Seperti yang kita tahu, sertifikat SSL sangat penting untuk keamanan website.
Namun, apa jadinya jika sertifikat yang seharusnya melindungi website justru dicabut?
Sertifikat SSL yang dicabut ini disebut SSL Certificate Revoked.
Kira-kira apa, ya, penyebab SSL Certificate Revoked dan bagaimana cara mencegahnya?
Apa Tujuan SSL Certificate Revoked?
SSL Certificate Revoked bertujuan untuk membatalkan validitas sertifikat sebelum tanggal kedaluwarsanya.
Alasannya beragam, tetapi umumnya berkaitan dengan masalah keamanan atau perubahan administratif, seperti:
| Alasan Pencabutan | Deskripsi |
| Key Compromise | Terjadi ketika private key yang terkait dengan sertifikat dicuri atau diakses oleh pihak tidak berwenang. |
| Kesalahan penerbitan | Jika sertifikat diterbitkan dengan informasi yang salah atau dengan cara tidak benar, sertifikat tersebut harus dicabut. |
| Perubahan kepemilikan domain | Hal ini dilakukan untuk mencegah potensi penyalahgunaan oleh pemilik domain yang baru. |
| Serangan Siber (Cyberattacks) | Jika terjadi serangan malware atau serangan siber lainnya, harus melakukan pencabutan sertifikat SSL. Jika tidak, sertifikat yang dikompromikan bisa digunakan untuk menyebarkan malware lebih lanjut. |
| Perubahan CA | Jika tidak lagi berafiliasi dengan Certificate Authority (CA) yang menerbitkan sertifikat, Anda perlu mencabutnya. |
Apa Itu Daftar Pencabutan Sertifikat / Certificate Revocation List (CRL)?
Daftar Pencabutan Sertifikat atau Certificate Revocation List (CRL) adalah sebuah daftar berisi sertifikat-sertifikat SSL/TLS yang telah dicabut oleh CA penerbitnya sebelum tanggal kedaluwarsa.
Jika private key dicuri dan SSL tidak segera dicabut dan dimasukkan ke Certificate Revocation List (CRL), peretas bisa menggunakannya untuk menyamar sebagai server dan meluncurkan serangan man-in-the-middle.
Browser secara berkala mengunduh CRL ini untuk memeriksa apakah sertifikat yang digunakan oleh website masih valid.
Jika sertifikat ada dalam daftar, browser akan menampilkan peringatan keamanan kepada pengguna.
Cara Kerja CRL
1. Pencabutan Sertifikat
Ketika sebuah SSL perlu dicabut, CA akan menambahkan sertifikat tersebut ke dalam CRL-nya.
2. Penerbitan CRL
CA secara berkala menerbitkan CRL baru.
Frekuensi penerbitan ini bervariasi, bisa harian, mingguan, atau interval waktu lainnya, tergantung pada kebijakan CA dan jenis CRL.
Setiap CRL memiliki masa berlaku yang menunjukkan kapan CRL tersebut dianggap usang.
3. Distribusi CRL
Selanjutnya, CRL yang diterbitkan didistribusikan melalui berbagai cara.
Cara paling umum adalah melalui URL yang tercantum dalam sertifikat itu sendiri, di dalam ekstensi CRL Distribution Points (CDP).
URL ini biasanya mengarah ke server web tempat CRL dapat diunduh.
4. Pengunduhan CRL
Client (misalnya, browser web, sistem operasi, atau aplikasi lain) yang perlu memverifikasi keabsahan sertifikat akan mengunduh CRL dari URL dalam sertifikat.
Client biasanya menyimpan CRL ini dalam cache lokal untuk mengurangi frekuensi pengunduhan.
5. Pemeriksaan CRL
Saat ingin memverifikasi sertifikat, client akan memeriksa apakah nomor seri sertifikat tersebut ada dalam CRL yang diunduh.
Jika nomor seri sertifikat ditemukan dalam CRL, sertifikat tersebut dianggap dicabut dan tidak bisa dipercaya. Client akan menolak koneksi atau menampilkan peringatan.
Sementara itu, jika nomor seri sertifikat tidak ditemukan dalam CRL, dan CRL tersebut masih dalam masa berlakunya, sertifikat tersebut dianggap valid.
Namun, ini hanya salah satu aspek validasi; masih ada pemeriksaan lain, seperti memverifikasi tanggal kedaluwarsa.
