Sertifikat SSL (standar industri saat ini adalah sertifikat TLS) adalah sertifikat digital yang memverifikasi identitas website dan mengenkripsi komunikasi antara browser dan server. Otoritas sertifikasi (CA) tepercaya menerbitkan sertifikat ini. Sertifikat tersebut menjadi fondasi protokol HTTPS, menjamin keamanan dan integritas transmisi data. Topik ini menjelaskan nilai inti, cara kerja, serta alur penggunaan Sertifikat SSL.
Nilai inti
Penerapan sertifikat SSL/TLS merupakan langkah keamanan wajib bagi website modern. Langkah ini mengatasi isu-isu berikut:
Enkripsi data: Mengenkripsi data yang ditransmisikan antara klien (seperti browser) dan server web, sehingga mencegah pencurian atau manipulasi ilegal terhadap data sensitif.
Verifikasi identitas: Memverifikasi legalitas server guna mencegah pengguna mengakses situs palsu atau penipuan phishing.
Meningkatkan kepercayaan browser: Menghilangkan peringatan "Not Secure" di browser dan menampilkan ikon gembok keamanan di bilah alamat. Meskipun sertifikat SSL diakui secara global, tampilannya di bilah alamat bergantung pada kebijakan keamanan masing-masing vendor browser: browser utama tidak lagi menampilkan nama perusahaan dalam warna hijau (green bar), melainkan hanya menunjukkan ikon gembok keamanan yang seragam. Anda dapat mengklik ikon tersebut untuk melihat detail sertifikat.
Jaminan kepatuhan: Memenuhi persyaratan regulasi keamanan jaringan dan perlindungan data, seperti Equal Protection 2.0 dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
Optimasi Mesin Pencari (SEO): Mesin pencari utama memberikan prioritas pengindeksan terhadap website HTTPS, yang membantu meningkatkan peringkat pencarian.
Cara kerja
Protokol SSL/TLS menggunakan mekanisme enkripsi hibrid: enkripsi asimetris untuk verifikasi identitas dan enkripsi simetris untuk transmisi data.
Penerbitan dan validasi sertifikat (pembentukan rantai kepercayaan)
Buat permintaan: Server menghasilkan pasangan kunci (RSA 2048-bit atau ECC 256-bit). Kunci publik dan informasi organisasi dikemas ke dalam Permintaan Penandatanganan Sertifikat (CSR).
Penandatanganan CA: Setelah CA memverifikasi kepemilikan domain, CA mengekstrak kunci publik dan informasi pemohon dari CSR. CA kemudian menggabungkan informasi penerbit, periode validitas, dan bidang ekstensi untuk menyusun konten sertifikat. CA menggunakan kunci privatnya untuk membuat signature digital, menghasilkan sertifikat yang sesuai standar X.509.
Pembentukan Rantai Kepercayaan: Browser menggunakan sertifikat root yang telah dipra-instal untuk memverifikasi signature sertifikat server secara bertahap, sehingga membangun rantai kepercayaan.
Pembentukan sesi terenkripsi (Proses jabat tangan TLS)
Inisiasi jabat tangan: Klien mengirim pesan
ClientHello. Pesan ini mencakup versi protokol yang didukung dan daftar paket sandi.Pengiriman sertifikat: Server merespons dengan pesan
ServerHellodan mengirimkan rantai sertifikat.Verifikasi identitas: Klien memverifikasi periode validitas dan kesesuaian nama domain pada sertifikat. Klien juga memastikan sertifikat belum dicabut menggunakan Daftar Pencabutan Sertifikat (CRL) atau Protokol Status Sertifikat Online (OCSP). Beberapa penerapan menggunakan OCSP Stapling untuk mengoptimalkan proses ini.
Pertukaran kunci: Kedua pihak menghasilkan kunci sesi melalui mekanisme pertukaran kunci.
Mode ECDHE (direkomendasikan): Kedua pihak menghasilkan pasangan kunci sementara dan saling menukar kunci publik. Mereka secara independen menghitung kunci sesi yang sama.
Mode RSA (tradisional): Klien menghasilkan pre-master secret, mengenkripsinya dengan kunci publik server, lalu mengirimkannya. Setelah server mendekripsinya, kedua pihak menurunkan kunci sesi.
