• (+62) 21 53660862
  • sales@sslindonesia.id
Info , Teknologi , Tips & Trik

Cara Kerja Sertifikat SSL Pada TLS 1.3

Setelah berbicara tentang proses jabat tangan pada TLS 1.2 kali ini team SSL Indonesia akan membahas proses jabat tangan pada TLS 1.3. Jabat tangan TLS 1.3 ini telah mengalami banyak perubahan dari TLS 1.2. Proses jabat tangan pada TLS 1.3 lebih pendek dibandingkan dengan TLS 1.2. Namun bukan berarti tingkat keamanan pada TLS 1.3 kalah dengan TLS 1.2. Team SSL Indonesia akan membahas secara mendalam tentang handshake SSL pada TLS 1.3

  1. Pada tahap pertama, proses jabat tangan TLS 1.3 sama saja seperti pada tahap TLS 1.2. Proses pengiriman pesan “client Hello” memulai jabat tangan, tetapi kali ini dikemas dengan lebih banyak informasi. TLS 1.3 melakukan upgrade dengan mengurangi jumlah cipher yang didukung dari 37 menjadi 5. Dalam konteks jabat tangan, klien dapat menebak apa perjanjian atau protocol pertukaran kunci yang akan digunakan.
  2. Tahap kedua, server akan merespon pesan “Server Hello” sama seperti jabat tangan pada TLS 1.2 dan sekaligus mengirimkan otentikasi sertifikat pada saat itu juga. Saat klien dan server sudah sepakat pada protocol AEAD. Server akan mengirimkan pembagian kunci, menghitung kunci sesi dan mengakhiri dengan pesan “Server Selesai”.
  3. Tahap ketiga, setelah melakukan pertukaran informasi. Klien akan mengotentikasi sertifikat SSL dan menggunakan dua bagian kunci untuk menghitung salinan sendiri dari kunci sesi. Ketika proses tersebut selesai maka pesan “Klien selesai” akan dikirimkan.

Biaya Proses Handshake SSL

Sejauh ini, salah satu keluhan tentang sertifikat SSL adalah server yang terlalu kaku dengan tambahan overhead, yang membawa persepsi bahwa HTTPS lebih lambat dari HTTP. Hal tersebut dikatakan karena proses jabat tangan sebelum munculnya TLS 1.2 merupakan proses yang mahal dan harus skala besar.

Proses jabat tangan ini merupakan proses yang sangat serius dan mengenakan biaya yang tinggi pada server. Proses jabat tangan pada TLS 1.2 akan sangat lambat jika dilakukan secara bersamaan dalam skala besar seperti proses otentikasi, enkripsi dan dekripsi.

Untuk situs web dengan skala kecil kemungkinan ini tidak akan mempengaruhi proses interaksi pada situs. Tetapi untuk situs web perusahaan yang mendapat ratusan ribu pengunjung setiap hari, ini bisa menjadi masalah besar.

Setiap iterasi baru dari jabat tangan mengambil langkah besar menuju proses yang lebih ringan. Proses pada TLS 1.2 diibaratkan melakukan perjalanan dua kali dalam proses jabat tangan dan melibatkan dua arah antara klien dan server, sementara TLS 1.3 satu kali proses meskipun melibatkan dua arah dengan dukungan untuk 0 RTT.

Tetapi bagian dari masalah dengan jabat tangan 1.2 sebenarnya tidak ada hubungannya dengan proses jabat tangan SSL itu sendiri, dan lebih berkaitan dengan salah satu metode untuk mencapainya yakni proses enkripsi yang bersifat asimetris, secara khusus bagian pertukaran kunci. Enkripsi asimetris 10.000 kali lebih lambat daripada enkripsi simetris.

Proses enkripsi berkaitan dengan proses pertukaran kunci public key dan private key. Pertukaran kunci ECC / Diffie-Hellman (ECDH), dengan perbandingan, lebih ringan, tetapi masih dapat membutuhkan sumber daya yang substansial dalam beberapa konfigurasi (ketika dipasangkan dengan ECDSA secara khusus). Semua ini adalah untuk mengatakan bahwa jabat tangan SSL secara historis mahal dan, jika tidak dikonfigurasi dengan benar, sering kali berskala buruk.

