Panduan Pembeli Sertifikat SSL / TLS

Artikel ditulis oleh:
  • Bisnis Online
  • Diperbarui: Mei 10, 2019

Tidak ada yang suka diberitahu bahwa mereka HARUS melakukan sesuatu. Sudah menjadi sifat manusia untuk melawan hal itu, tetapi terkadang yang terbaik yang dapat Anda lakukan adalah menggigit bibir dan melakukannya. Demikian halnya dengan mandat HTTPS yang diturunkan oleh Google dan pembuat browser musim panas lalu.

Saat ini, situs web apa pun yang masih dilayani melalui HTTP diberi label "Tidak Aman," sebuah julukan yang mengancam lalu lintas dan konversi. Itu berarti bahwa setiap situs web sekarang membutuhkan sertifikat SSL / TLS, yang memfasilitasi migrasi ke HTTPS dan membantu untuk mengamankan komunikasi antara situs web Anda dan pengunjungnya.

Mulai bulan Juli 2018, Chrome menandai semua situs HTTP sebagai "tidak aman" (mempelajari lebih lanjut).

Panduan ini akan membahas hal-hal yang perlu Anda pertimbangkan saat membeli sertifikat SSL / TLS. Kami akan mulai dengan ikhtisar singkat teknologi sebelum mempelajari secara spesifik yang perlu Anda uraikan saat memutuskan sertifikat yang tepat untuk Anda dan situs web Anda.

SSL / TLS 101: Suatu Tinjauan

Untuk berkomunikasi dengan aman di internet, server yang meng-host situs web dan klien yang mencoba terhubung dengannya harus menggunakan enkripsi. Enkripsi adalah proses matematika itu membuat data tidak dapat dibaca oleh siapa pun selain pihak yang berwenang. Ini dilakukan menggunakan kunci enkripsi, dan agar klien dan server dapat terhubung dengan aman keduanya perlu memiliki salinan kunci yang sama.

Itu menimbulkan masalah, bagaimana Anda secara aman bertukar kunci-kunci itu? Jika seorang penyerang dapat kompromi kunci enkripsi itu membuat enkripsi itu tidak berguna karena penyerang masih bisa melihat semua data yang dipertukarkan seolah-olah itu dalam plaintext.

SSL / TLS adalah solusi untuk masalah pertukaran kunci.

SSL / TLS menyelesaikan dua hal:

  1. Ini mengotentikasi server sehingga klien tahu entitas apa yang mereka hubungkan
  2. Ini memfasilitasi pertukaran kunci sesi yang dapat digunakan untuk berkomunikasi dengan aman

Itu mungkin tampak sedikit abstrak jadi mari kita bergerak.

Kapan saja klien mencoba untuk terhubung dengan situs web melalui HTTPS - yang merupakan versi aman dari Hypertext Transfer Protocol (HTTP) yang internet telah digunakan selama beberapa dekade - serangkaian interaksi terjadi di belakang layar antara klien tersebut dan server yang menampung situs tersebut.

Ada dua jenis kunci enkripsi yang terlibat dalam enkripsi SSL / TLS. Ada tombol sesi simetris yang baru saja kami sebutkan. Keduanya dapat mengenkripsi dan mendekripsi dan digunakan untuk berkomunikasi selama koneksi itu sendiri. Kunci lainnya adalah pasangan kunci publik / pribadi. Bentuk enkripsi ini disebut kriptografi kunci publik. Kunci publik dapat mengenkripsi, kunci pribadi didekripsi.

Pada awalnya, klien dan server akan memilih paket sandi yang saling didukung. Suite sandi adalah serangkaian algoritma yang mengatur enkripsi yang akan digunakan selama koneksi.

Setelah paket sandi disetujui, server mengirimkan sertifikat SSL dan kunci publiknya. Melalui serangkaian pemeriksaan, klien mengautentikasi server, memverifikasi identitasnya dan bahwa itu adalah pemilik yang sah dari kunci Publik terkait.

Setelah verifikasi ini, klien membuat kunci sesi (atau rahasia yang dapat digunakan untuk memperolehnya) dan menggunakan kunci publik server untuk mengenkripsi sebelum mengirimnya ke server. Menggunakan kunci Privatnya, server mendekripsi kunci sesi dan koneksi terenkripsi dimulai (ini adalah bentuk pertukaran kunci yang paling umum, seperti yang dilakukan dengan RSA - Pertukaran kunci Diffie-Hellman sedikit berbeda).

Jika itu masih tampak sedikit rumit, mari kita lebih menyederhanakannya.

