Lewatkan ke konten utama

Apa itu sertifikat SSL – Definisi dan Penjelasan

Apa itu Sertifikat SSL & Mengapa ini penting?

Apa itu sertifikat SSL?

Sertifikat SSL adalah sertifikat digital yang mengautentikasi identitas situs web dan memungkinkan adanya koneksi terenkripsi. SSL adalah singkatan dari Secure Sockets Layer, protokol keamanan untuk membuat tautan terenkripsi antara server web dan browser web.

Perusahaan dan organisasi perlu menambahkan sertifikat SSL ke situs web mereka untuk mengamankan transaksi online, serta menjaga privasi dan keamanan data pelanggan.

Singkatnya, SSL menjaga koneksi internet tetap aman dan mencegah penjahat membaca atau mengubah informasi yang dikirim di antara dua sistem. Jika Anda melihat ikon gembok di sebelah URL pada bilah alamat, artinya SSL melindungi situs web yang Anda kunjungi.

Sejak diperkenalkan sekitar 25 tahun lalu, beberapa versi protokol SSL telah dirilis, yang semuanya pernah mengalami masalah keamanan. Versi yang diperbarui dan diganti namanya menyusul — TLS (Transport Layer Security), yang masih digunakan hingga saat ini. Namun, inisial SSL tetap digunakan. Jadi, protokol versi baru masih disebut dengan nama lama.

Cara kerja sertifikat SSL?

SSL memastikan bahwa data apa pun yang dikirim antara pengguna dan situs web, atau antara dua sistem, tetap tidak akan bisa dibaca. SSL menggunakan algoritme enkripsi untuk mengacak data yang dikirim, supaya peretas tidak bisa membacanya saat dikirim melalui koneksi. Data ini bisa berupa informasi yang mungkin sensitif seperti nama, alamat, nomor kartu kredit, atau data keuangan lainnya.

Berikut prosesnya:

  1. Browser atau server menghubungkan situs web (dalam hal ini, server web) yang diamankan dengan SSL.
  2. Browser atau server meminta server web mengidentifikasi diri sendiri.
  3. Server web merespons dengan mengirimkan salinan sertifikat SSL-nya kepada browser atau server.
  4. Browser atau server memeriksa apakah sertifikat SSL tersebut tepercaya. Jika tepercaya, sinyal akan dikirimkan kepada server web.
  5. Server web kemudian mengembalikan pengakuan yang ditandatangani secara digital untuk memulai sesi terenkripsi SSL.
  6. Data terenkripsi dibagikan antara browser atau server dan server web.

Proses ini terkadang disebut sebagai "SSL handshake". Meski prosesnya terkesan panjang, ini berlangsung dalam hitungan milidetik.

Jika situs web diamankan dengan sertifikat SSL, akronim HTTPS (singkatan dari HyperText Transfer Protocol Secure) akan muncul di URL. Jika situs web tidak memiliki sertifikat SSL, hanya akronim HTTP – tanpa huruf S untuk Secure – yang akan muncul. Ikon gembok juga akan ditampilkan di bilah alamat URL. Ini menandakan kepercayaan dan memberikan kepastian kepada pengunjung situs web.

Untuk melihat detail sertifikat SSL, Anda bisa mengeklik simbol gembok di bilah browser. Berikut detail yang biasanya tertera dalam sertifikat SSL:

  • Nama domain yang sertifikatnya diterbitkan
  • Orang, organisasi, atau perangkat yang dirujuk
  • Otoritas Sertifikat yang menerbitkannya
  • Tanda tangan digital Otoritas Sertifikat
  • Subdomain terkait
  • Tanggal penerbitan sertifikat
  • Tanggal kedaluwarsa sertifikat
  • Kunci publik (kunci pribadi tidak diungkapkan)

Alasan membutuhkan sertifikat SSL

Situs web memerlukan sertifikat SSL untuk menjaga keamanan data pengguna, memverifikasi kepemilikan situs web, mencegah penyerang membuat situs web palsu, dan memberikan kepercayaan kepada pengguna.

Jika situs web meminta pengguna untuk masuk, mengisi data pribadi seperti nomor kartu kredit, atau melihat informasi rahasia seperti tunjangan kesehatan atau data keuangan, maka penting untuk menjaga kerahasiaan data. Sertifikat SSL membantu menjaga privasi interaksi online dan meyakinkan pengguna bahwa situs web mereka asli dan aman sebagai tempat berbagi data pribadi.

