Apa Nilai Otoritas Sertifikat?

Certificate Authorities (CAs) telah menjadi dasar keamanan online selama dua dekade terakhir, dan sertifikat digital terus menjadi metode tepercaya untuk memastikan bahwa transaksi dan identitas aman. Pada tingkat mendasar, sertifikat yang ditandatangani CA adalah alat yang berharga yang mengotentikasi identitas online; memungkinkan komunikasi yang aman dan terenkripsi melalui jaringan yang tidak aman; dan mengkonfirmasi integritas dokumen yang ditandatangani dengan memverifikasi bahwa dokumen tersebut belum diubah oleh pihak ketiga.

Tetapi nilai CA melampaui manfaat praktis langsungnya. Apa itu proses verifikasi yang sangat sederhana bagi pengguna ditopang dengan kisi-kisi kerja dan rantai kepercayaan yang melampaui pemeriksaan fakta sederhana.

Apa yang CA lakukan?

Browser dan vendor sistem operasi mempercayai CA publik (seperti SSL.com) untuk memverifikasi:

  • Kontrol nama domain
  • Keabsahan organisasi dan agen mereka
  • Informasi kontak seperti alamat email

CA mengeluarkan banyak jenis sertifikat, semua berdasarkan X.509 standar. Sertifikat yang dikeluarkan CA memastikan bahwa transaksi situs web aman, terlindungi dari malware, dan mengautentikasi pertukaran dokumen dan email. Membangun identitas di internet dilakukan melalui berbagai proses, prosedur, dan protokol, semua dijamin oleh CA. Sebagai contoh:

  • SSL /TLS menyediakan cara tepercaya dan terenkripsi untuk mengakses World Wide Web melalui browser - yang melindungi informasi dan transaksi pribadi.
  • Tanda Tangan Digital memberikan dokumen digital yang diautentikasi.
  • Penandatanganan Kode memungkinkan distribusi perangkat lunak yang aman di Internet.
  • S/MIME memungkinkan email terautentikasi dan terenkripsi.
  • Otentikasi Klien sertifikat melindungi akses ke komputer dan aplikasi.

Semua ini dilakukan melalui sertifikat yang berlabuh ke sertifikat root CA publik, dan dihubungkan bersama melalui "rantai kepercayaan"

Rantai kepercayaan
Rantai kepercayaan untuk www.ssl.com, menunjukkan sertifikat entitas akhir, menengah, dan root.

Mengapa begitu sulit untuk menjadi CA yang dipercayai publik?

Sebagaimana diuraikan di atas, CA dipercaya oleh sistem operasi dan perangkat lunak lain untuk memverifikasi identitas situs web, perusahaan, dan individu. Setelah CA publik didirikan dan mendapatkan kepercayaan dari vendor perangkat lunak dan pemain lain, sertifikat digitalnya adalah cara instan, aman dan andal untuk memastikan bahwa informasi tersebut tidak curang. Proses untuk membuat CA root yang ditandatangani sendiri relatif sederhana - mereka jujur ​​dapat dibuat oleh siapa saja dengan perangkat lunak yang tersedia secara luas, murah atau tanpa biaya. Namun, sebenarnya tidak banyak otoritas sertifikat publik. Padahal, saat ini hanya ada 52 anggota CA CA / Browser Forum, dan sebagian besar SSL /TLS sertifikat berasal dari jumlah yang lebih kecil dari itu. Jadi mengapa tidak semua orang membuatnya?

Alasan mengapa otoritas sertifikat publik adalah klub eksklusif adalah karena menjadi CA publik dan mendapatkan dan mempertahankan kepercayaan universal agar tetap berfungsi adalah banyak pekerjaan. Penyertaan di semua browser dan sistem operasi mulus di ujung pengguna, tetapi membutuhkan kerja keras bertahun-tahun di belakang layar. Ketika Anda membeli komputer baru atau menginstal perangkat lunak seperti browser web atau klien email, daftar sertifikat CA root tepercaya sudah disertakan. Tetapi ditambahkan ke daftar itu bukan sesuatu yang terjadi dalam semalam, dan tinggal di sana juga merupakan tantangan.