  • Untuk berkomunikasi dengan aman, kedua belah pihak perlu berbagi kunci sesi simetris
  • SSL / TLS memfasilitasi pertukaran kunci sesi tersebut dengan kriptografi kunci publik
  • Setelah memverifikasi identitas server, kunci sesi atau rahasia dienkripsi dengan kunci publik
  • Server menggunakan kunci privatnya untuk mendekripsi kunci sesi dan memulai komunikasi terenkripsi

Sekarang mari kita masuk ke apa yang Anda, sebagai pemilik situs web, perlu pertimbangkan ketika membeli atau memperoleh sertifikat SSL / TLS.

Apa yang harus dipertimbangkan saat membeli sertifikat SSL / TLS?

Saat Anda membeli sertifikat SSL / TLS, Anda membuat keputusan tentang dua pertanyaan utama:

  1. Permukaan apa yang Anda butuhkan untuk menutupi?
  2. Seberapa banyak identitas yang ingin Anda tegaskan?

Ketika Anda dapat menjawab pertanyaan-pertanyaan ini, memilih sertifikat menjadi masalah merek dan biaya, Anda sudah tahu jenis produk yang Anda butuhkan.

Sekarang, sebelum kita melangkah lebih jauh mari kita membangun satu fakta yang sangat penting: terlepas dari bagaimana Anda menjawab dua pertanyaan itu, semua sertifikat SSL / TLS menawarkan kekuatan enkripsi yang sama.

Kekuatan enkripsi ditentukan oleh kombinasi cipher suites yang didukung dan kekuatan komputasi klien dan server di kedua ujung koneksi. Sertifikat SSL / TLS yang paling mahal di pasaran dan yang benar-benar gratis akan memfasilitasi tingkat enkripsi standar industri yang sama.

Yang berbeda dengan sertifikat adalah tingkat identitas dan fungsinya.

Mari kita mulai dengan permukaan apa yang perlu Anda tutupi.

1- Fungsi Sertifikat SSL / TLS

Situs web modern telah berkembang jauh melampaui apa yang ada di awal-awal internet ketika Anda masih menempatkan penghitung di bagian bawah halaman untuk melacak lalu lintas. Saat ini organisasi memiliki infrastruktur web yang rumit, baik secara internal maupun eksternal. Kita berbicara tentang banyak domain, sub-domain, server mail, dll.

Untungnya, sertifikat SSL / TLS telah berkembang bersama situs web modern untuk membantu mengamankannya. Ada jenis sertifikat untuk setiap kasus penggunaan, tetapi Anda wajib mengetahui seperti apa kasus penggunaan spesifik Anda.

Mari kita lihat empat jenis sertifikat SSL / TLS yang berbeda dan fungsinya:

  • Domain Tunggal - Sesuai namanya, sertifikat SSL / TLS ini untuk domain tunggal (baik versi WWW dan non-WWW).
  • Multi-Domain - Jenis sertifikat SSL / TLS ini untuk organisasi dengan banyak situs web, mereka dapat mengamankan hingga 250 berbagai domain secara bersamaan.
  • Wildcard - Keamanan untuk satu domain, ditambah semua sub-domain tingkat pertama yang menyertainya - sebanyak yang Anda miliki (tidak terbatas).
  • Wildcard Multi-Domain - Sertifikat SSL / TLS dengan fungsionalitas penuh, dapat mengenkripsi hingga 250 berbagai domain dan semua sub-domain yang menyertainya secara bersamaan.

Sepatah kata cepat tentang sertifikat Wildcard. Wildcard sangat fleksibel, mereka dapat mengenkripsi sub-domain dalam jumlah yang tidak terbatas, dan bahkan mampu mengamankan sub-domain baru yang ditambahkan setelah penerbitan. Saat membuat Wildcard, tanda bintang (kadang-kadang disebut sebagai karakter wildcard) digunakan di tingkat sub-domain yang ingin Anda enkripsi. Ini menunjukkan bahwa setiap sub-domain pada tingkat URL dari domain yang diverifikasi secara sah dikaitkan dengan pasangan kunci publik / pribadi sertifikat.

2- Tingkat Validasi Sertifikat SSL / TLS

Setelah Anda mengetahui permukaan apa yang perlu Anda liput, saatnya menentukan berapa banyak identitas yang ingin Anda tunjukkan. Ada tiga tingkat validasi, ini merujuk pada jumlah pemeriksaan Otoritas Sertifikat yang menerbitkan sertifikat SSL / TLS Anda dan Anda melalui situs web.

Tiga tingkat validasi: Validasi Domain, Validasi Organisasi, dan Validasi Diperpanjang.

Tingkat validasi paling dasar disebut Validasi Domain. Hanya perlu beberapa menit untuk menyelesaikan validasi ini dan mengeluarkan sertifikat, tetapi memberikan informasi identitas paling sedikit - mengautentikasi hanya server. Sertifikat DV SSL / TLS adalah yang paling umum digunakan, tetapi karena kurangnya identitas, situs web yang menggunakannya menerima perlakuan browser netral.