Perbandingan Perbaikan TLS 1.2 Handshake dan TLS 1.3 Handshake

Cara terbaik untuk memahami peningkatan yang dilakukan TLS 1.3 pada jabat tangan SSL adalah mulai dengan membahas perjalanan dua arah dari klien dan server. Agar terlihat lebih mudah, team SSL Indonesia merangkum penjelasan proses jabat tangan SSL dengan 10 langkah utama.

Secara optimal, jabat tangan 1.2 TLS membuat dua perjalanan bolak-balik. Ada skenario di mana perjalanan bolak-balik tambahan mungkin diperlukan, jadi ketika kita merujuk pada jumlah perjalanan bolak-balik yang kita bicarakan dalam skenario optimal. Berikut ilustrasi perjalanan proses Jabat tangan SSL pada TLS 1.2 dan TLS 1.3

Pada ilustrasi tersebut, proses jabat tangan TLS 1.3 hanya membuat satu kali perjalanan bolak balik, meskipun sedikit sangat tidak meyakinkan untuk lebih aman. Namun pada dasarnya proses handshake pada TLS 1.3 lebih cepat dan pastinya tidak kalah aman dengan TLS 1.2

Simplified Cipher Suite (Suite Cipher Sederhana)

Proses jabat tangan berkaitan dengan proses bolak balik pengiriman informasi dalam dukungan cipher suite. Seperti yang sudah dijelaskan bahwa Cipher suite merupakan kumpulan algoritma kriptografi. Pada TLS 1.2 panjang kriptografi atau cipher suites hingga 37 suite yang diterima oleh server ataupun browser.

Hal tersebut sangat tidak efisien karena, setiap kali ada penambahan atau kombinasi baru maka IANA (Internet Assigned Number Authority) harus mengelola 37 suites sandi baru atau yang berbeda.  

Hal tersebut sangat buruk dikarenakan jumlah variabilitas yang sangat banyak yang dapat mengundang kesalahan konfigurasi, sehingga pengguna internet rentan mengetahui eksploitasi. Selain itu, hal tersebut juga menjadikan segala proses konfigurasi sertifikat SSL lebih membingungkan. Karena hal tersebut, IETF melakukan upgrade pada TLS 1.3 dengan mengurangi jumlah cipher yang didukung dari 37 menjadi 5 cipher suites. Hal tersebut juga akan berpengaruh pada aktivitas negosiasi cipher suites sehingga tahap dalam enkripsi dan dekripsi sertifikat SSL menjadi lebih mudah dan cepat. Aktivitas negosiasi cipher suites:

  1. Jenis sertifikat yang didukung
  2. Fungsi Hash yang didukung (SHA1, SHA2)
  3. Fungsi kode otentikasi pesan (MAC)
  4. Tanda tangan digital
  5. Algoritma pertukaran kunci (private key dan public key)
  6. Cipher enkripsi simetris
  7. Mode sandi

Terdapat  algoritme yang berbeda dalam cipher suite TLS 1.2, ini merupakan proses negosiasi yang terjadi pada TLS 1.2:

  1. Key Exchange (Pertukaran Kunci)
  2. Authentication (Otentikasi)
  3. Bulk Cipher
  4. Hashing Algorithm

Sedangkan pada TLS 1.3 hanya melalui 2 proses negosiasi saja:

  1. Bulk Cipher
  2. HKDF (KMAC Based Extract and Expand Key Derivation Function Hash

Pada proses tersebut dapat kita lihat bahwa IETF memberikan dukungan pada semua algoritma yang paling aman, paling efisien dan menghapus proses pertukaran kunci yang panjang. Skema Ephemeral Diffie-Hellman sekarang menjadi satu-satunya cara efisien untuk mengirimkan informasi, berbagi kunci saat memulai proses handshake. Enkripsi RSA sepenuhnya telah dihapus bersama dengan semua skema pertukaran kunci statis lainnya.

