sertifikat ssl code signing

Sertifikat Code Signing VS Sertifikat SSL | SSL Indonesia

Apakah Anda pengguna sertifikat SSL code signing? Atau Anda tidak tahu bahwa sertifikat ssl menyediakan jenis sertifikat code signing yang khusus digunakan untuk aplikasi. Tidak seperti sertifikat SSL lainnya yang digunakan secara umum pada situs website, code signing dibuat untuk melindungi aplikasi.

Sertifikat code signing memastikan bahwa kode / code tidak dapat dirusak, sehingga mencegah perusakan kode yang berbahaya untuk melindungi pengguna akhir. Sedangkan sertifikat SSL membuat koneksi terenkripsi antara browser dengan server situs website dan komputer pengguna yang terhubung.

Namun perlu Anda ketahui bahwa antara code signing dengan sertifikat SSL bukanlah hal yang sama dan tidak dapat digunakan secara bergantian.

Apa itu Sertifikat Code Signing?

Sertifikat code signing digunakan untuk mengotentikasi pengembangan perangkat lunak atau aplikasi, serta memastikan bahwa aplikasi ternekripsi dan tidak diubah serta disusupi malware. Para pengembang aplikasi biasanya akan menggunakan sertifikat code signing untuk melakukan penandatanganan aplikasi untuk memverifikasi kepemilikan.

Enkripsi yang dilakukan code signing akan menjadi public key encryption pada sertifikat SSL, dan akan memberikan identitas pada aplikasi yang sudah dipasangkan sertifikat code signing.

Apa itu Sertifikat SSL / TLS?

SSL (Secure Socket Layer) merupakan teknologi standard yang digunakan untuk mengamankan koneksi internet melalui enkripsi data yang dikirim antara situs website dengan browser (antara dua server).

Sertifikat SSL akan mencegah peretas melihat ataupun mencuri informasi yang ditransfer termasuk data pribadi dan keuangan. SSL akan membuat port lalu lintas data secara khusus antara kedua server.

TLS (Transport Layer Secure) merupakan versi SSL yang sudah diperbaharui dan pastinya dengan enkripsi lebih. Dengan kata lain bahwa TLS adalah versi lama dari SSL. Saat ini sertifikat SSL merupakan sertifikat keamanan dengan istilah yang lebih umum.

Sertifikat Code Signing Vs Sertifikat SSL

Sertifikat code signing digunakan untuk mengenkripsi aplikasi, sedangkan sertifikat SSL digunakan untuk mengenkripsi koneksi situs website. Namun keduanya digunakan untuk melindungi pengguna akhir atau pengunjung.

Jika anda tidak menggunakan sertifikat ini, pada aplikasi akan mendapatkan peringatan tidak aman dan pada situs website Anda akan dilakukan blok atau peringatan sebelum masuk pada situs website.

Jika pengguna mencoba mengunduh aplikasi yang tidak menggunakan sertifikat code signing, makan akan muncul pesan peringatan dan ditandai sebagai aplikasi yang berbahaya. Sedangkan jika situs website tidak menggunakan sertifikat SSL maka browser akan menamilkan “not secure” pada bilah url ataupun sebelum melakukan penelusuran.

Jenis Sertifikat SSL Code Signing

Sertifikat code signing menawarkan tanda tangan digital terenkripsi dengan keamanan otentikasi dua faktor. Ada 4 brand sertifikat SSL yang menawarkan jenis produk code signing. Digicert, Symantec, Thawte, dan Sectigo. Masing-masing brand memiliki fitur serta tingkat enkripsi yang berbeda.

Jika Anda membutuhkan rekomendasi produk sertifikat SSL code signing sesuai kebutuhan Anda, Anda dapat menghubungi tim SSL Indonesia melalui live chat ataupun sales@sslindonesia.com

Cara Mengelola Sertifikat Code Signing

Jika Anda pengembang aplikasi, Anda harus tau keamanan code signing dan pengelolaan sertifikat dengan benar. Jika tidak dikelola dengan benar, akan sangat membahayakan bisnis Anda. Insiden ini sama seperti serangan pada aplikasi solarwinds yang melakukan penandatanganan serupa pada seluruh file. Hal ini bukan kesalahan pada sertifikat code signing, namun pada proses penggunaan code signing tersebut.

Tim SSL Indonesia akan sedikit memberikan saran yang dapat membantu Anda mencegah penyusupan code, melindungi dan mengontrol penggunaan key. Praktik terbaik penandatanganan kode lainnya adalah melakukan pemindaian virus pada kode Anda sebelum ditandatangani.

Jika Anda merasa itu sangat membosankan Anda dapat menggunakan sertifikat dengan fitur secure software manager. Beberapa brand seperti Digicert dan Symantec menyediakan fitur tersebut untuk memudahkan proses pengelolaan sertifikat code signing.

Itulah perbedaan antara sertifikat SSL Code Signing dengan sertifikat SSL non code signing yang secara umum digunakan pada situs website. Jika Anda masih bingung dalam memilih dan masih ragu menggunakan sertifikat SSL, Anda dapat melakukan konsultasi secara gratis dengan tim professional SSL Indonesia.

let's encrypt ssl gratis

Let’s Encrypt Berakhir Januari 2021

Anda masih menggunakan sertifikat SSL Gratis seperti Let’s Encrypt? Hati-hati, karena sertifikat ini akan mengurangi tingkat kompatibilitas browser yang akan berdampak pada pengguna sertifikat pada situs website resmi.

Sertifikat let’s encrypt tidak akan melakukan penandatanganan silang dengan sertifikat root pihak ketiga. Karena peralihan ini, pengunjung situs web tertentu akan diblokir dari mengakses situs web yang diamankan dengan Let’s Encrypt, dan akan mendapatkan peringatan “your connection is not private”.

