Sertifikat SSL adalah sertifikat digital yang digunakan untuk memverifikasi identitas website dan mengenkripsi komunikasi. Sertifikat ini dikeluarkan oleh CA untuk mengaktifkan protokol HTTPS, menjamin keamanan transmisi data, serta meningkatkan kepercayaan browser. - Certificate Management Service

Sertifikat SSL, yang kini lebih umum dikenal sebagai sertifikat TLS, adalah sertifikat digital yang memverifikasi identitas sebuah website dan mengenkripsi komunikasi antara browser dan server. Sertifikat ini dikeluarkan oleh Otoritas Sertifikat (CA) tepercaya dan sangat penting untuk menerapkan protokol HTTPS, yang menjamin keamanan dan integritas transmisi data. Topik ini menjelaskan nilai inti, prinsip kerja, serta prosedur penggunaan Sertifikat SSL.

Nilai inti

Penerapan sertifikat SSL/TLS merupakan langkah keamanan wajib bagi website modern. Langkah ini terutama mengatasi masalah berikut:

Enkripsi data: Mengenkripsi data yang ditransmisikan antara client, seperti browser, dan server web untuk mencegah data sensitif dicegat atau dimanipulasi.
Verifikasi identitas: Memverifikasi keabsahan server untuk mencegah pengguna mengakses situs web palsu atau situs web penipuan phishing.
Peningkatan kepercayaan browser: Menghilangkan peringatan "Not Secure" di browser dan menampilkan ikon gembok keamanan di bilah alamat.
Jaminan kepatuhan: Memenuhi persyaratan regulasi keamanan jaringan dan perlindungan data, seperti MLPS 2.0 dan PCI DSS.
Optimisasi mesin pencari (SEO): Mesin pencari utama memberikan prioritas pengindeksan pada website HTTPS, yang membantu meningkatkan peringkat pencarian.

Cara kerja

Protokol SSL/TLS menggunakan mekanisme enkripsi hibrida: enkripsi asimetris untuk verifikasi identitas dan enkripsi simetris untuk transmisi data.

Penerbitan dan verifikasi sertifikat (pembentukan rantai kepercayaan)

Buat permintaan: Server menghasilkan pasangan kunci (RSA 2048-bit atau ECC 256-bit) dan mengemas kunci publik beserta informasi organisasi ke dalam Certificate Signing Request (CSR).
Ditandatangani oleh CA: Setelah CA memverifikasi kepemilikan domain, CA mengekstrak kunci publik dan informasi pemohon dari CSR. CA kemudian membuat konten sertifikat yang mencakup informasi penerbit, periode validitas, dan bidang ekstensi. CA menggunakan kunci privatnya untuk menandatangani konten tersebut secara digital, sehingga menghasilkan sertifikat standar X.509.
Sebarkan kepercayaan: Browser memverifikasi tanda tangan sertifikat server langkah demi langkah menggunakan sertifikat root yang telah dipra-instal untuk membangun rantai kepercayaan.

Pembentukan sesi terenkripsi (Proses jabat tangan TLS)

Mulai jabat tangan: Client mengirim pesan ClientHello yang mencakup versi protokol yang didukung dan daftar paket sandi.
Kirim sertifikat: Server merespons dengan pesan ServerHello dan mengirim rantai sertifikatnya.
Verifikasi identitas: Client memverifikasi periode validitas sertifikat dan kecocokan nama domain. Client juga memastikan bahwa sertifikat tidak dicabut melalui Certificate Revocation List (CRL) atau Online Certificate Status Protocol (OCSP). Beberapa penerapan menggunakan fitur OCSP Stapling untuk mengoptimalkan proses ini.
Pertukaran kunci: Kedua pihak menghasilkan kunci sesi melalui mekanisme pertukaran kunci.
- Mode ECDHE (direkomendasikan): Kedua pihak menghasilkan pasangan kunci sementara, saling bertukar kunci publik, lalu secara independen menghitung kunci sesi yang sama.
- Mode RSA (legacy): Client menghasilkan pre-master key, mengenkripsinya dengan kunci publik server, lalu mengirimkannya. Setelah server mendekripsi kunci tersebut, kedua pihak menurunkan kunci sesi.
Berkomunikasi secara simetris: Setelah jabat tangan selesai, semua data ditransmisikan menggunakan kunci sesi untuk enkripsi simetris.