Perbedaan Handshake TLS 1.2 dan TLS 1.3

Hal penting yang haru kita ketahui bahwa TLS 1.3 merupakan hasil perbaikan dari TLS 1.2 untuk meningkatkan kinerja dengan mengjapus skema pembuatan kunci statis. Serta skema kerentanan yang diketahui dapat mengurangi jumlah opsi pertukaran dengan berbasis Ephemeral Diffie-Hellman. Jabat tangan TLS 1.3 meningkatkan otentikasi pesan dan tanda tangan digital. Dengan kata lain bahwa tanda tangan digital padaTLS 1.3 merupakan tanda tangan modern yang menangani otentikasi pesan dan server secara bersamaan.

Selain menghapus tahap exchange algorithm, TLS 1.3 juga menghilangkan enkripsi simetris lama atau cipher enkripsi massal (Bulk encryption Cipher). Berbicara tentang enkripsi simetris, ada dua jenis cipher yang termasuk didalamnya yakni Block cipher dan Stream cipher. Block cipher mengenkripsi data dalam blok berukuran tetap, namun jika pesan Anda tidak sesuai dengan panjang kunci maka Anda harus melakukan pemecahan pesan yang terlalu panjang dan menambah pesan yang terlalu pendek lalu dipasang kembali.

Ada banyak eksploitasi yang menargetkan padding yang digunakan oleh Block cipher. Jika berhasil menebak padding, akan lebih mudah untuk mendekripsi pesan atau menebak kuncinya. Jenis cipher yang lain adalah stream cipher, yang mengenkripsi aliran data dalam urutan pseudo-acak dengan panjang acak, yang disebut stream kunci. Stream cipher merupakan pilihan yang populer karena mudah diimplementasikan dan cepat.

Sebenarnya, cara terbaik untuk mengatasi masalah yang dihadapi pada block cipher adalah mengatur block cipher untuk bertindak seperti stream cipher. Ini disebut mode penghitung, dengan contoh paling populer adalah cipher block chaining (CBC). Hal tersebut yang membuat TLS 1.3 lebih unggul dibandingkan dengan TLS 1.2 karena TLS 1.3 telah menghapus block cipher. Selain itu TLS 1.3 juga menggabungkan enkripsi dan otentikasi pesan menjadi satu fungsi.

Code Signing Request (CSR)
Info

Code Signing Request (CSR)

Bagi Anda pengguna website dan ingin melakukan pemasangan sertifikat SSL pada website pastinya pernah mendengar CSR. Sebelum melakukan penerbitan sertifikat SSL kita diminta dan wajib untuk mengirimkan CSR.

Apa itu Code Signing Request (CSR) ?

Code signing request (CSR) atau penandatanganan sertifikat adalah blok teks yang disandikan dan berisi informasi perusahaan / organisasi seperti nama organisasi, nama umum (nama domain), lokalitas, dan negara. Kode CSR ini dapat digunakan saat melakukan pengajuan penerbitan sertifikat SSL. Kode akan diberikan pada otoritas sertifikat dan akan ditinjau. CSR didapatkan dari server tempat sertifikat SSL akan diinstall. Selain berisi informasi perusahaan kode CSR juga berisi kunci publik i yang akan dimasukkan pada sertifikat. Kunci public ini akan berfungsi mengenkripsi pesan, dan membutuhkan kunci pribadi (private key) untuk mendekripsi pesan (private key didapatkan dari server yang sama dengan CSR).

Apa isi Code Signing Request (CSR)?

Beberapa aturan yang harus diikuti saat melakukan pengisian CSR secara umum :

1.Nama domain yang sepenuhnya memenuhi syarat yang perlu diamankan dengan sertifikat SSL (misalnya, .sslindonesia.com,  .domainanda.com). Namun perlu diingat bahwa jika Anda ingin membuat kode CSR untuk sertifikat wildcard gunakan tanda bintang di depan domain (Misalnya, *.domainanda.com)

2. Organisasi : Nama perusahaan yang terdaftar secara hokum

3. Unit Organisasi : Divisi atau departemen organisasi yang berlaku untuk sertifikat SSL

4. Lokasi : Kota tempat perusahaan Anda berada

5. Negara : Negara bagaian atau wilayah tempat perusahaan Anda berada

6. Alamat email : Alamat email pelamar organisasi

7. Panjang bit CSR / Ukuran kunci : Ukuran standard kunci public dan pribadi adalah 2048 bit. Sedangkan kode CSR 4096 bit dihasilkan pada server linux.