Apa penyebab let’s encrypt melakukan pengurangan kompatibilitas sertifikat pada browser, sebagai pihak ketiga?dan apa yang harus dilakukan untuk menghindari pemblokiran situs website tidak aman?

Akar Masalah Let’s Encrypt

Asal mula masalah dimulai sejak 2015, ketika Let’s Encrypt didirikan oleh Internet Security Research Group (ISRG) dan berbagai mitranya. Karena sertifikat root mereka sendiri membutuhkan waktu bertahun-tahun untuk dipercaya oleh semua browser dan sistem operasi utama, mereka menandatangani silang sertifikat mereka dengan root tepercaya CA yang ada. Ini adalah tindakan tipikal untuk CA baru, dan dalam hal ini Let’s Encrypt menggunakan IdenTrust dan sertifikat DST Root X3 mereka.

Dengan sistem tanda tangan silang, let’s encrypt menjadi penyedia sertifikat SSL yang dipercaya pada dunia internet dan paling banyak digunakan karena gratis. Namun ternyata penggunakan sertifikat root IdenTrust DST Root X3 ini memiliki tanggal kadaluarsa pada awal tahun 2021.

Let’s Encrypt berusaha mempersiapkan diri untuk peristiwa kedaluwarsa ini, mengeluarkan sertifikat root sendiri yakni, ISRG Root X1. Sayangnya, ia belum memiliki kepercayaan komprehensif yang dimiliki oleh root IdenTrust yang telah mereka gunakan dan akan kadaluarsa.

Let’s Encrypt akan mulai mengeluarkan sertifikat root yang dirantai ke sertifikat ISRG Root X1 mereka pada 11 Januari 2021 . Karena root mereka sendiri tidak memiliki kepercayaan luas dari root IdenTrust, pengguna pada platform lama tertentu akan diblokir dari mengakses situs web apa pun yang menggunakan sertifikat Let’s Encrypt SSL / TLS.

Itulah penyebab utama mengapa let’s encrypt melakukan pengurangan kompatibilitas browser.

Dampak Pengurangan Kompatibilitas Let’s Encrypt

Dampak utama kadaluarsanya sertifikat root let’s encrypt adalah platform lama yang masih digunakan hingga sekarang.

Grup paling signifikan yang terpengaruh adalah semua orang yang menggunakan Android 7.1.1 atau yang lebih lama. Anda mungkin bertanya-tanya apakah ada yang masih menggunakan versi lama seperti itu, dan jawabannya mungkin mengejutkan Anda – total 33,8% dari semua perangkat Android saat ini menjalankannya. Dan setiap kali mereka mengunjungi situs Let’s Encrypt-protected (saat ini 225 juta domain termasuk dalam kategori ini), mereka akan menemukan kesalahan sertifikat dan layar peringatan.

Versi Java yang lebih lama juga dipengaruhi oleh perubahan root. Setiap klien yang menggunakan versi Java sebelum 1.8.0_141-b15 akan menerima peringatan dan / atau kesalahan saat menemukan sertifikat Let’s Encrypt.

Itulah beberapa platform yang sangat berdampak pada penggunaan let’s encrypt. Berita ini didapat oleh Tim SSL Indonesia dari portal berita let’s encrypt.

Mengatasi Pembatasan Atau Error Sertifikat

Pemilik sittus website yang masih menggunakan platform lama let’s encrypt. Ada beberapa opsi berbeda opsi berbeda yang mereka miliki sejauh mengurangi dampak dari kedaluwarsa root. Pertama, Anda dapat memperingatkan pengunjung yang menggunakan Android versi lama bahwa mereka perlu meningkatkan versi sebelum menggunakan situs Anda. Mereka dapat memutakhirkan Android atau mengalihkan peramban mereka ke Firefox

Meskipun ini adalah solusi yang bagus secara teori, ini juga tidak mungkin sangat efektif karena sebagian besar pengguna tidak ingin mengalami masalah dalam meningkatkan perangkat mereka atau beralih browser hanya untuk mengunjungi suatu situs.

Pemilik situs yang menggunakan ACME dapat mengubah setelan klien mereka untuk terus menggunakan sertifikat Let’s Encrypt yang bertanda silang. Namun, ini hanya akan berfungsi hingga September 2021. Namun, ini dapat memberi Anda waktu untuk mendapatkan solusi jangka panjang Anda.

Secara sederhana Anda juga direkomendasikan untuk mengganti sertifikat let’s encrypt gratis Anda menggunakan sertifikat SSL berbayar. SSL Indonesia menyediakan berbagai macam jenis sertifikat dari brand ternama seperti entrust, digicert, Symantec, geotrust, sectigo, globalsign dan lain sebagainya.

Tim SSL Indonesia juga memberikan support gratis untuk melakukan instalasi jika Anda melakukan pembelian sertifikat SSL EV.

Hubungi tim SSL Indonesia di sales@sslindonesia.com atau 021-5366 7855 untuk mendapatkan rekomendasi produk sesuai dengan kebutuhan Anda.

kriptografi dan enkripsi

Pengertian Kriptografi Pada Sertifikat SSL | SSL Indonesia

Apa hubungan antara sertifikat SSL dengan Kriptografi?

Sertifikat SSL berfungsi mengenkripsi data yang ingin dikirimkan antara web server dengan browser pengunjung. Proses enkripsi akan berlangsung saat adanya proses transmisi data ataupun komunikasi.

Pada dasarnya proses enkripsi transmisi data menggunakan teknik yang disebut dengan kriptografi. Kriptografi melakukan teknik enkripsi secara acak yang disebut dengan ciphertext. Kriptografi akan membuat informasi atau data yang akan dikirimkan menjadi kalimat yang tidak dapat dibaca.

Tujuan Penggunaan Kriptografi

Ada beberapa tujuan penggunaan kriptografi khususnya pada sertifikat SSL.