Untuk tetap dalam bisnis yang menjual sertifikat, CA harus memenuhi persyaratan vendor perangkat lunak, yang semuanya berusaha untuk memastikan pengalaman yang aman dan dapat diandalkan untuk penggunanya. Setiap peramban utama dan vendor sistem operasi memiliki serangkaian kriteria sendiri yang harus dipenuhi CA dan mengimbangi saat perubahan dilakukan. Biaya untuk tidak melakukannya adalah tinggi: jika CA tidak termasuk dalam salah satu program root, apakah itu karena pelanggaran kepercayaan atau karena kegagalan untuk tetap mengikuti perubahan kebijakan, itu akan menyebabkan bencana bagi seluruh bisnis. Tidak ada perusahaan yang mencari sertifikat SSL situs web yang berfungsi dengan Safari tetapi tidak Chrome. Beberapa produsen perangkat lunak menginginkan sertifikat penandatanganan kode yang tidak dipercaya Windows.

Selain menjaga keseimbangan yang rumit ini dengan browser, sistem operasi, dan penyedia perangkat lunak lainnya, Otoritas Sertifikat tunduk pada audit luar yang ketat. Lihat lencana itu di bagian bawah situs ini? Masing-masing segel tersebut mewakili audit, dan masing-masing audit tersebut dilakukan setiap tahun. Jika CA gagal dalam audit (atau gagal memenuhi persyaratan program akar), sertifikat CA dapat dikecualikan dari penyimpanan akar penting, yang akan membuatnya tidak berguna.

WebPerapat Tepercaya

Anggota CA dari CA / Forum Peramban (konsorsium CA dan vendor dari PKIperangkat lunak yang diaktifkan seperti browser dan sistem operasi) aktif dalam mengembangkan dan menegakkan puluhan standar industri dan mengatur CA / B Forum Persyaratan Dasar. Anggota berpartisipasi dalam organisasi pendidikan dan penelitian, dan berkolaborasi dengan pemangku kepentingan untuk memperkuat keamanan internet, seringkali memimpin dalam mengusulkan dan mengadopsi standar baru. CA paling berkepentingan untuk memastikan SSL /TLS sistem bekerja dan reputasinya baik, yang berarti mereka mengambil langkah proaktif dan agresif terhadap keamanan sistem mereka dan sistem yang mereka gunakan.

Selain mematuhi standar-standar ini, otoritas sertifikat diharuskan untuk memelihara dan menyediakan daftar transparansi sertifikat (catatan publik dari semua sertifikat yang dikeluarkan), serta daftar pencabutan sertifikat (CRL) dan responden OCSP, yang melacak pencabutan sertifikat. Sangat penting untuk memastikan bahwa semua sertifikat dipertanggungjawabkan, dan bahwa kepercayaan yang menopang sertifikat tidak pernah rusak.

Cara memilih CA

Jadi, mengetahui semua pekerjaan yang digunakan untuk memelihara dan menjalankan otoritas sertifikat publik, bagaimana cara menentukan CA mana yang terbaik untuk kebutuhan mereka?

Meskipun sekarang ada opsi CA berbiaya rendah (atau bahkan gratis), penting untuk mengetahui apa yang diperdagangkan dengan biaya yang lebih rendah itu. Secara umum, CA gratis tidak menawarkan tingkat validasi yang sama dengan CA komersial, dan tidak menawarkan apa pun selain SSL /TLS sertifikat. Misalnya, mereka dapat menunjukkan bahwa pemohon untuk situs web SSL /TLS sertifikat mengontrol domain tersebut (Validasi Domain) tetapi mereka tidak mengambil langkah ekstra untuk menegaskan siapa pemiliknya. Bergantung pada kasus penggunaan yang Anda inginkan, DV mungkin baik-baik saja (semua CA komersial, termasuk SSL.com, menawarkannya juga), tetapi jika Anda memerlukan sertifikat penandatanganan kode, tanda tangan digital untuk Adobe PDF, atau informasi yang divalidasi tentang bisnis Anda yang disertakan dalam sertifikat situs web, Anda harus pergi ke CA komersial.

Untuk informasi lebih lanjut tentang memilih CA yang andal, silakan lihat Panduan Praktik Terbaik.

Pergi ke atas
Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini.

Elizabeth Pagano

Semua Tulisan

Artikel terkait

Lihat Semua Artikel
Facebook Youtube Twitter Github

Berlangganan Newsletter SSL.com

Apa itu SSL /TLS?

Putar Video

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.

Ikuti Survei