Bagaimana bentuk Code Signing Request (CSR)?

Sebagian besar CSR dibuat dalam format PEM encode base 64. Format ini termasuk baris “—–BEGIN CERTIFICATE REQUEST—–” dan “—–END CERTIFICATE REQUEST—–“. Format PEM CSR dapat dibuka dalam editor teks dan terlihat seperti contoh berikut :

—–BEGIN CERTIFICATE REQUEST—–
MIIC+jCCAeICAQAwgbQxCzAJBgNVBAYTAklEMRIwEAYDVQQIDAlHb3JvbnRhbG8x EjAQBgNVBAcMCUdvcm9udGFsbzEmMCQGA1UECgwdUGVtZXJpbnRhaCBQcm92aW5z
aSBHb3JvbnRhbG8xNTAzBgNVBAsMLERpbmFzIEtvbXVuaWthc2ksIEluZm9ybWF0
aWthLCBkYW4gU3RhdGlzdGlrMR4wHAYDVQQDDBUqLmdvcm9udGFsb3Byb3YuZ28u aWQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQClJ194u0k0bg7kThd9 NP76xoiB++4MLPCfD43XstrqlyXOfwp3sS/14N+ke7sbsBdYeZCeiuF+8kdJcyPP /Vbwh9oVu4AmIcEhpgkhOp/ixd0/nc5qrUIlV0d3x79MUJT5zEmIpVY0IERk1qmP GZMun2FiGXxCf3mB+3CbL/zmcAxLeCMk7JVbWtCdpkP0f6hUpjobHe4e7Ft5HAgk /0bDWqLhW1m9C5doPclFTm35ttkljNDeypnz/YpXuSYAEhoUUWfxeddZdUEW5K3H K1E3FsA2YlComVEBXqJKtaZxRmDQRtcfnPubyOjThIKUbWh7CB0137MkhPbu5YNv yd4hAgMBAAGgADANBgkqhkiG9w0BAQsFAAOCAQEAbi+F+oRcK0nXOna1ftnQncBa gd5P9SF738tDXctVS2s1zTzjpCcNDwAdEXYmiTm0QyL68gjuCIE4RTFmoKKc8PmC LNhPwDGUeNMTAZl2KHAJR3WNHQOmND5qetu6jUGkqlHSfoBINXy3quNJta2gbHJW eRZP+VxDGkpPnXapfvUB/9v8zOVGKSdkbTaLyEAvnpWomZbr4IFlO/7qtdA43BMy ehkHJ6q+6ysW3GFfTA16hnRJwupPStcJ5zAbRwi6r9MbqiohKxN8BK7YklpWnhdB 61bXLpyVSSiVVHtCR3dQ+XOEzbvtAwE2vIxntzB73n+NPpLo5fjvanXBpzVZrw==

—–END CERTIFICATE REQUEST—–

Bagaimana Cara Generate CSR?

Melakukan generate CSR sebelum menerbitkan sertifikat SSL tergantung pada server yang digunakan.

Dalam kebanyakan kasus, Permintaan generate CSR dihasilkan oleh perusahaan web hosting di server tempat sertifikat akan dipasang. Jika Anda memiliki server sendiri atau perangkat lunak independen, Anda dapat instruksi Generate sesuai server yang Anda gunakan.