Validasi Organisasi memberikan lebih banyak informasi organisasi, yang memberi pengunjung situs Anda ide yang lebih baik tentang siapa yang mereka hadapi, asalkan mereka tahu ke mana harus mencari. Sertifikat OV SSL / TLS memerlukan pemeriksaan tingkat sedang, namun mereka tidak menegaskan identitas yang cukup untuk menghindari perlakuan browser yang netral. Sertifikat SSL OV juga dapat mengamankan alamat IP khusus. Mereka umumnya digunakan di lingkungan Perusahaan dan di jaringan internal.

Identitas paling banyak yang dapat ditegaskan oleh sertifikat SSL / TLS berasal dari Extended Validation tingkat. Sertifikat EV SSL / TLS memerlukan pemeriksaan mendalam oleh CA, tetapi mereka menyatakan cukup mengidentifikasi informasi bahwa browser web akan memberikan situs web yang menggunakan perawatan unik - menampilkan nama Organisasi mereka yang terverifikasi di bilah alamat browser.

Satu hal cepat untuk dipertimbangkan sehubungan dengan tingkat validasi dan fungsionalitas adalah bahwa sertifikat EV SSL / TLS tidak pernah dijual dengan fungsi Wildcard. Ini disebabkan oleh sifat terbuka dari sertifikat Wildcard, yang kami bahas di bagian terakhir.

Memilih Otoritas dan Harga Sertifikat

Sekarang Anda tahu APA yang Anda butuhkan, mari kita bicara tentang dari mana mendapatkannya. Tidak sembarang orang dapat mengeluarkan sertifikat SSL / TLS yang valid, dan yang kami maksud adalah tepercaya. Anda harus melalui otoritas sertifikat tepercaya atau CA. CA terikat oleh persyaratan industri yang ketat dan tunduk pada audit dan pengawasan berkala. Alasan untuk ini berasal dari cara Infrastruktur Kunci Publik bekerja. PKI adalah model kepercayaan yang mendasari SSL / TLS, itu sebabnya browser pengguna dapat memverifikasi keaslian, dan mempercayai sertifikat SSL / TLS yang diberikan.

Sementara mempelajari PKI dan akarnya berada di luar ruang lingkup untuk artikel ini, penting untuk mengetahui bahwa hanya CA tepercaya yang dapat menerbitkan sertifikat tepercaya. Inilah sebabnya mengapa Anda tidak bisa mengeluarkan sendiri dan menandatanganinya sendiri. Peramban tidak akan bisa mempercayainya tanpa menyesuaikan pengaturannya secara manual.

Tetapi CA apa yang harus Anda pilih?

Itu tergantung pada apa yang Anda cari.

Untuk banyak situs web sederhana yang tidak perlu menegaskan banyak identitas, sertifikat DV SSL / TLS gratis dari Mari Enkripsi (atau CA gratis lainnya) adalah pilihan yang baik. Tidak ada biaya apa pun dan itu cukup untuk apa yang Anda butuhkan.

Apa pun yang terjadi di utara itu, atau jika Anda tidak terlalu ahli secara teknis, Anda harus pergi dengan Otoritas Sertifikat komersial seperti DigiCert, Sectigo, Entrust Datacard, dll.

Tapi ada satu hal: Anda tidak mendapatkan harga terbaik membeli langsung dari CA.

Anda mendapatkan kombinasi terbaik dari penetapan harga dan pemilihan dengan membeli melalui Layanan SSL yang menawarkan sertifikat SSL / TLS dari beberapa CA. Alasannya sederhana, layanan SSL ini membeli sertifikat dari CA dalam jumlah besar dengan harga jauh lebih rendah daripada pelanggan ritel dapatkan. Itu memungkinkan mereka menjual sertifikat dengan potongan harga yang sangat besar, memberikan penghematan kepada konsumen.

Dalam beberapa kasus, Anda dapat menghemat 85% dari harga eceran yang disarankan pabrikan dengan melalui layanan SSL alih-alih membeli langsung.

Ingat, layanan SSL khusus SPESIFIKASI dalam SSL / TLS, mereka akan menawarkan dukungan pelanggan yang lebih baik, mereka dapat membantu Anda menginstalnya dan mereka tahu bagaimana mengoptimalkan implementasi Anda untuk memberikan keamanan terbaik yang mungkin bagi situs web Anda.

Bandingkan dengan CA gratis (dan bahkan yang komersial) di mana Anda harus bekerja melalui sistem tiket atau menyaring posting forum lama untuk dukungan crowdsourced dan nilainya jelas.

Memang, untuk beberapa pemilik situs web yang mengerti teknologi, masalah dukungan tidak menjadi masalah. Dan tentu saja tidak ada yang salah dengan pergi rute gratis jika Anda tahu bagaimana mendukung semuanya sendiri.