Catatan

Kunci publik dalam sertifikat, yang didasarkan pada algoritma RSA, ECC, atau SM2, digunakan untuk memverifikasi identitas server dan membangun saluran aman untuk pertukaran kunci. Data aktual dienkripsi dengan kunci simetris yang dinegosiasikan, seperti AES, guna memastikan performa. Untuk informasi selengkapnya, lihat Apa itu kunci publik dan kunci privat.

Prosedur

Beli sertifikat

Pilih jenis sertifikat sesuai kebutuhan Anda. Untuk informasi selengkapnya, lihat Panduan pemilihan Sertifikat SSL.
Isi informasi pembelian. Untuk informasi selengkapnya, lihat Beli sertifikat resmi.

Buat sertifikat

Jika Anda tidak mengaitkan nama domain dengan kuota saat pembelian, Anda harus membuat sertifikat untuk menyelesaikan pengaitan tersebut. Selama proses ini, opsi Quick Issue tersedia:

Pilih Quick Issue: Anda harus memberikan informasi aplikasi. Sistem kemudian akan secara otomatis mengirimkan permohonan sertifikat ke CA. Anda hanya perlu menyelesaikan verifikasi kepemilikan nama domain.
Jika Anda tidak memilih Quick Issue, Anda harus login ke Konsol Certificate Service untuk mengisi dan mengirimkan secara manual permohonan setelah sertifikat dibuat. Untuk informasi selengkapnya, lihat Kirim permohonan ke CA.

Catatan

Daftar sertifikat hanya menampilkan sertifikat yang telah dikaitkan dengan nama domain. Sertifikat yang belum dikaitkan akan muncul setelah Anda menyelesaikan operasi Create Certificate.

Ajukan sertifikat

Kirim permohonan ke certificate authority (CA)
Isi informasi yang diperlukan berdasarkan jenis sertifikat. Informasi ini dapat mencakup nama domain atau alamat IP yang akan dikaitkan, detail kontak, informasi perusahaan, dan lisensi usaha. Kemudian, kirimkan permohonan sertifikat ke CA. Untuk informasi selengkapnya, lihat Ajukan sertifikat.
Verifikasi kepemilikan nama domain
Saat Anda mengirimkan permohonan ke CA, Anda harus memverifikasi kepemilikan nama domain tersebut. Untuk informasi selengkapnya, lihat Verifikasi kepemilikan nama domain.
- Sertifikat DV (Domain Validated) mendukung tiga metode verifikasi: Automatic DNS Verification, Manual DNS Verification, dan File Verification.
- Untuk sertifikat EV atau OV, Anda harus menyelesaikan verifikasi berdasarkan isi email verifikasi nama domain yang dikirim oleh CA.
Tinjauan CA
Setelah Anda mengirimkan permohonan dan menyelesaikan verifikasi kepemilikan nama domain, Anda harus menunggu CA meninjau permohonan Anda. Untuk melihat progres dan hasil tinjauan, lihat Tangani hasil tinjauan CA. Waktu penerbitan rata-rata untuk sertifikat domain validated (DV) adalah 1 hingga 15 menit. Waktu penerbitan rata-rata untuk sertifikat organization validated (OV) atau extended validation (EV) adalah 5 hari kalender.