1. Generate CSR pada CPanel

2. Generate CSR pada Apache

Sertifikat SSL
Info , Teknologi , Tips & Trik

Single Domain, Wildcard dan Multi Domain

[vc_row][vc_column][vc_column_text]

Perbedaan Sertifikat SSL Single Domain, Wildcard dan Multi Domain

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Memilih Sertifikat SSL yang tepat untuk bisnis Anda pastinya mempertimbangkan  keseimbangan antara biaya, kebutuhan dan kenyamanan. Apakah anda telah memilih tipe sertifikat yang tepat berdasarkan kebutuhan dan biaya untuk website anda? Sebelum menentukan sertifikat SSL yang ingin anda beli, Berikut sedikit gambaran tentang SSL.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]1. Sertifikat SSL Single domain

Sertifikat tipe single domain hanya digunakan untuk mengamankan satu domain utama saja.

Contoh: Anda memasang sertifikat SSL pada domain utama sslindonesia.com, maka website dengan domain sslindonesia.com akan terjamin keamanan transfer datanya.

2. Sertifikat SSL Wildcard

Sertifikat tipe wildcard sangat cocok bagi anda yang memiliki satu domain utama namun banyak sub domain. Sertifikat tipe wildcard digunakan untuk mengamankan satu domain utama dengan banyak sub domain. Sertifikat ini mempermudah anda dalam pengelolaan sertifikat serta menurunkan biaya administrasi anda.

Contoh: Anda ingin memasang sertifikat SSL pada domain utama sslindonesia.com, namun ingin mengamankan sub domain dari domain utama misal Blog.sslindonesia.com, shop.sslindonesia.com dan lainnya (*.domainutama.com). Anda hanya cukup membeli satu sertifikat wildcard untuk mengamankan seluruh sub domain anda, jadi tidak perlu membeli sertifikat tipe single untuk sub domain lainnya.

3. Sertifikat SSL Multi Domain

Sertifikat multi domain digunakan untuk melindungi banyak domain utama. Sertifikat tipe ini berbeda dengan wildcard, jika wildcard digunakan untuk banyak sub domain pada satu domain utama, sertifikat multi domain digunakan untuk melindungi banyak domain utama dengan satu sertifikat. Jika Anda ingin melindungi banyak domain utama bersama multi sub domain utama, Anda dapat membeli type sertifikat Multi domain wildcard.[/vc_column_text][/vc_column][/vc_row]

Jenis SSL
Info , Teknologi , Tips & Trik , Uncategorized

Jenis SSL mana yang saya butuhkan?

[vc_row][vc_column][vc_column_text]Banyak yang bertanya tentang apa perbedaan Jenis Sertifikat SSL DV, OV dan EV. Perbedaan mendasar yang sangat terlihat pada beberapa browser antara sertifikat EV dan non EV adalah greenbar pada website. Namun untuk meninjau secara mendetail perbedaan EV dan non EV perlu melakukan tinjauan struktur SSL tersebut.

1. Domain Validation (DV).

SSL Domain validation merupakan sertifikat SSL dasar yang hanya digunakan untuk melindungi domain anda. Jenis SSL ini merupakan jenis dengan otentikasi paling rendah dibandingkan dengan jenis lainnya. Bagi anda yang ingin mencoba menggunakan sertifikat SSL, SSL DV bisa anda coba. Selain harga yang murah, proses validasi juga sangat mudah. Hanya membutuhkan validasi email dan harus email yang sama dengan data domain pada WHOIS.

Kapan menggunakan Sertifikat DV?

Sertifikat DV dapat digunakan saat situasi di mana kepercayaan dan kredibilitas kurang penting, seperti pada situs web pribadi dan forum kecil yang memerlukan enkripsi dasar. Hanya untuk enkripsi login, formulir ataupun data non-transaksional lainnya.

Kelebihan Sertifikat DV:

– Mudah didapat, karena hanya membutuhkan domain dan CSR.

– Penerbitan cepat, penerbitan dilakukan hanya dengan validasi data melalui email domain.

Hal-hal yang perlu diingat:

– Gunakan hanya untuk aplikasi berbasis web yang tidak berisiko phishing atau penipuan.

– Hindari penggunaan untuk situs web yang menangani data sensitif.