Kerahasiaan (Confidentiality)

Kerahasiaan merupakan tujuan pertama yang sangat diutamakan dalam penggunaan kriptografi. Seperti fungsi kriptografi dalam mengacak informasi data yang akan dikirimkan, maka kerahasiaan data ataupun pesan akan terjaga.

Data ini hanya akan diketahui oleh si pengirim dengan penerima pesan. Semakin rahasia pesan atau informasi yang akan dikirimkan, maka akan semakin tinggi pula tingkat enkripsi kriptografi yang akan dilakukan.

Integritas Data (Integrity)

Mengapa kriptografi berhubungan dengan integritas data? Integritas data merupakan keaslian data atupun pesan yang dikirimkan. Tujuan kriptografi menjamin data atau pesan yang dikirimkan ataupun diterima merupakan pesan asli atau sah.

Kriptografi memastikan pesan yang dikirimkan sama dengan pesan yang diterima. Jaminan integritas yang diberikan oleh kriptografi adalah pesan yang bebas dari penyisipan, penghapusan, dan perubahan data sehingga data yang diterima valid dan sama dengan yang telah dikirimkan.

Autentikasi (Authentication)

Autentikasi merupakan aspek keamanan teknologi informasi yang sangat penting. Mengapa? Karena autentikasi adalah pengenalan atau identifikasi sistem mamupun informasi. Autentikasi akan mengidentifikasi pesan yang telah dikirimkan benar adanya dari si pengirim pesan yang kita butuhkan/ kita berikan kode.

Pada kriptografi, autentikasi berfungsi sebagai pengenal antara pengirim dan penerima pesan. Hal yang diautentikasi berkaitan dengan siapa pengirim pesan, pesan yang dikirimkan, panjang pesan serta waktu pengiriman pesan. Jikapesan yang diterima tidak sesuai dengan pesan yang telah dikirimkan, maka bisa dipastikan bahwa pesan tersebut tidak lolos dari uji autentikasi kriptografi.

Non Repudiasi (Non Repudiation)

 Non repudiasi merupakan bentuk bukti atau rekam jejak yang tersimpan dalam bentuk digital. Non repudiasi berarti tidak ada penyangkalan, atau diterima.  Non repudiasi atau biasa disebut nirpenyangkalan, merupakan usaha yang dilakukan untuk mencegah terjadinya penyangkalan terhadap terciptanya informasi yang dikirimkan.

Pertukaran Kunci (Key Exchange)

Pertukaran kunci atau key exchange merupakan bentuk pertukaran kunci antara pengirim pesan dan penerima pesan. Jika pada sertifikat SSL kriptografi yang terjadi yakni pertukaran antara public key dengan private key. Kunci ini akan membantu proses enkripsi dan dekripsi.

Itulah beberapa tujuan adanya kriptografi pada proses enkripsi informasi data pada proses transmisi data pada dunia internet atau online.

Elemen Kriptografi

Selain tujuan, kriptografi juga memiliki elemen pembentuk. Kriptografi disusun oleh empat elemen yang akan menciptakan tujuan kriptografi itu sendiri. Apa saja elemen pembentuk kriptografi?

Plaintext

Plaintext merupakan pesan atau informasi yang dibuat dan akan dikirimkan yang belum dienkripsi. Jadi dengan kata lain bahwa plaintext ini masih pesan yang bisa dibaca oleh siapapun, yang terdiri dari a-z dan angka.

Ciphertext

Ciphertext merupakan pesan acak yang sudah dirahasiakan dengan melakukan enkripsi. Ciphertext suudah disisipkan ciphe atau sandi rahasia pada proses transmisi data yang akan dilakukan.

Key (Kunci)

Key digunakan untuk proses enkripsi dan dekripsi data atau informasi yang dikirimkan maupun diterima. Key akan digunakan untuk enkripsi sebuah data biasa atau plaintext menjadi data yang rahasia atau ciphertext dengan algoritma tertentu sehingga tidak dapat dibaca.

Key ini juga akan digunakan sebagai proses dekripsi pesan dari ciphertext menjadi plaintext yang bisa dibaca oleh penerima pesan.

Ada 3 jenis kriptografi berdasarkan kesamaan key / kunci, berdasarkan waktu implementasi dan berdasarkan kerahasiaan kunci.

Berdasarkan Kesamaan Key / Kunci

Ada 2 jenis kriptografi berdasarkan kesamaan kunci yakni simetris dan asimetris. Kriptografi ini sangat dikenal dalam dunia sertifikat SSL pada proses enkripsi. Kunci simetris merupakan kunci algoritma klasik. Dikatakan simetris karena kunci yang digunakan untuk mengenkripsi dan mendekripsi data yang dikirimkan sama. Baik itu transposisi ataupun substitusi.

Kunci Asimetris kebalikan dari kunci simetris. Pada proses kriptografi asimetris, enkripsi dan dekripsi menggunakan kunci yang berbeda yakni public key dan private key.

Berdasarkan Waktu Implementasi

Ada 2 jenis kriptografi berdasarkan waktu implementasi yakni kriptografi klasik dan modern. Kriptografi klasik menggunakan proses transposisi ataupun substitusi. Contoh kriptografi klasik yakni algoritma affine, vigenere dan lain sebagainya.

Sedangkan kriptografi modern mengubah data atau pesan yang akan di enkripsi ke dalam bentuk bilangan biner, dan membagi menjadi beberapa blok bilangan biner. Contoh kriptografi modern yakni RSA, DSA dan elgama. Sertifikat SSL termasuk pada proses kriptografi modern.

Berdasarkan Kerahasiaan Kunci

Menggunakan dua kunci utama yakni private key dan public key. Kunci ini digunakan untuk enkripsi maupun dekripsi pesan yang dikirim dan diterima.