6. Pembaruan CRL
Client secara berkala mengunduh CRL baru untuk memastikan mereka memiliki informasi pencabutan terbaru.
Frekuensi pembaruan ini dapat dikonfigurasi, atau client bisa mengunduh CRL baru setiap kali memeriksa sertifikat.
Apa Itu Online Certificate Status Protocol (OCSP)?
Selain CRL, sebagai alternatif yang lebih cepat, browser juga menggunakan Online Certificate Status Protocol (OCSP) untuk memeriksa status pencabutan sertifikat secara langsung ke CA penerbit.
Online Certificate Status Protocol (OCSP) adalah protokol internet yang digunakan untuk memeriksa status pencabutan sertifikat digital X.509.
Sertifikat X.509 ini umum digunakan dalam public key infrastructure (PKI), termasuk sertifikat SSL yang mengamankan koneksi website (HTTPS).
Cara Kerja OCSP
1. Permintaan dari Client
Ketika browser terhubung ke server yang menggunakan sertifikat SSL, browser tersebut bisa mengirimkan permintaan OCSP ke server OCSP responder.
OCSP responder ini biasanya dioperasikan oleh CA yang menerbitkan sertifikat tersebut. Permintaan OCSP berisi informasi tentang sertifikat yang ingin diperiksa, biasanya nomor seri sertifikat.
2. Respon dari OCSP Responder
OCSP responder memeriksa status sertifikat dalam database-nya dan memberikan salah satu dari tiga respons berikut:
- “Good” (Baik): Sertifikat tersebut valid dan belum dicabut.
- “Revoked” (Dicabut): Sertifikat tersebut telah dicabut.
- “Unknown” (Tidak Diketahui): Responder tidak memiliki informasi tentang sertifikat tersebut. Biasanya karena sertifikat tersebut tidak diterbitkan oleh CA yang bersangkutan.
3. Verifikasi
Browser menerima respons OCSP dan memverifikasi tanda tangan digitalnya untuk memastikan keasliannya
Berdasarkan respon OCSP, browser akan mengambil tindakan:
- Jika responnya “Good“, browser akan melanjutkan koneksi aman.
- Jika responnya “Revoked“, browser akan menampilkan peringatan keamanan dan memblokir koneksi.
- Jika responnya “Unknown“, browser akan memperlakukan sertifikat tersebut sebagai valid atau tidak valid, tergantung konfigurasinya.
Reissue (Mengeluarkan Ulang) SSL Setelah Pencabutan
Setelah mencabut sertifikat SSL, Anda perlu menerbitkan ulang (reissue) sertifikat baru jika masih ingin mengamankan website dengan SSL/TLS.
Sebab, pencabutan membatalkan sertifikat lama dan sertifikat tersebut tidak bisa digunakan lagi.
Ini langkah-langkah yang harus dilakukan dalam proses penerbitan ulang (reissue):
1. Identifikasi Alasan Pencabutan
Sebelum melakukan reissue, Anda harus memahami dulu mengapa sertifikat dicabut.
Seperti misal, jika alasannya compromise private key, Anda harus segera mengambil tindakan untuk mengamankan sistem dan mencegah akses tidak sah lebih lanjut.
Sementara bila alasannya adalah kesalahan informasi atau perubahan detail organisasi, ubah dengan informasi yang benar.
Jika Anda tidak yakin mengapa sertifikat dicabut, sebaiknya hubungi CA penerbit sertifikat.
2. Buat Certificate Signing Request (CSR) Baru
Selanjutnya, Anda perlu membuat CSR baru dari server web tempat sertifikat SSL akan diinstal.
Proses ini biasanya melibatkan pembuatan private key baru dan CSR.
PENTING!
Jika sertifikat sebelumnya dicabut karena compromise private key, maka harus membuat private key baru. Jangan gunakan kembali private key lama!
CSR berisi informasi tentang domain, organisasi atau pemilik domain, dan public key yang akan dikaitkan dengan sertifikat baru.
Cara spesifik untuk membuat CSR tergantung jenis server web, seperti Apache, Nginx, cPanel, dll. Anda juga bisa membaca artikel kami tentang Cara Generate CSR dengan Mudah dan Cepat.
3. Ajukan Permohonan Reissue ke CA
Masuk ke akun Anda di website tempat membeli sertifikat. Misal, Anda membeli sertifikat di GudangSSL, maka login ke akun GudangSSL.