Hal yang lebih relevan bagi perusahaan adalah fakta bahwa sertifikat SSL diperlukan untuk alamat web HTTPS. HTTPS merupakan versi aman dari HTTP, yang berarti lalu lintas data situs web HTTPS dienkripsi oleh SSL. Sebagian besar browser menandai situs HTTP – yang tidak memiliki sertifikat SSL – sebagai "tidak aman". Peringatan tegas akan dikirimkan kepada pengguna bahwa situs tersebut mungkin tidak tepercaya – sehingga mendorong perusahaan yang belum melakukannya untuk beralih ke HTTPS.

Sertifikat SSL membantu mengamankan informasi seperti:

  • Kredensial login
  • Transaksi kartu kredit atau data rekening bank
  • Data identitas pribadi — seperti nama lengkap, alamat, tanggal lahir, atau nomor telepon
  • Kontrak dan dokumen hukum
  • Catatan medis
  • Data hak milik

Jenis-jenis sertifikat SSL

Ada berbagai jenis sertifikat SSL dengan berbagai tingkat validasi. Berikut enam jenis utamanya:

  1. Sertifikat Extended Validation (EV SSL)
  2. Sertifikat Organization Validated (OV SSL)
  3. Sertifikat Domain Validated (DV SSL)
  4. Sertifikat SSL Wildcard
  5. Sertifikat SSL Multi-Domain (MDC)
  6. Sertifikat Unified Communications (UCC)

Sertifikat Extended Validation (EV SSL)

Ini adalah jenis sertifikat SSL dengan peringkat tertinggi dan paling mahal. Cenderung digunakan untuk situs web terkenal yang mengumpulkan data dan melakukan pembayaran online. Jika diinstal, sertifikat SSL ini akan menampilkan gembok, HTTPS, nama bisnis, dan negara di bilah alamat browser. Hal yang membedakannya dari situs berbahaya adalah ditampilkannya informasi pemilik situs web di bilah alamat. Untuk menyiapkan sertifikat EV SSL, pemilik situs web harus melalui proses verifikasi identitas standar untuk mengonfirmasi bahwa mereka secara hukum berwenang atas hak eksklusif domain tersebut.

Sertifikat Organization Validated (OV SSL)

Sertifikat SSL versi ini memiliki jaminan yang setara dengan sertifikat EV SSL karena untuk mendapatkannya, pemilik situs web wajib menyelesaikan proses validasi yang sangat penting. Jenis sertifikat ini juga menampilkan informasi pemilik situs web di bilah alamat untuk membedakannya dari situs berbahaya. Sertifikat OV SSL cenderung menjadi sertifikat termahal kedua (setelah EV SSL), dan tujuan utamanya adalah untuk mengenkripsi informasi sensitif pengguna selama transaksi. Situs web komersial atau umum wajib menginstal sertifikat OV SSL untuk menjaga kerahasiaan informasi pelanggan yang dibagikan.

Sertifikat Domain Validated (DV SSL)

Proses validasi untuk memperoleh jenis sertifikat SSL ini bersifat minimal, sehingga jaminan dan enkripsinya lebih sedikit. Sertifikat ini biasanya digunakan untuk blog atau situs web informatif – yaitu, yang tidak melakukan pengumpulan data atau pembayaran online. Sertifikat SSL ini merupakan salah satu sertifikat yang paling murah dan cepat diperoleh. Proses validasi hanya memerlukan pembuktian kepemilikan domain oleh pemilik situs web dengan membalas email atau menjawab panggilan telepon. Bilah alamat browser hanya menampilkan HTTPS dan gembok tanpa memunculkan nama perusahaan.

Sertifikat SSL Wildcard

Dengan sertifikat SSL Wildcard, Anda bisa mengamankan domain dasar dan subdomain tanpa batas pada satu sertifikat. Jika ada beberapa subdomain yang ingin diamankan, pembelian sertifikat SSL Wildcard jauh lebih murah daripada membeli satu sertifikat SSL untuk satu subdomain. Sertifikat SSL Wildcard memiliki tanda bintang * sebagai bagian dari nama umum, di mana tanda bintang ini mewakili semua subdomain valid dengan domain dasar yang sama. Misalnya, satu sertifikat Wildcard untuk *situs web bisa digunakan untuk mengamankan:

  • payments.yourdomain.com
  • login.yourdomain.com
  • mail.yourdomain.com
  • download.yourdomain.com
  • anything.yourdomain.com

Sertifikat SSL Multi-Domain (MDC)

Sertifikat Multi-Domain bisa digunakan untuk mengamankan banyak domain dan/atau nama subdomain. Termasuk kombinasi domain dan subdomain yang sama sekali unik dengan TLD (Top-Level Domain) yang berbeda, kecuali yang bersifat lokal/internal.