Itulah beberapa pembahasan tentang kriptografi yang berkaitan dengan proses enkripsi data pada dunia digital khususnya internet.

cara install ssl pada apache

Install Sertifikat SSL Pada Apache

Instalasi sertifikat SSL merupakan aktivitas yang dilakukan setelah sertifikat SSL Anda terbit. Mengapa perlu melakukan install SSL? Untuk injeksi SSL sebagai keamanan pada server dan browser. Ini juga akan membantu proses direct http ke https

SSL Indonesia membuat tahapan install sertifikat SSL pada Apache Web Server

Persiapkan file sertifikat SSL Anda

Untuk menginstall sertifikat SSL pada Apache web server, pastikan terlebih dahulu bahwa Anda memiliki 3 komponen file berikut ini:

  • Sertifikat ssl (primary_domain.crt)
  • Private key (server key)
  • File chain (CA Bundle.crt)

Jika salah satu komponen file yang telah disebutkan tidak Anda miliki, Anda dapat menghubungi tim support provider SSL Anda (SSL Indonesia). Apabila file sudah lengkap, simpan masing-masing file pada directory penyimpanan file Anda misalnya etc/pki/tls

Tentukan lokasi dan nama konfigurasi file

Lokasi dan nama file konfigurasi pada setiap server berbeda. Pada server apache biasanya file konfigurasi memiliki nama file httpd.conf atau ssl.conf file. Konfigurasi SSL berlokasi di bawah directory /etc/httpd/conf.d/ssl.conf , namun jika lokasi pada virtual host maka berada di bawah direktori etc/httpd/vhost.datau berada dalam nama file yang disebut httpd-ssl.conf

Konfigurasi Server

Buka file ssl.conf yang terdapat pada directory /etc/httpd/conf.d/ssl.conf. Anda akan menemukan 2 directory berbeda untuk menyimpan file sertifikat SSL dan Private Key, /etc/pki/tls/certs dan /etc/pki/tls/private.

Pada direktori /etc/pki/tls/certs upload primary_domain.crt dan CA Bundle.crt. Lalu pada direktori /etc/pki/tls/private upload server.key, kemudian Anda harus ubah konfigurasi menjadi:

SSLCertificateFile /etc/pki/tls/certs/SSLCertificate.crt

SSLCertificateKeyFile /etc/pki/tls/private/Privatekey.key

SSLCertificateChainFile /etc/pki/tls/certs/CABundle.crt

Note: Apabila command SSL certificate chain file tidak bekerja pada Apache, Anda dapat mencoba dengan menggunakan command / perintah SSL CA certificate file

Test Konfigurasi

Setelah Anda melakukan konfigurasi server, Anda harus melakukan test konfigurasi untuk menghindari error sebelum Anda restart web server Apache Anda. Anda hanya perlu memberikan command atau perintah apachectl configtest untuk tes file konfigurasi.

Restart Apache Service

Setelah konfigurasi berhasil dan tidak terdapat error, Anda harus restart apache web server Anda dengan memberi command / perintah apachectl stop dan memulai apache dengan command apachectl start. Jika Anda ingin melakukan restart httpd service Anda perlu memberikan command service httpd restart.

Itulah proses tahapan instalasi sertifikat SSL pada apache web browser. Anda dapat melakukan cek browser Anda untuk melihat hasil install dan konfigurasi. Pastikan Anda menggunakan semua browser untuk pengecekan dengan alamat URL https (https://namadomainanda.com). Browser akan memberikan pemberitahuan error apabila sertifikat chain atau intermediate tidak terpasang dengan benar atau sesuai.

validitas ssl

Validitas SSL Hanya 1 Tahun | Google Chrome dan Apple

Validitas sertifikat SSL sudah sejak lama menjadi perbincangan. Pada awal tahun 2020, browser safari yang diterbitkan oleh apple telah menyetujui dan melakukan setting validitas sertifikat SSL hanya berlaku selama 1 tahun.

Kali ini tim dari pihak Google chrome mengikuti alur dari safari apple dan telah mengabarkan bahwa validitas sertifikat SSL hanya akan berlaku 1 tahun hingga 398 hari mulai 1 september mendatang.

Lalu bagaimana jika sudah melakukan pembelian untuk validitas sertifikat SSL lebih dari 1 tahun?

Validitas 1 Tahun Tidak Mengubah Apapun

Pada 11 juni 2020, Dean coclin ketua emeritus forum CA menyampaikan berita di twitter bahwa Google akan mengikuti jejak safari apple dalam membatasi sertifikat SSL public mulai 1 september. Namun saat ini hasil rapat yang dilakukan oleh forum CA dan browser masih belum diterbitkan secara resmi.

Alasan dibalik persetujuan tingkat validitas sertifikat SSL yang lebih pendek adalah rentag penggunaan pada browser dan tingkat keamanan. Semakin pendek tingkat validitas, maka harus sering melakukan update dan ini akan mempengaruhi tingkat keamanan website pada browser.

Dan mengingat Google Chrome dan Safari adalah dua browser web terkemuka di dunia dalam hal pangsa pasar, tidak mengherankan bahwa browser lain hanya akan mengikuti. Ini berarti bahwa terlepas dari apakah Google memilih untuk membuat pengumuman, industri sudah pindah ke validitas satu tahun paling lambat 1 September.

Lalu bagaimana proses penerbitan?

Tidak akan berpengaruh, karena sistem yang dilakukan masih sama seperti proses validitas penerbitan sebelumnya. Jika Anda sudah melakukan pembelian melebihi validitas 1 tahun maka, pihak provider ssl seperti SSL Indonesia akan melakukan reissue kembali. Meminta file CSR anda kembali dan melakukan proses validasi kembali.

Apa Pengaruh Validitas SSL 1 Tahun dengan Administrasi Situs Web?