Komunikasi simetris: Setelah jabat tangan selesai, semua data dienkripsi secara simetris dan ditransmisikan menggunakan kunci sesi.
Kunci publik dalam sertifikat (berbasis algoritma RSA, ECC, atau SM2) memverifikasi identitas server dan membangun saluran aman untuk pertukaran kunci. Transmisi data aktual menggunakan kunci simetris yang dinegosiasikan (seperti AES) untuk enkripsi guna menjamin performa. Untuk informasi lebih lanjut, lihat Apa itu kunci publik dan kunci privat.
Alur Penggunaan
Beli sertifikat
Pilih jenis sertifikat yang sesuai dengan kebutuhan bisnis Anda. Untuk detailnya, lihat Panduan Pemilihan Sertifikat SSL.
Lihat Beli sertifikat komersial untuk mengisi informasi pembelian sertifikat.
Periode validitas
Sertifikat SSL melibatkan dua konsep periode validitas:
Periode validitas langganan: Periode validitas pesanan atau layanan langganan Sertifikat SSL, juga disebut durasi pembelian sertifikat. Periode ini dihitung sejak tanggal sertifikat pertama kali diterbitkan.
Periode validitas penerbitan: Periode validitas yang disertifikasi oleh CA. Setelah periode ini berakhir, rantai kepercayaan terputus, yang dapat menyebabkan layanan tidak tersedia, koneksi ditolak, atau peringatan keamanan. Periode ini dihitung sejak tanggal CA menerbitkan sertifikat.
Karena standar keamanan CA/B Forum yang mewajibkan periode validitas penerbitan maksimum per sertifikat, Anda harus mengajukan permohonan ulang ke CA untuk sertifikat baru dan menerapkannya sebelum periode validitas penerbitan berakhir selama periode langganan Anda. Hal ini mencegah gangguan bisnis akibat kedaluwarsa sertifikat.
Contoh:
Anda membeli sertifikat satu tahun (yaitu periode validitas langganan satu tahun) pada 2026/05/01, dan CA benar-benar menerbitkan sertifikat tersebut pada 2026/05/10. Kebijakan industri mensyaratkan bahwa periode validitas penerbitan maksimum tidak boleh melebihi 199 hari (hanya sebagai ilustrasi). Maka periode validitas penerbitan sertifikat pertama berakhir pada 2026/11/25. Sebelum 2026/11/25, Anda harus mengajukan permohonan ulang untuk sertifikat baru. Sertifikat baru tersebut akan kedaluwarsa pada 2027/05/10, yang menandai akhir periode validitas langganan satu tahun.
Buat sertifikat
Hanya berlaku untuk SSL Certificate Management (V1.0, pembelian baru telah dihentikan). Di SSL Certificate Management V2.0, Anda tidak perlu membuat sertifikat setelah pembelian.
Jika Anda tidak mengikatkan nama domain saat pembelian, buat sertifikat untuk mengaitkan kuota yang telah dibeli dengan nama domain tersebut. Saat pembuatan, sistem menyediakan opsi Quick Issue:
Pilih Quick Issue: Anda perlu memberikan informasi aplikasi. Setelah sertifikat dibuat, sistem secara otomatis mengirimkan permintaan sertifikat ke CA. Anda hanya perlu menyelesaikan verifikasi kepemilikan domain.
Jika Anda tidak memilih Quick Issue: Setelah pembuatan, Anda harus login ke konsol sertifikat untuk mengisi dan mengirimkan permintaan secara manual. Untuk detailnya, lihat Kirim permintaan ke otoritas sertifikasi (CA).
Daftar sertifikat hanya menampilkan sertifikat yang berhasil dikaitkan dengan nama domain. Sertifikat yang belum dikaitkan dengan nama domain akan terlihat setelah Anda menyelesaikan operasi Create Certificate.
Ajukan sertifikat
Kirim permintaan ke Otoritas Sertifikasi (CA)
Kirimkan aplikasi ke CA. Isi informasi yang diperlukan berdasarkan jenis sertifikat (seperti nama domain atau IP yang dikaitkan dengan sertifikat, kontak, perusahaan, dan lisensi usaha). Lalu kirimkan permintaan sertifikat ke CA. Untuk detailnya, lihat Ajukan sertifikat.
