaran ICP Alibaba Cloud untuk menyelesaikan Pendaftaran ICP situs web Anda. Untuk informasi lebih lanjut, lihat Proses Pendaftaran ICP.
Jika Anda tidak menggunakan server Alibaba Cloud, kunjungi sistem Pendaftaran ICP penyedia server Anda atau situs web Pendaftaran ICP MIIT untuk menyelesaikan pendaftaran.
Langkah Selanjutnya
Perpanjangan Sertifikat
SSL Certificate Management V2.0 saat ini belum mendukung perpanjangan sertifikat. Fitur ini akan tersedia dalam pembaruan mendatang.
Setelah Sertifikat SSL kedaluwarsa, segera perpanjang atau ajukan ulang. Pasang Sertifikat SSL baru untuk mempertahankan koneksi terenkripsi dan keamanan situs web. Untuk operasi spesifiknya, lihat Penanganan Perpanjangan dan Kedaluwarsa Sertifikat SSL.
Pencabutan Sertifikat
Jika sertifikat tidak lagi digunakan, cabut sertifikat tersebut. Untuk operasi spesifiknya, lihat Cabut dan hapus Sertifikat SSL.
Pencabutan sertifikat bersifat ireversibel. Setelah dicabut, CA akan mempublikasikan status pencabutan sertifikat melalui CRL atau OCSP. Browser dan klien akan menganggap sertifikat tersebut tidak valid selama pemeriksaan validitas dan memicu peringatan keamanan.
FAQ
Apa yang harus saya lakukan jika tidak menemukan sertifikat setelah pembelian?
Jika Anda tidak memasukkan informasi nama domain saat pembelian, Anda menerima hak untuk membuat sertifikat. Sertifikat tidak akan muncul di daftar sertifikat hingga Anda membuat Sertifikat SSL dan mengaitkannya dengan nama domain.
Apakah Sertifikat SSL mendukung nama domain dalam bahasa Mandarin?
Ya, mendukung. Jika Anda mengaitkan nama domain dalam bahasa Mandarin, Anda harus mengonversinya ke Punycode sesuai petunjuk konsol sebelum mengajukan sertifikat. Anda juga dapat menggunakan tool transcoding untuk konversi tersebut. Untuk informasi lebih lanjut, lihat Konversi Nama Domain dalam Bahasa Mandarin.
Apakah saya dapat mengajukan Sertifikat SSL Alibaba Cloud jika penyedia DNS saya bukan Alibaba Cloud?
Ya, Anda bisa. Anda hanya perlu menyelesaikan verifikasi kepemilikan domain. Hal ini tidak bergantung pada penyedia DNS Anda.
Solution | Method | Advantage |
Configure the record at your current provider. | Login ke platform nama domain Anda saat ini dan tambahkan rekaman validasi sertifikat SSL (TXT) dari Alibaba Cloud. Catatan Hubungi dukungan penyedia Anda jika memerlukan bantuan. | Cepat dan langsung. Tidak perlu transfer nama domain. |
Transfer your domain to Alibaba Cloud. | Ikuti langkah-langkah untuk mentransfer nama domain ke Alibaba Cloud. Setelah selesai, Anda dapat mengelola semua rekaman DNS di Konsol DNS Alibaba Cloud. Penting Transfer domain memerlukan pembayaran biaya perpanjangan satu tahun. | Memudahkan perpanjangan sertifikat di masa depan dan manajemen nama domain terpadu. |