Meskipun browser sudah melakukan pengumuman bahwa penerbitan sertifikat validitas hanya 1 tahun Anda masih bisa melakukan pembelian vakupan validitas sertifikat hingga 5 tahun melalui paket berlangganan multi tahun.

Otoritas sertifikat komersial atau CA seperti Sectigo dan Digicert meluncurkan rencana proses berlangganan sertifikat multi tahun untuk memudahkan pelanggan mereka baik dari segi biaya dan waktu. Hanya bedanya, Anda harus melakukan penerbitan ulang setiap tahun.

Sectigo

Addtrust External CA Root Sectigo Akan Berakhir

Aktivasi sertifikat SSL tidak lepas dari aktivasi sertifikat root dan intermediate. Sertifikat root merupakan dashboard trusted root yang berfungsi sebagai pusat kepercayaan ataupun enkripsi yang melapisi SSL. Sertifikat root ini sudah terdapat pada masing-masing perangkat, namun masih tidak aman dan belum dipercaya oleh public browser.

Sertifikat root ini tidak dapat melakukan rekuest tanda tangan (certificate signing request) dan melakukan penandatangan secara resmi dari pihak Certificate Authority (CA).

Sectigo sebagai salah satu brand sertifikat SSL ternama menawarkan sertifikat root dengann sistem cross sign (tanda tangan silang) dan pembaharuan root AddTrust untuk meningkatkan dukungan antara sistem dan perangkat lama.

Namun sangat disayangkan root ini akan habis masa berlaku pada tanggal 30 Mei 2020 mendatang. Aplikasi dan instalasi yang bergantung pada root cross sign ini harus dilakukan update agar sistem tidak dihentikan dan tidak terjadi error.

Tentang Sertifikat Root

Sertifikat root merupakan sertifikat yang ditandatangani sendiri dan melakukan penerbitan sertifikat sendiri atau self sign. Karena melakukan penerbitan dan tanda tangan sendiri, sertifikat ini tidak dipercaya dari CA atau otoritas yang dipercaya. Penerbitan sertifikat ini juga membutuhkan sertifikat intermediate sebagai jalur pelengkap untuk kembali ke sertifikat root.

Jika Anda melakukan penerbitan sertifikat root sendiri pada browser Anda, maka jenis ini tidak akan dipercaya oleh browser publik dan tetap tidak pada jalur aman.

Addtrust External CA Root Sectigo

Sebagai sertifikat root sectigo, Addtrust external CA Root diterbitkan dengan sistem cross signing. Apa itu cross signing? Sistem cross signing melakukan sistem penandatanganan silang dengan root AAA.

Perlu anda ketahui bahwa pihak penyedia otoritas sertifikat SSL atau CA mengendalikan multiple sertifikat root. Secara umum, root lama sering didistribusikan ke platform lama. Untuk menghindari penggandaan root, maka CA akan melakukan sertifikat cross signing (penandatanganan silang) dan memastikan bahwa sertifikat yang mereka terbitkan didukung oleh seluruh perangkat dan diakui pada browser public.

Hasil penerbitan sertifikat cross akan menggunakan public key yang sama dengan subjek root yang ditandatangani.  Contoh sertifikat cross

Subjek : Sectigo RSA certification Authority

Issuer : Addtrust External CA Root

Dengan menggunakan subjek dan public key sebagai sertifikat root Sectigo self signed, maka browser dan klien akan kembali pada jalur sertifikat root.

Sectigo melakukan kontrol pada sertifikat Root AddTrust External CA Root, dan digunakan untuk menciptakan sertifikat cross untuk root modern Sectigo, dan USERTrust RSA CA. Root AddTrust yang diterbitkan menggunakan cross signing akan habis masa pada 30 mei 2020 mendatang.

Sertifikat yang menggunakan root AddTrust akan kembali ke jalur root modern yang digunakan untuk cross sign oleh AddTrust lama.

AddTrust External CA Root > USERTrust RSA CA > Sectigo Issuing CA > Your Certificate

Bagaimana jika sertifikat Sectigo yang saya terbitkan menggunakan Root AddTrust External CA? Apakah sertifikat tersebut tetap aktif setelah root tidak aktif?

Ya. Sertifikat Sectigo tersebut akan tetap aktif dan akan dialihkan ke root terbaru sectigo yakni USERTrust yang berlaku hingga 2028

public key infrastructure

Sertifikat SSL dan Public Key Infrastructure (PKI)

Meningkatnya kesadaran akan pentingnya keamanan website dan keharusan menggunakan sertifikat SSL pada website menjadikan banyak pihak beli SSL murah dari berbagai brand. Sertifikat SSL melibatkan enskripsi dan dekripsi agar pesan yang akan disampaikan hanya bisa dibaca oleh pihak yang menggunakan private key dan public key.

Private key dan public key didapatkan dari server pengguna SSL dan diterjemahkan ke pengunjung situs website.

Private key hanya di create untuk pemilik server pengguna SSL sedangkan public key di create untuk pengunjung situs website. Terkait dengan public key banyak pengguna sertifikat SSL masih tidak paham dengan sistem yang diterapkan.

Belum lama ini Symantec berpindah public key infrastructure (PKI) ke Digicert. Sertifikat yang diterbitkan tetap menggunakan Symantec, namun hanya penggantian pengelolaan public key saja.  Public Key Infrastructure (PKI) terkait dengan kriptografi yang masih tidak dipahami oleh banyak orang

Apa itu Public Key Infrastructure (PKI)?

PKI merupakan sistem dasar dengan portal khusus yang dibuat untuk mengelola penerbitan, pendistribusian, identifikasi serta pencabutan public key sertifikat. Pencabutan atau yang sering disebut dengan revoke pada sertifikat SSL.

