Jaga keamanan kunci pribadi Anda. Apa pun jenis sertifikat digital yang Anda miliki, tanggung jawab Anda adalah menjaga keamanan kunci privat sepenuhnya. Jika orang yang tidak berwenang mendapatkan akses ke kunci pribadi Anda, mereka dapat menggunakan identitas yang dimaksudkan untuk dilindungi oleh sertifikat Anda (misalnya Anda, perusahaan Anda, dan / atau situs web Anda).
Terkadang, terlepas dari upaya terbaik Anda, kunci pribadi Anda dapat disusupi. Kunci pribadi dikatakan dikompromikan jika nilainya telah diungkapkan kepada orang yang tidak berwenang atau orang yang tidak berwenang memiliki akses ke sana. Meskipun sangat sulit untuk mengetahui bahwa kunci pribadi telah diperoleh oleh pihak yang jahat, jika Anda mengidentifikasi pelanggaran dalam keamanan Anda, lebih baik untuk melakukan kesalahan di sisi keamanan dan mencurigai bahwa kunci Anda mungkin telah disusupi.
Jika kunci pribadi Anda pernah disusupi, itu harus dianggap darurat, dan prioritas Anda harus segera menyelesaikan masalah. Artikel ini akan membantu Anda mengenali tanda-tanda kunci yang disusupi, dan langkah apa yang harus diambil untuk membangun kembali keamanan dan jaminan.
Jika kunci Anda telah disusupi atau Anda curiga telah disusupi, Anda dapat dan harus mengajukan permintaan pembatalan ke CA Anda. Jika sertifikat Anda diterbitkan melalui SSL.com, Anda bisa kirimkan permintaan pembatalan Anda di sini.
Jika Anda memiliki bukti pelanggaran keamanan, dapat membuktikan bahwa permintaan sertifikat tidak diizinkan, atau CA menemukan bahwa validasi kontrol domain tidak dapat dipercaya, sertifikat harus dicabut dalam waktu 24 jam.
Untuk sebagian besar alasan lain, terutama kesalahan pengguna, CA mungkin memiliki waktu hingga 5 hari untuk mencabut.
Persyaratan dasar CA / Forum Browser menetapkan 15 alasan mengapa kunci perlu dicabut. Kamu bisa baca semua 15 di sini, tetapi dapat diringkas sebagai:
• Terjadi insiden keamanan (atau diyakini telah terjadi) di server Anda (atau komputer lain tempat kunci pribadi digunakan atau disimpan).
• Seorang anggota staf dengan akses ke kunci pribadi Anda pergi.
• File kunci pribadi dihapus, dimusnahkan atau hilang.
• Terjadi kesalahan dalam membangkitkan pasangan kunci.
Pelanggaran keamanan adalah waktu yang tepat untuk memperbarui praktik keamanan Anda, dan melaporkan kunci Anda yang disusupi. Sekali lagi, lebih baik Anda berhati-hati dalam hal keamanan sertifikat. Jika kunci Anda telah disusupi atau Anda mencurigainya, segera kirimkan permintaan pencabutan ke CA Anda.
Kehilangan kunci pribadi Anda tidak selalu menjadi alasan untuk mengajukan permintaan pencabutan, tergantung bagaimana Anda kehilangannya. Jika, misalnya, Anda tidak sengaja menghapus file dan tidak ada cadangan, Anda tidak perlu mengajukan permintaan pembatalan. Sebagai gantinya, Anda dapat menghubungi CA Anda agar sertifikat diterbitkan kembali. SSL.com dapat menerbitkan sertifikat baru dari pasangan kunci baru yang Anda buat.
Namun, jika Anda kehilangannya sedemikian rupa sehingga sangat mungkin jatuh ke tangan orang lain, seperti hard drive dicuri atau salah tempat, Anda mungkin ingin mengambil tindakan agar sertifikatnya dicabut.
Tidak setiap situasi membutuhkan pengajuan pencabutan. Sebagai gantinya, Anda dapat menggunakan SSL.com SSL Manager Alat (tersedia untuk pengguna Windows) untuk menyederhanakan proses penguncian ulang, yang akan membutuhkan pembuatan file CSR (menggunakan informasi yang sama pada permintaan awal Anda). Anda juga dapat memasukkan kunci kembali menggunakan portal web SSL.com atau melalui API.
Mengunci ulang sertifikat Anda secara teratur umumnya merupakan praktik keamanan yang baik. Anggap saja sama seperti memperbarui kata sandi di komputer Anda, ini adalah cara lain untuk tetap berada di depan orang jahat.
Untuk menjaga keamanan kunci pribadi Anda, Anda harus selalu tahu di mana lokasinya. Jika Anda tidak tahu di mana itu, lihat FAQ ini.
Sebagian besar kunci yang disusupi disebabkan oleh kesalahan pengguna atau pelanggaran keamanan umum. Menjaga kebersihan teknologi yang baik dengan memperbarui kata sandi secara teratur, memasukkan kembali sertifikat Anda saat staf Anda menyaring masuk dan keluar, dan praktik baik lainnya adalah cara yang solid untuk menjaga keamanan kunci pribadi Anda dan untuk menjaga jaminan yang Anda cari.