Misalnya:

  • www.example.com
  • example.org
  • mail.this-domain.net
  • example.anything.com.au
  • checkout.example.com
  • secure.example.org

Secara default, sertifikat Multi-Domain tidak mendukung subdomain. Jika Anda perlu mengamankan www.example.com dan example.com dengan satu sertifikat Multi-Domain, maka kedua nama host harus ditentukan saat memperoleh sertifikat.

Sertifikat Unified Communications (UCC)

Sertifikat Unified Communications (UCC) juga dianggap sebagai sertifikat SSL Multi-Domain. UCC pada awalnya dirancang untuk mengamankan server Microsoft Exchange dan Live Communications. Kini setiap pemilik situs web bisa menggunakannya untuk mengamankan beberapa nama domain dalam satu sertifikat. Sertifikat UCC divalidasi secara teratur dan menampilkan gembok di browser. UCC bisa digunakan sebagai sertifikat SSL EV untuk memberikan jaminan tertinggi kepada pengunjung situs web melalui bilah alamat hijau.

Kita harus memahami berbagai jenis sertifikat SSL supaya bisa mendapatkan sertifikat yang cocok untuk situs web kita.

Cara memperoleh sertifikat SSL

Sertifikat SSL bisa diperoleh langsung dari Otoritas Sertifikat (CA). Otoritas Sertifikat – terkadang juga disebut sebagai Otoritas Sertifikasi – menerbitkan jutaan sertifikat SSL setiap tahun. Mereka berperan penting dalam cara kerja internet dan cara kerja interaksi online yang transparan dan tepercaya.

Biaya sertifikat SSL bervariasi, mulai dari yang gratis hingga ratusan dolar, tergantung pada tingkat keamanan yang diperlukan. Setelah Anda memilih jenis sertifikat yang dibutuhkan, Anda bisa mencari Penerbit Sertifikat, yang menawarkan SSL sesuai level yang dibutuhkan.

Berikut langkah-langkah untuk memperoleh sertifikat SSL:

  • Siapkan server dan pastikan catatan WHOIS Anda diperbarui dan cocok dengan hal yang Anda kirimkan kepada Otoritas Sertifikat (harus menunjukkan nama dan alamat perusahaan yang benar, dsb.)
  • Membuat Certificate Signing Request (CSR) di server Anda. Langkah ini bisa dibantu oleh perusahaan hosting Anda.
  • Kirimkan ini kepada Otoritas Sertifikat untuk memvalidasi domain dan informasi perusahaan Anda.
  • Instal sertifikat yang mereka berikan setelah prosesnya selesai.

Setelah sertifikat diperoleh, Anda perlu mengonfigurasinya di host web atau di server sendiri jika Anda meng-host situs web sendiri.

Seberapa cepat sertifikat diterima bergantung pada jenis sertifikat dan penyedianya. Setiap tahap validasi membutuhkan waktu penyelesaian yang berbeda. Sertifikat SSL Domain Validation yang sederhana bisa diterbitkan dalam hitungan menit setelah dipesan, sedangkan Extended Validation bisa membutuhkan waktu hingga seminggu penuh.

Jenis-jenis sertifikat SSL

Apakah sertifikat SSL bisa digunakan di beberapa server?

Satu sertifikat SSL bisa digunakan untuk beberapa domain di server yang sama. Bergantung pada vendornya, Anda juga bisa menggunakan satu sertifikat SSL di beberapa server. Ini karena sertifikat SSL Multi-Domain, seperti pembahasan di atas.

Sesuai namanya, Sertifikat SSL Multi-Domain berfungsi dengan beberapa domain. Jumlahnya diserahkan kepada Otoritas Sertifikat yang menerbitkannya. Sertifikat SSL Multi-Domain berbeda dengan Sertifikat SSL Single Domain, yang – sekali lagi, sesuai namanya – dirancang untuk mengamankan satu domain.

Anda mungkin heran jika mendengar bahwa Sertifikat SSL Multi-Domain juga disebut sebagai Sertifikat SAN. SAN singkatan dari Subject Alternative Name. Setiap sertifikat multi-domain memiliki kolom tambahan (yaitu SAN), untuk mencantumkan domain tambahan yang ingin dilindungi dalam satu sertifikat.