Sistem PKI ini terdiri dari serangkaian kebijakan serta prosedur yang di percayakan pdaa pengguna sertifikat. Sistem ini memastikan public key hanya dapat digunakan atau dibaca oleh pengguna sertifikat digital yang sudah diterbitkan saja.

Informasi yang tertera pada dashboard PKI akan dienkripsi serta ditransmisikan dengan aman.

Apa Alasan PKI Dibutuhkan?

Sebelum membahas alasan mengapa PKI sangat dibutuhkan, Anda perlu melakukan pemeriksaan menyeluruh pada website Anda. Apakah Anda sudah beli SSL yang akan dipasangkan pada situs website Anda? Jika sudah, apakah sudah melakukan cek tanggal kadaluarsa dan melakukan pembaharuan sebelum masa kadaluarsa?

Sebagai pengguna sertifikat SSL Anda harus memahami sistem enkripsi dan terjemahan enkripsi yang menggunakan private key dan public key. Enkripsi akan mengamankan transmisi data yang dikirimkan, pengirim akan mengenkripsi menggunakan private key, sedangkan penerima ataupun pengunjung akan menggunakan public key untuk menerjemahkan pesan yang disampaikan.

Salah satu pengirim ataupun penerima tidak memiliki private key ataupun public key tidak akan bisa membaca pesan yang dikirimkan. Berdasarkan tingkay sensitifitas informasi yang dikirimkan ada cara lain untuk membuat identitas penerima sebagai pemilik public key. Pembuatan identitas ini PKI akan mengambil peran.

Lalu bagaimana hubungan PKI dengan sertifikat digital keamanan website?

PKI akan berfungsi jika sertifikat digital keamanan sudah diterbitkan. Sertifikat sebagai bentuk identitas pemilik website dan organisasi.  PKI sebagai penyimpan identitas kedua pengguna mesin komunikasi dan melakukan verifikasi, dan setelah terjadi verifikasi maka PKI akan memberikan jalur transmisi data atau pergantian informasi secara aman.

PKI merupakan cara yang sangat efektif untuk melakukan enkripsi. Memiliki otentikasi melalui penggunaan sertifikat SSL merupakan cara uang sangat efektif untuk melindungi data dan informasi yang disampaikan.

Menggunakan PKI untuk create jalur khusus enkripsi pada internal juga dapat dilakukan. Kriptografi sertifikat SSL tergantung pada PKI. PKI melakukan enkripsi, dekripsi dan perubahan public key menggunakan enkripsi simetris dan asimetris.

Bagaimana Cara Kerja PKI dengan Sertifikat SSL?

Server  web akan mengirimkan salinan public key asimetris pada browser, lalu browser akan merespon dan menghasilkan kunci sesi simetris. Setelah menghasilkan kunci sesi secara simetris akan dilakukan enkripsi public key secara asimetris yang akan diterima oleh server. Untuk melakukan dekripsi akan menggunakan session key, server web menggunakan private key asimetris secara unik dan asli.

Sistem ini semuanya terjadi pada dashboard dan sistem PKI.

enkripsi https ssl indonesia

Enkripsi HTTPS dan Peringkat SEO pada Google

Situs perusahaan pengguna sertifikat SSL mempercayai bahwa peralihan htttp menjadi https akan mempengaruhi peringkat SEO pada pencarian google.

Https merupakan keamanan pada keseluruhan situs website secara ideal. Tidak hanya melindungi data pada server website, tetapi juga melndungi privasi pengunjung situs website.

Pengumuman google pada akhir tahun 2014 bahwa situs website https akan menjadi sinyal penentuan peringkat pada pencarian google. Hal tersebut ditujukan untuk menciptakan lingkup penelusuran yang aman pada dunia internet.

Setelah menyetujui kesepakatan bahwa keamanan adalah yang terutama, Google melakukan perubahan pada algoritma penelusuran dan mengutamakan kenyamanan pengguna dalam melakukan penelusuran situs.

Saat Anda memindahkan http menjadi https, Anda harus mengarahkan ulang setiap url situs secara benar dan tidak akan mempengaruhi peringkat pencarian secara jangka panjang Anda.

Google Mencintai Keamanan

Google membenci spam dan mengutamakan kemanan pada pengguna. Penambahan s atau secure pada alamat situs website memastikan bahwa situs website diamankan dengan protocol sertifikat SSL. Seluruh data transmisi akan dienkripsi.

Menggunakan SSL, pengguna akan dapat melakukan penelusuran secara aman melalui mesin pencari google dan menghindari dari situs website palsu ataupun berbahaya.

Google Memberikan Prioritas HTTPS Di SERP

Https sebagai penguat sinyal yang mempengaruhi 1% setiap penelusuran pada google. Google akan mengutamakan situs website https pada proses pencarian kata kunci yang dicari pada google.

Situs website aman yang menggunakan SSL memiliki keunggulan dibandingkan degan situs website yang tidak terenkripsi (HTTP).

Situs https akan memiliki rasio klik tayang yang lebih tinggi dibandingkan dengan situs website http. Google akan secara langsung memberitahu pengunjung situs mana (https) yang harus mereka kunjungi.

Https Everywhere

Google mengumumkan pada I/O 2014 tentang “hhtps everywhere” untuk membuat pencarian web yang dienkripsi. Hal ini memastikan bahwa penelusuran yang dilakukan pengguna telah terenkripsi dan memasuki proses komunikasi yang aman.

Bahkan, situs web berbasis konten harus memiliki HTTPS untuk integritas konten dan otentikasi situs web mereka karena Kredibilitas informasi adalah bagian penting untuk kemenangan bisnis online. Jika situs web terkait konten Anda menggunakan HTTPS, orang dapat dengan mudah mengukur tentang situs web dan ketergantungan konten, memastikan bahwa informasi tersebut asli.