Cari opsi untuk menerbitkan ulang sertifikat. Biasanya ada di bagian manajemen sertifikat atau area serupa.
Anda akan diminta untuk mengirimkan CSR baru yang Anda buat di Langkah 2.
Beberapa CA ada yang mengizinkan untuk menggunakan CSR yang sama dengan yang digunakan sebelumnya, dengan syarat alasan pencabutan bukan karena compromise private key.
Namun, praktik terbaik adalah selalu membuat CSR baru dengan private key baru saat menerbitkan ulang.
4. Validasi (Jika Diperlukan)
Tergantung jenis sertifikat SSL, CA sering kali perlu memvalidasi ulang kepemilikan domain untuk sertifikat Domain Validation (DV) atau informasi organisasi untuk sertifikat Organization Validation (OV) atau Extended Validation (EV).
Proses validasi, antara lain:
- Validasi Email: CA mengirim email ke alamat email yang terdaftar untuk domain. Anda harus mengklik tautan atau memasukkan kode verifikasi dalam email tersebut.
- Validasi File: CA meminta Anda mengunggah file tertentu ke direktori tertentu di websitea.
- Validasi DNS: CA meminta Anda menambahkan data DNS khusus ke pengaturan DNS domain Anda.
- Validasi Organisasi (untuk OV dan EV): CA memerlukan dokumen tambahan, seperti akta pendirian perusahaan, dan verifikasi melalui telepon atau sumber pihak ketiga.
5. Unduh dan Instal Sertifikat Baru
Setelah validasi selesai, CA akan menerbitkan sertifikat baru.
Anda akan mendapatkan pemberitahuan melalui email dan dapat mengunduh sertifikat dari akun di website CA.
Sertifikat biasanya akan tersedia dalam beberapa format file (.crt, .pem, .cer, dll.).
Selanjutnya, instal sertifikat baru di server web. Proses instalasi bervariasi tergantung server web Anda. Namun, biasanya langkah-langkahnya:
- Salin file sertifikat dan file private key – yang Anda buat saat membuat CSR – ke lokasi sesuai server.
- Konfigurasi server web untuk menggunakan sertifikat dan private key tersebut.
- Memulai ulang (restart) server web.
5. Verifikasi Instalasi
Setelah menginstal sertifikat, gunakan tools online seperti SSL Labs’ SSL Server Test atau SSL checker lainnya untuk memverifikasi sertifikat sudah diinstal dengan benar dan tidak ada masalah.
Periksa apakah:
- Sertifikat tersebut valid.
- Rantai sertifikat lengkap dan valid.
- Sertifikat tidak lagi dicabut.
- Nama domain dan informasi organisasi sudah benar.
Kesimpulan
SSL Certificate Revoked adalah sertifikat yang tidak lagi valid sebelum tanggal kedaluwarsanya karena berbagai alasan, seperti key compromise, kesalahan penerbitan, perubahan kepemilikan domain, serangan siber, atau perubahan pada CA.
Browser menggunakan CRL dan OCSP untuk memverifikasi apakah sertifikat sebuah website masih bisa dipercaya.
Jika sertifikat dicabut, sebagai pemilik website, Anda harus segera menerbitkan ulang (reissue) sertifikat baru.
Secara keseluruhan, tindakan ini sangat penting untuk memulihkan keamanan dan kepercayaan pengguna terhadap website.
Nah, untuk mendapatkan sertifikat SSL baru dengan mudah dan cepat setelah pencabutan, Anda memerlukan penyedia SSL yang terpercaya, seperti GudangSSL!
GudangSSL adalah penyedia sertifikat SSL terbaik dan termurah yang menyediakan produk SSL dari berbagai brand ternama, seperti Sectigo, Globalsign, Entrust, Sectigo, Symantec, dan banyak lagi.
Di GudangSSL, Anda bisa membeli sertifikat SSL dengan HARGA 30% LEBIH HEMAT daripada CA, lho!
Semua SSL dari kami juga mampu bekerja di lebih dari 99% browser. Jika ada masalah setelah SSL aktif, kami siap memberikan GARANSI 15 HARI setelah instalasi SSL!
Punya pertanyaan? Jangan sungkan menghubungi customer support kami, ya!
Website #MakinAman bersama GudangSSL!