Sertifikat Unified Communications (UCC) dan Sertifikat SSL Wildcard juga bisa melindungi beberapa domain, dan dalam kondisi terbaru, jumlah subdomain yang tidak terbatas.

Bagaimana jika sertifikat SSL kedaluwarsa?

Sertifikat SSL memang bisa kedaluwarsa dan tidak berlaku selamanya. Otoritas Sertifikat/Forum Browser, yang berfungsi sebagai badan regulasi de facto untuk industri SSL, menyatakan bahwa masa pakai sertifikat SSL tidak boleh lebih dari 27 bulan. Artinya dua tahun ditambah masa perpanjangan hingga tiga bulan jika Anda memperpanjangnya dengan sisa waktu pada sertifikat SSL sebelumnya.

Sertifikat SSL kedaluwarsa karena, seperti bentuk autentikasi lainnya, informasi perlu divalidasi ulang secara berkala untuk memeriksa apakah masih akurat. Segala sesuatu bisa berubah di internet, karena perusahaan dan situs web bisa dibeli dan dijual. Jika kepemilikan berpindah tangan, informasi yang terkait dengan sertifikat SSL juga akan berubah. Tujuan dari masa kedaluwarsa adalah untuk memastikan bahwa informasi yang digunakan untuk mengautentikasi server dan organisasi selalu bersifat mutakhir dan akurat.

Sebelumnya, sertifikat SSL yang diterbitkan berlaku selama lima tahun, kemudian dikurangi menjadi tiga tahun, dan terakhir menjadi dua tahun ditambah potensi masa berlaku tiga bulan. Pada tahun 2020, Google, Apple, dan Mozilla mengumumkan bahwa mereka akan memberlakukan sertifikat SSL satu tahun, meski proposal ini ditolak oleh Forum Browser Otoritas Sertifikat. Ini berlaku sejak September 2020. Mungkin di masa mendatang, masa berlakunya akan dikurangi lagi.

Jika sertifikat SSL kedaluwarsa, situs tidak bisa diakses. Saat browser membuka sebuah situs web, masa berlaku sertifikat SSL-nya akan diperiksa dalam hitungan milidetik (sebagai bagian dari SSL handshake). Jika sertifikat SSL telah kedaluwarsa, pengunjung akan menerima pesan "Situs ini tidak aman. Ada potensi risiko".

Meski pengguna memiliki opsi untuk terus membukanya, sebaiknya jangan lakukan, karena mengandung risiko keamanan siber, termasuk kemungkinan serangan malware. Ini akan sangat berdampak terhadap bounce rate pemilik situs web, karena pengunjung akan segera keluar dari beranda dan mengunjungi situs lain.

Memantau kapan sertifikat SSL kedaluwarsa merupakan tantangan tersendiri bagi perusahaan besar. Usaha Mikro, Kecil, dan Menengah (UMKM) hanya perlu mengelola satu atau beberapa sertifikat, sedangkan perusahaan besar dengan pangsa pasar yang jauh lebih luas – dan memiliki banyak situs web serta jaringan – tentu memiliki banyak sertifikat. Pada tahap ini, jika sertifikat SSL sampai kedaluwarsa, biasanya ini karena kurang perhatian, bukan karena tidak berkompeten. Cara terbaik perusahaan besar untuk mengetahui kapan sertifikat SSL mereka kedaluwarsa adalah dengan menggunakan platform pengelolaan sertifikat. Ada berbagai produk di pasaran, yang bisa ditemukan lewat pencarian online. Dengan produk-produk ini, perusahaan bisa melihat dan mengelola sertifikat digital di seluruh infrastruktur mereka. Jika Anda menggunakan salah satu platform ini, sebaiknya login secara berkala supaya bisa mengetahui kapan pembaruan harus dilakukan.

Jika kedaluwarsa, sertifikat tidak akan berlaku. Anda tidak akan bisa lagi bertransaksi dengan aman di situs web Anda. Otoritas Sertifikasi (CA) akan meminta Anda memperpanjang masa berlaku sertifikat SSL sebelum kedaluwarsa.