Keaslian informasi adalah bagian penting untuk kesuksesan bisnis online. Bagaimana jika Anda berbagi informasi penting tentang kesehatan, keuangan pribadi, atau informasi penting lainnya? Jika situs web Anda diamankan dan diverifikasi oleh otoritas sertifikat, pelanggan Anda dapat dengan mudah mengenali bahwa informasi tersebut asli dan bukan dari orang lain.

Terlepas dari ini, ada berbagai manfaat dari pengamanan situs web konten Anda dengan HTTPS dan inilah alasan mengapa Google mulai memberi prioritas pada situs web yang diamankan menggunakan sertifikat SSL

SSL Indonesia memiliki penawaran kombo untuk pengamanan situs website baik untuk penjualan online, konten, situs pemerintahan, finance dan lain sebagainya. SSL Indonesia menyediakan ssl murah dari berbagai macam brand produk ssl seperti Digicert, Symantec, GeoTrust, Sectigo, Thawte, RapidSSL dan GlobalSign.

Anda dapat menghubungi kami melalui media live chat website, email ke sales@sslindonesia.com atau melakukan pemanggilan ke nomor 021-53667855

kerja aman di rumah

5 Tips Kerja Aman Dari Rumah – SSL Indonesia

Perkembangan pandemik virus corona yang menyebar terutama di Indonesia menjadi kekhawatiran banyak pihak. Secara khusus pemerintah Indonesia memberikan himbauan kepada masyarakat untuk melakukan pembatasan social atau social distancing.

Banyak pemerintah daerah juga sudah menetapkan PSBB atau pembatasan social berskala besar. Kebijakan ini mengharuskan para pekerja kantoran harus menerapkan sistem kerja dari rumah atau Work from home dan memanfaatkan teknologi digital untuk melaksanakan tugas yang seharusnya dilakukan di kantor. Kebijakan ini dilakukan untuk mencegah persebaran virus corona secara cepat dan luas di Indonesia.

Menggunakan teknologi digital, tim Badan Siber dan Sandi Negara (BSSN) menyoroti kebijakan dan menghimbau kepada masyarakat untuk memperhatikan sistem keamanan. Hal ini tidak lain dari banyaknya aktivitas peretas yang memanfaatkan momen untuk menebar virus malware melalui website maupun email.

Tim SSL Indonesia sebagai partner otoritas penyedia sertifikat keamanan website ataupun internet memiliki 5 tips bermakna yang dapat dipraktikkan pada saat melakukan kerja dari rumah.

Periksa Situs Website Yang Dikunjungi

Saat melakukan penelusuran informasi melalui situs web dari rumah, pastikan Anda memperhatikan alamat url situs web yang di otorisasi. Dengan kata lain bahwa, Anda harus memastikan bahwa website menggunakan sertifikat SSL.

SSL membantu Anda tetap berada pada jalur port yang aman dan terhindar dari serangan phising yang mengakibatkan kehilangan data pribadi.

Browser akan melakukan identifikasi tampilan situs yang aman dan terautentikasi dengan memberikan gembok hijau maupun https:// pada alamat url yang telah menggunakan sertifikat ssl. Jangan sampai Anda melakukan penelusuran pada website yang tidak aman bahkan melakukan penelusuran pada tautan yang tidak jelas.

Amankan Jaringan Anda

Anda juga harus memperhatikan jaringan internet Anda, jangan sampai ada peretasan, Jaringan yang diretas merupakan penggunaan pihak ketiga secara ilegal. Anda harus mengendalikan siapa yang dapat mengakses jaringan.

Gunakan otentikasi multi faktor (MFA) untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses sistem yang dikontrol seperti platform perusahaan. Bagaimanapun, jaringan rumah jika dibandingkan dengan jaringan perusahaan umumnya kurang aman karena sering kali ada kekurangan Sistem Deteksi Intrusi (IDS) dan Sistem Pencegahan Intrusi (IPS) di lingkungan rumah.

Selain itu, bekerja dari jarak jauh membutuhkan koneksi internet yang kuat dan aman. Saat bekerja dari rumah, pastikan bahwa jaringan asal Anda memiliki kata sandi yang kuat, dan jika mungkin, coba pisahkan jaringan komputer pribadi Anda dengan jaringan perangkat IoT Anda.

Jika Anda memilih untuk bekerja pada ruang publik, waspadalah terhadap WiFi publik dan jangan memercayai jaringan terbuka. Pastikan perangkat Anda tidak terhubung otomatis ke sinyal WiFi. Anda juga dapat mematikan penemuan jaringan sehingga komputer kerja Anda tersembunyi dari komputer lain di jaringan. Lebih baik menggunakan hotspot dari ponsel pribadi.

Amankan Email Anda

Pastikan Anda memisahkan email pribadi maupun email kantor. Cukup umum bagi virus dari email pribadi Anda untuk menginfeksi email kantor juga. Anda dapat mempertimbangkan menggunakan perangkat yang berbeda untuk masing-masing email, atau setidaknya memiliki login yang berbeda.

Verifikasi Link yang Akan di Klik

Ketika menerima email ataupun pesan berantai yang memberikan tautan link, pastikan jangan langsung melakukan klik. Hal ini berkaitan dengan kegiatan phising yang dilakukan oleh pihak ketiga untuk mengambil informasi pribadi Anda.

Jika menurut Anda link tersebut mencurigakan dan tidak terlalu penting, Anda dapat mengabaikan tautan link tersebut untuk menghindari kejahatan phising.

BackUp Data

Meskipun sudah memastikan file data yang ada pada komputer sudah aman, Anda juga perlu melakukan back up data. Tujuannya tidak lain untuk menghindari kehilangan data saat terjadi kesalahan pengelolaan perangkat seperti rusak ataupun dicuri. Anda dapat menggunakan layanan google drive untuk menyimpan data secara cloud dan pastinya aman.