– Direkomendasikan untuk website pribadi (blog).[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

2. Organization Validation (OV)

SSL Organization Validation (OV) sertifikat SSL ini merupakan tingkat otentikasi yang lebih aman dibandingkan dengan DV. Untuk menerbitkan sertifikat ini memerlukan beberapa data perusahaan dan syarat yang harus dipenuhi. Selain memeriksa kepemilikan nama domain, Otoritas Sertifikat juga akan melakukan pemeriksaan tambahan terhadap organisasi dan individu yang mengajukan sertifikat. Ini mungkin termasuk memeriksa alamat tempat perusahaan terdaftar dan nama kontak tertentu.

Kapan Menggunakan Sertifikat OV?

Situs web yang berhubungan dengan publik berurusan dengan data transaksional yang kurang sensitif.

Kelebihan Sertifikat OV:

– Proses pemeriksaan lebih menyeluruh daripada DV.

– Informasi perusahaan ditampilkan kepada pengguna.

– Memberikan tingkat kepercayaan tertentu tentang perusahaan yang memiliki situs web.

Hal-hal yang perlu diingat:

  • Sertifikat OV tidak menawarkan tampilan green bar address.
  • Memerlukan data perusahaan untuk melakukan validasi.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

3. Extended Validation (EV)

Sertifikat SSL Extended Validation (EV) merupakan jenis sertifikat dengan tingkat otentikasi yang paling tinggi.

Kapan Menggunakan Sertifikat EV:

SSL sertifikat EV dapat digunakan di semua aplikasi yang membutuhkan jaminan identitas yang lebih kuat dan kepercayaan tambahan pada costumer. Situs web profil tinggi yang sering ditargetkan untuk serangan phishing, seperti Bank/ Lembaga Keuangan, Lembaga Pemerintahan dan website yang mengumpulkan data, melakukan proses pembayaran online.

Kelebihan Sertifikat EV:

– Sertifikat EV menampilkan green bar dengan namaWebsite Anda.

– Meningkatkan kepercayaan pengguna dan menurunkan rasio pengabaian keranjang belanja.

Hal-hal yang perlu diingat:

  • Menawarkan tampilan green bar dengan nama website.
  • Perusahaan sudah berjalan minimal 2 tahun.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Jenis SSL yang mana yang paling aman?

Tingkat keamanan SSL terletak pada kekuatan enkripsi yang didukungnya (misalnya 256 bit). Semakin besar tingkat enkripsi semakin susah untuk dibobol. Secara teknis, semua SSL dengan tingkat enkripsi yang sama, mempunyai tingkat keamanan yang sama. Bagi anda yang membutuhkan SSL sertifikat untuk meningkatkan kredibilitas website anda sangat direkomendasikan menggunakan EV.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

Dimana bisa membeli sertifikat SSL EV?

SSL Indonesia menyediakan beragam jenis SSL EV dari brand GeoTrust, Comodo, Thawte dan Symantec. Cukup mudah, anda hanya melakukan order via website SSL Indonesia dan pihak kami akan siap membantu selama proses verifikasi.

Selain jenis SSL anda juga harus mengerti Tipe Sertifikat SSL untuk mengetahui lebih detail Sertifikat apa yang anda butuhkan. Pastikan anda memilih sertifikat yang tepat untuk melindungi website anda.

[/vc_column_text][/vc_column][/vc_row]

Silahkan tambahkan email Anda untuk berlanganan informasi seputar SSL INDONESIA :

SSL Indonesia sebagai Digital Asset Protector memberikan solusi layanan pengalaman online yang lebih aman.
Menyediakan produk sertifikat SSL Premium, Email signing seperti S/MIME dan Verified Mark Certificate (VMC), serta SOC 24×7.
SSL Indonesia merupakan Global Platinum Partners dari Otoritas Sertifikasi (CA) terkemuka di dunia termasuk Digicert, Symantec, GeoTrust, Thawte, RapidSSL, Globalsign dan Sectigo Formely Comodo CA.

Bantuan

Blog

Tentang Kami

Karir

SSL Indonesia

Jl. Kebon Jeruk Raya Kebon Jeruk Permai Office Blok C No. 17, Jakarta 11530 Indonesia.

  • (+62) 21 53660862 ext 207
  • sales@sslindonesia.id

SSLIndonesia.id Copyright© 2019. All Rights Reserved.