Tetapi untuk pemilik situs lain, Anda membayar lebih sedikit untuk sertifikat itu sendiri dan lebih banyak untuk peralatan pendukung yang dibangun di sekitarnya. Anda juga tidak memiliki akses ke tingkat validasi yang lebih tinggi (OV / EV) atau fungsionalitas tingkat lanjut (Multi-Domain, Wildcard) dengan SSL / TLS gratis. Anda harus mendapatkannya dari CA komersial atau layanan SSL.

Jadi, dibayar atau gratis? Itu tergantung pada seberapa mahir teknis Anda atau organisasi Anda, di samping apakah Anda ingin fungsionalitas dan validasi di luar DV domain tunggal.

FAQ Panduan Pembeli SSL / TLS

Q1. Apakah Diperpanjang Validasi sepadan?

Untuk banyak situs web, sertifikat EV SSL / TLS lebih merupakan investasi daripada biaya. Tidak ada cara lain untuk menegaskan identitas maksimum dan mendapatkan perlakuan browser preferensial situs web Anda. Ketika pengunjung tiba di situs web dan melihat nama organisasi ditampilkan di bilah alamat, itu memiliki efek psikologis yang mendalam. Sementara efek itu sulit untuk diukur di atas kertas, survei secara konsisten menemukan bahwa orang merasa lebih baik tentang mengunjungi situs dengan EV daripada mengunjungi situs tanpa itu.

Di internet, setiap bit penting, jadi jika Anda sebuah organisasi yang ingin menegaskan identitas di web, EV SSL / TLS sertifikat adalah metode terbaik yang tersedia untuk melakukannya.

Q2. Anda terus menulis SSL / TLS, apa artinya itu?

SSL adalah singkatan dari Secure Sockets Layer, dan itu adalah versi asli dari protokol enkripsi yang kami gunakan untuk mengamankan koneksi kami hingga hari ini. Kami mendapat semua jalan ke SSL 3.0 sebelum kerentanan memaksa industri kembali ke papan gambar, di mana Transport Layer Security (TLS) dirancang untuk menjadi penerus SSL.

Hari ini kita menggunakan TLS 1.3, SSL 3.0 telah hampir seluruhnya ditinggalkan dan oleh 2020 TLS 1.0 dan 1.1 akan ditinggalkan juga. Sementara internet saat ini bergantung hampir secara eksklusif pada protokol TLS, itu masih dikenal sebagai SSL.

Q3. Apa itu versi protokol SSL / TLS?

Ini berkaitan dengan pertanyaan terakhir kami, SSL dan TLS adalah dua protokol yang memfasilitasi koneksi HTTPS, dan seperti halnya teknologi lainnya, protokol-protokol tersebut perlu diperbarui secara berkala ketika kerentanan dan serangan baru ditemukan. Saat Anda melihat SSL 3.0 atau TLS 1.2, itu merujuk ke versi tertentu dari protokol SSL / TLS.

Saat ini, praktik terbaik adalah mendukung TLS 1.2 dan TLS 1.3, karena semua versi sebelumnya telah ditemukan rentan terhadap suatu eksploitasi atau yang lain.

Q4. Apa yang harus saya ketahui tentang Cipher Suites?

Suite sandi adalah kumpulan algoritma yang akan digunakan selama proses enkripsi SSL / TLS. Mereka biasanya mencakup semacam algoritma kunci publik, algoritma otentikasi pesan, dan algoritma enkripsi simetris (blok / aliran).

Sebelum Anda dapat menentukan apa saja yang didukung oleh Cipher suites, Anda perlu mengetahui kemampuan server Anda, yang berarti memperbarui pustaka OpenSSL (atau perangkat lunak SSL alternatif) Anda ke iterasi yang paling modern. Sepatah kata nasihat, menggunakan Elliptic Curve Cryptography lebih disukai daripada RSA.

Q5. Apakah jaminan itu penting?

Sangat menyenangkan memiliki garansi besar dengan produk apa pun, dan industri SSL / TLS menyediakan beberapa jaminan paling dermawan di luar sana. Mereka membayar jika CA yang mengeluarkan sertifikat Anda pernah menemui masalah yang merugikan uang organisasi Anda. Memang, ini tidak terlalu umum, yang merupakan semacam dukungan untuk sertifikat SSL / TLS secara umum, tetapi juga sesuatu yang kami lalai untuk tidak tunjukkan.


Patrick Nohe
Tentang penulis: Patrick Nohe

Patrick Nohe memulai karirnya sebagai reporter dan kolumnis untuk Miami Herald. Ia juga menjabat sebagai Manajer Konten untuk SSL Store ™.

Artikel oleh WHSR Guest

Artikel ini ditulis oleh seorang kontributor tamu. Pandangan penulis di bawah sepenuhnya miliknya sendiri dan mungkin tidak mencerminkan pandangan WHSR.