Itulah 5 tips bekerja aman dari rumah versi SSL Indonesia. Pastikan Anda terhindar dari serangan siber yang dapat mencuri data dan merugikan Anda.

kejahatan phising

Penipuan Virus corona | Website Phising dan Email Spam

Seiring dengan meningkatnya kekhawatiran Covid-19 di Indonesia, ratusan domain bertema virus corona banyak muncul dan digunakan oleh kejahatan phising untuk menyebarkan malware serta mencuri informasi.

Kekhawatiran yang berkembang akibat pandemic ini selain penyebaran virus corona yang cepat, juga penipuan yang menggunakan nama virus corona pada situs website berbahaya.

Berita yang disampaikan oleh inet detik menyatakan bahwa banyaknya penyebaran berita tentang virus corona ini pada domain-domain baru menyebabkan situs website kominfo yakni kominfo.go.id mengalami down.

Pemanfaatan platform online sebagai media penyebaran konten penipuan merupakan kejahatan cyber. Konsep ini bukanlah hal yang baru pada dunia maya. Tetapi bukan berarti bahwa hal ini bukan menjadi masalah serius yang bisa diabaikan begitu saja.

Lalu bagaimana mendeteksi sebuah situs merupakan konten penipuan? Bagaimana strategi yang digunakan oleh penjahat cyber untuk mengambil data  pada pandemic global ini?

Kejahatan Cyber Membuat Peta Pelacak Virus corona

Perkembangan dunia digital saat ini update informasi saat ini lebih banyak beralih pada dunia internet. Hal ini lah yang dimanfaatkan oleh penjahat cyber sehingga menciptakan situs website penipuan yang menyamar sebagai otoritas yang nyata dan memiliki reputasi.

Bagaimana strategi yang digunakan? Yakni menggunakan situs pelacak secara langsung. Seperti coronavirusrealtime (dot) com, covid19 (dot) com, coronavirus (dot) app dan lain sebagainya. Situs ini tampaknya sebagai situs sah untuk mendapatkan berita tentang virus corona.

Pada platform berita Detik inet, disampaikan bahwa laporan dari perusahaan keamanan siber Recorded Future melihat semakin banyak situs seputar virus corona yang didaftarkan. Hal itu menjadi alasan mengapa menyampaikan himbauan kepada seluruh masyarakat untuk tidak melakukan klik situs virus corona secara sembarangan sangat diperlukan.

HC3 melaporkan bahwa para penjahat dunia maya meniru John Hopkins University, sebuah lembaga kesehatan terkenal di dunia, untuk menginfeksi pengunjung situs web dengan trojan AZORult . Program ini menggali banyak data sensitif yang dapat dijual di web gelap atau digunakan untuk melakukan kejahatan dunia maya, termasuk pencurian mata uang digital.

Secara umum, serangan cyber bertema Coronavirus dan situs web phishing menjadi jauh lebih umum karena berita tentang virus terus menerus meledak dari hampir setiap platform media.

Selain pengguna menemukan situs web secara organik melalui pencarian web, situs web diedarkan melalui berbagai strategi lain, termasuk lampiran dalam email rekayasa sosial, dan iklan online.

Ancaman yang baru ditemukan ini mengikuti jejak penipuan cyber lainnya, termasuk malware bertema Coronavirus dan email phishing lainnya.

Email Phising Virus corona

Cara lain yang digunakan penjahat cyber untuk mengambil keuntungan dari situasi yang buruk adalah dengan meluncurkan kampanye phishing email yang bertema Coronavirus. Email phishing yang dibuat dengan sangat menarikdan dikirimkan untuk menarik pengguna agar membuka lampiran atau mengklik tautan yang mengandung malware.

Menurut Check Point, satu kampanye kejahatan phishing yang sangat luas menargetkan lebih dari 10% organisasi besar.  Email tersebut berisi Ostap Trojan Downloader yang menyamar sebagai dokumen Microsoft Word. Pengunduh ini biasanya digunakan untuk menginstal TrickBot. Yang merupakan trojan perbankan yang mampu mencuri informasi sensitif melalui serangan man in the middle (MitM), atau menyebarkan jenis malware lain di seluruh jaringan.

Melindungi Organisasi Dari Situs Phising Virus corona

Untuk melindungi organisasi Anda dari kemungkinan serangan cyber, Anda dapat memberikan himbauan kepada seluruh staf organisasi.

Informasikan Karyawan Secara Resmi

Kirim informasi melalui saluran resmi untuk menjaga karyawan Anda mengikuti berita Coronavirus terbaru sehingga mereka tidak pergi mencarinya sendiri. Juga beri tahu mereka tentang utas yang bertema Coronavirus seperti situs web baru dan penipuan email yang harus diperhatikan.

Bagikan Situs Resmi

Memberi karyawan tautan ke situs dan sumber daya pelacakan Coronavirus resmi yang valid. Berikut daftar sumber daya tepercaya dan terkemuka untuk membantu Anda memulai:

Covid19.go.id

Infeksiemerging.kemkes.go.id

Covid19.tangerangkota.go.id

Corona.jakarta.go.id

Dan lain sebagainya yang bersangkutan dengan situs website go.id atau situs pemerintahan yang dapat dipercaya.

Pelatihan Kesadaran Kejahatan Cyber

Memberikan karyawan informasi tentang bahaya email dan situs web phishing melalui pelatihan kesadaran cybersecurity. Bahan dapat menginformasikan tentang cara mengenali email dan situs web yang mencurigakan, dan gunakan praktik terbaik untuk menghindari menjadi korban.

Verifikasi, Jangan Mudah Percaya

Saat menerima informasi baik melalui email, situs maupun lain sebagainya harus melakukan verifikasi. Verifikasi bisa mempercayai situs berita resmi baik itu CNN, Detik, Kompas dan lain sebagainya.