Verifikasi Kepemilikan Nama Domain
Saat mengajukan aplikasi ke CA, verifikasi kepemilikan Anda atas nama domain tersebut. Untuk informasi lebih lanjut, lihat Validasi kepemilikan domain.
Sertifikat DV mendukung tiga metode validasi: Automatic DNS Verification, Manual DNS Verification, dan File Verification.
Sertifikat EV/OV: Selesaikan validasi berdasarkan konten email verifikasi domain yang dikirim oleh CA.
Tinjauan CA
Setelah mengirimkan aplikasi dan menyelesaikan validasi kepemilikan domain, tunggu tinjauan CA. Untuk melihat progres dan hasil tinjauan, lihat Penanganan hasil tinjauan CA. Waktu penerbitan rata-rata untuk sertifikat Domain Validated (DV) adalah 1 hingga 15 menit, sedangkan untuk sertifikat Organization Validated (OV) dan Extended Validation (EV) adalah 5 hari kalender.
Terapkan sertifikat
Saat tinjauan CA lolos dan status sertifikat menjadi "Issued", sertifikat siap digunakan. Agar sertifikat benar-benar berlaku, kondisi berikut harus terpenuhi:
Sertifikat diterapkan dengan benar ke server web Anda (seperti Nginx, Apache, atau IIS) atau produk cloud, dan layanan telah di-restart.
Klien (seperti browser) memercayai otoritas sertifikasi (CA) yang menerbitkan sertifikat tersebut.
Setelah penerapan, situs Anda dapat menggunakan HTTPS. Untuk detailnya, lihat Terapkan Sertifikat SSL.
Jika server Anda berlokasi di Tiongkok daratan, Anda harus menyelesaikan Pendaftaran ICP. Jika tidak, website tidak akan dapat diakses.
Jika Anda menggunakan server Alibaba Cloud, kunjungi sistem Pendaftaran ICP Alibaba Cloud untuk menyelesaikan Pendaftaran ICP website. Untuk petunjuk lengkap, lihat Proses Pendaftaran ICP.
Jika Anda tidak menggunakan server Alibaba Cloud, kunjungi sistem pendaftaran penyedia server Anda atau website Pendaftaran ICP MIIT untuk menyelesaikan Pendaftaran ICP.
Langkah selanjutnya
Perpanjangan sertifikat
SSL Certificate Management V2.0 saat ini belum mendukung perpanjangan sertifikat. Fitur ini akan tersedia dalam pembaruan mendatang.
Setelah Sertifikat SSL kedaluwarsa, segera perpanjang atau ajukan ulang. Pasang Sertifikat SSL baru untuk mempertahankan koneksi terenkripsi dan keamanan website. Untuk detailnya, lihat Penanganan Perpanjangan dan Kedaluwarsa Sertifikat SSL.
Pencabutan sertifikat
Jika sertifikat tidak lagi digunakan, cabut sertifikat tersebut. Untuk detailnya, lihat Cabut dan hapus Sertifikat SSL.
Pencabutan sertifikat bersifat ireversibel. Setelah dicabut, otoritas sertifikasi (CA) memublikasikan status pencabutan sertifikat melalui Daftar Pencabutan Sertifikat (CRL) atau Protokol Status Sertifikat Online (OCSP). Browser dan klien akan menganggapnya tidak valid selama pemeriksaan validitas sertifikat dan memicu peringatan keamanan.
FAQ
Apa yang harus saya lakukan jika tidak menemukan sertifikat setelah pembelian?
Jika Anda tidak memasukkan informasi nama domain saat pembelian, Anda menerima hak untuk membuat sertifikat, bukan sertifikat siap pakai. Sertifikat tidak akan muncul di daftar sertifikat sampai Anda membuat Sertifikat SSL dan mengikatkan nama domain padanya.
Apakah Sertifikat SSL mendukung nama domain dalam bahasa Mandarin?
Ya, mendukung.Jika Anda ingin mengamankan nama domain dalam bahasa Mandarin, Anda harus mengonversinya ke Punycode seperti yang diminta di konsol sebelum dapat mengajukan sertifikat. Anda juga dapat menggunakan tool transcoding untuk mengonversi nama domain tersebut. Untuk informasi lebih lanjut, lihat Konversi nama domain dalam bahasa Mandarin.