Terapkan sertifikat

Setelah CA menyetujui permohonan Anda dan status sertifikat berubah menjadi Issued, Anda dapat menerapkan file sertifikat ke server web Anda, seperti Nginx, Apache, atau IIS, atau ke layanan cloud. Hal ini mengaktifkan fitur HTTPS untuk situs Anda. Untuk informasi selengkapnya, lihat Terapkan Sertifikat SSL.

Penting

Jika server Anda berlokasi di Daratan Tiongkok, Anda harus mengajukan Pendaftaran ICP. Jika tidak, website Anda tidak akan dapat diakses.

Jika Anda menggunakan server Alibaba Cloud, kunjungi sistem Pendaftaran ICP Alibaba Cloud untuk menyelesaikan Pendaftaran ICP website Anda. Untuk informasi selengkapnya, lihat Proses Pendaftaran ICP.
Jika Anda tidak menggunakan server Alibaba Cloud, kunjungi sistem Pendaftaran ICP penyedia server Anda atau website Pendaftaran ICP MIIT untuk menyelesaikan pendaftaran.

Langkah selanjutnya

Perpanjangan sertifikat

Setelah Sertifikat SSL kedaluwarsa, Anda harus segera memperpanjangnya atau mengajukan yang baru. Anda juga harus menginstal Sertifikat SSL baru untuk mempertahankan koneksi terenkripsi dan keamanan website Anda. Untuk informasi selengkapnya, lihat Perpanjangan dan kedaluwarsa Sertifikat SSL.

Pencabutan sertifikat

Jika Anda tidak lagi menggunakan sertifikat, Anda dapat mencabutnya. Untuk informasi selengkapnya, lihat Cabut dan hapus Sertifikat SSL.

Peringatan

Operasi pencabutan bersifat ireversibel. Sertifikat yang dicabut akan dihapus dari daftar tepercaya CA. Browser dan client mengidentifikasinya sebagai tidak valid selama verifikasi dan menampilkan peringatan keamanan kepada pengunjung.

FAQ

Apa yang harus saya lakukan jika tidak menemukan sertifikat saya setelah pembelian?

Jika Anda tidak memasukkan informasi nama domain saat pembelian, Anda akan menerima kuota pembuatan sertifikat, bukan sertifikat yang langsung ditampilkan di daftar sertifikat. Anda harus membuat Sertifikat SSL dan mengaitkan nama domain sebelum sertifikat tersebut muncul di daftar.

Apakah Sertifikat SSL mendukung nama domain dalam bahasa Mandarin?

Ya, mendukung. Jika Anda mengaitkan nama domain dalam bahasa Mandarin, Anda harus mengonversinya ke Punycode sesuai petunjuk di Konsol sebelum dapat mengajukan sertifikat. Anda juga dapat menggunakan tool Transkoding untuk melakukan konversi tersebut. Untuk informasi selengkapnya, lihat Konversi nama domain dalam bahasa Mandarin.

Bisakah saya mengajukan Sertifikat SSL Alibaba Cloud jika penyedia DNS saya bukan Alibaba Cloud?

Ya, bisa. Anda hanya perlu menyelesaikan validasi kepemilikan domain. Hal ini tidak bergantung pada penyedia DNS Anda.

Solusi	Metode	Keuntungan
Konfigurasikan catatan di penyedia Anda saat ini.	Login ke platform nama domain Anda saat ini dan tambahkan rekaman validasi Sertifikat SSL (TXT) dari Alibaba Cloud. Catatan Hubungi dukungan penyedia Anda jika memerlukan bantuan.	Cepat dan langsung. Tidak perlu transfer nama domain.
Transfer nama domain Anda ke Alibaba Cloud.	Ikuti langkah-langkah untuk mentransfer nama domain ke Alibaba Cloud. Setelah selesai, Anda dapat mengelola semua Rekaman DNS di Konsol DNS Alibaba Cloud. Penting Transfer nama domain memerlukan pembayaran biaya perpanjangan satu tahun.	Nyaman untuk perpanjangan sertifikat di masa depan dan manajemen nama domain terpadu.