Otoritas Sertifikat atau layanan SSL mana pun yang digunakan untuk memperoleh sertifikat SSL akan mengirimkan notifikasi kedaluwarsa kepada Anda dalam jangka waktu tertentu, biasanya dimulai dari 90 hari. Cobalah untuk memastikan bahwa pesan pengingat ini dikirimkan ke milis distribusi — bukan kepada satu orang, yang mungkin telah keluar dari perusahaan atau berpindah ke bagian lain saat pesan tersebut dikirimkan. Pikirkan pemangku kepentingan mana di perusahaan yang tertera di milis distribusi ini untuk memastikan ada orang yang tepat saat melihat pesan pengingat ini di waktu yang tepat.

Cara mengetahui apakah situs web memiliki sertifikat SSL

Cara paling mudah untuk mengetahui apakah situs web memiliki sertifikat SSL adalah dengan melihat bilah alamat di browser:

  • Jika URL diawali dengan HTTPS dan bukan HTTP, artinya situs web diamankan menggunakan sertifikat SSL.
  • Situs yang aman memperlihatkan ikon gembok tertutup, yang bisa diklik untuk melihat informasi keamanannya – situs yang paling tepercaya akan memiliki gembok hijau atau bilah alamat.
  • Browser juga akan menampilkan tanda peringatan jika koneksi tidak aman — seperti gembok merah, gembok yang tidak tertutup, garis yang mencoret alamat situs web, atau segitiga peringatan di atas ikon gembok.

Cara memastikan sesi online Anda aman

Cukup kirimkan data pribadi dan informasi pembayaran online ke situs web dengan sertifikat EV atau OV. Sertifikat DV tidak cocok untuk situs web eCommerce. Anda bisa mengetahui apakah sebuah situs web memiliki sertifikat EV atau OV dengan melihat bilah alamatnya. Untuk sertifikat SSL EV, nama perusahaan/organisasi akan terlihat di bilah alamat browser. Untuk sertifikat SSL OV, Anda bisa melihat detail nama perusahaan/organisasi dengan mengeklik ikon gembok. Untuk sertifikat SSL DV, hanya ada ikon gembok yang terlihat.

Baca kebijakan privasi situs web. Anda akan mengetahui cara data Anda digunakan. Perusahaan yang sah akan transparan tentang cara mereka mengumpulkan dan memperlakukan data.

Perhatikan tanda-tanda atau petunjuk kepercayaan di situs web. Selain sertifikat SSL, Anda juga bisa melihat logo atau ikon tepercaya yang menunjukkan bahwa suatu situs web memenuhi standar keamanan tertentu. Tanda-tanda lain yang menjadi penentu apakah suatu situs web asli atau tidak, bisa dilihat dengan mencari ketersediaan alamat fisik dan nomor telepon, memeriksa kebijakan pengembalian uang, dan memastikan apakah harganya bisa dipercaya atau mengada-ada.

Tetap waspada dengan penipuan phishing. Terkadang peretas bisa membuat situs web yang meniru situs web yang telah ada untuk mengelabui orang supaya membeli sesuatu atau masuk ke situs phishing mereka. Situs phishing bisa memperoleh sertifikat SSL sehingga mengenkripsi semua lalu lintas data yang mengalir antara Anda dan situs tersebut. Penipuan phishing di situs HTTPS makin sering terjadi dengan mengelabui pengguna yang merasa yakin dengan keberadaan ikon gembok.

Untuk menghindari serangan semacam ini:

  • Selalu periksa domain situs web yang Anda kunjungi dan pastikan ejaannya benar. URL situs web palsu bisa menggunakan satu karakter yang berbeda – misalnya, amaz0n.com, bukan amazon.com. Jika ragu, ketik domain langsung di bilah alamat browser untuk memastikan Anda terhubung ke situs web yang ingin dikunjungi.
  • Jangan pernah mengisi informasi login, kata sandi, kredensial perbankan, atau data pribadi lainnya di situs kecuali Anda yakin akan keasliannya.
  • Selalu pertimbangkan hal yang ditawarkan situs tertentu, apakah terkesan mencurigakan atau apakah Anda benar-benar perlu mendaftar di situsnya.

Risiko keamanan siber terus meningkat, tetapi memahami jenis sertifikat SSL yang perlu diperhatikan dan cara membedakan situs yang aman dari situs yang berpotensi berbahaya akan menghindarkan pengguna internet dari penipuan serta melindungi data pribadi mereka dari penjahat siber.

Produk yang Direkomendasikan:

Apa itu sertifikat SSL – Definisi dan Penjelasan

Apa itu Sertifikat SSL & Mengapa ini penting?
Kaspersky logo

Artikel terkait