Mari Enkripsi Terbitkan Satu Miliar Sertifikat SSL Gratis dalam 4 Tahun Terakhir

Let's Encrypt, otoritas penandatanganan sertifikat (CA) gratis, otomatis, dan terbuka dari Kelompok Riset Keamanan Internet nirlaba (ISRG), telah mengatakan telah mengeluarkan satu miliar sertifikat sejak diluncurkan pada 2015.

CA mengeluarkan sertifikat pertamanya pada September 2015, sebelum akhirnya mencapai 100 juta pada Juni 2017. Sejak akhir tahun lalu, Let's Encrypt telah menerbitkan setidaknya 1,2 juta sertifikat setiap hari.

Pengembangan ini terjadi karena lebih dari 80 persen pemuatan laman web telah mulai menggunakan HTTPS di seluruh dunia, dan 91 persen di AS saja.

HTTPS, sarana default komunikasi aman di internet, hadir dengan tiga manfaat: otentikasi, integritas, dan enkripsi. Ini memungkinkan permintaan HTTP untuk dikirimkan melalui saluran terenkripsi yang aman, sehingga melindungi pengguna dari berbagai aktivitas jahat, termasuk pemalsuan situs dan manipulasi konten.

"Sejak 2017, browser sudah mulai membutuhkan HTTPS untuk lebih banyak fitur, dan mereka telah sangat meningkatkan cara mereka berkomunikasi dengan pengguna mereka tentang risiko tidak menggunakan HTTPS," kata perusahaan itu. "Ketika situs web membahayakan pengguna mereka dengan tidak menggunakan HTTPS, peramban utama sekarang menunjukkan peringatan yang lebih kuat. Banyak situs merespons dengan menggunakan HTTPS."

Diluncurkan dengan tujuan mempercepat laju enkripsi web dan menurunkan biaya untuk mengaktifkan HTTPS, protokol Let's Encrypt ACME (Automatic Certificate Management Environment) menawarkan cara mudah untuk mengatur dan mengeluarkan sertifikat SSL yang dapat diperbarui dan diganti tanpa intervensi manual dari webmaster.

Electronic Frontier Foundation's Certbot adalah salah satu klien ACME open-source yang populer dan bebas digunakan yang memungkinkan HTTPS di situs web dengan secara otomatis menggunakan sertifikat Let's Encrypt – yang hanya berlaku selama 90 hari – dan mengelola pembaruan.

Tetapi dengan pelaku buruk yang menyalahgunakan Mari Mengenkripsi sertifikat HTTPS untuk menutupi lalu lintas berbahaya dan mengarahkan pengguna yang tidak menaruh curiga ke situs jahat, perusahaan telah mengambil langkah-langkah untuk "memastikan bahwa pemohon sertifikat benar-benar mengendalikan domain yang mereka inginkan dengan sertifikat."

Apple Mengambil Langkah Maju yang Signifikan

Tapi itu belum semuanya. Apple telah berhasil melakukan apa yang sebagian besar CA ragu-ragu untuk capai selama ini: mempersingkat validitas maksimum sertifikat yang dikeluarkan hingga satu tahun.

Raksasa teknologi baru-baru ini mengumumkan bahwa mulai 1 September 2020, Safari akan menolak sertifikat HTTPS baru yang berakhir lebih dari 13 bulan (atau 398 hari) sejak tanggal pembuatannya, yang secara efektif menurunkan masa berlaku sertifikat maksimum dari 825 hari.

Ini mengikuti pemungutan suara yang gagal diadakan September lalu oleh CA / Browser Forum untuk mengurangi masa berlaku sertifikat. Meskipun Let's Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla, dan Opera memilih mendukung langkah tersebut, hampir dua pertiga CA yang berpartisipasi menolak gagasan itu.

AppleLangkah untuk memperpendek umur sertifikat HTTPS berarti CA seperti Let's Encrypt dan klien ACME seperti Certbot hanya akan menjadi lebih berharga di masa mendatang, karena itu akan memaksa administrator situs web untuk menggunakan sertifikat yang diterbitkan selama 1 tahun atau kurang.

Bagaimana Sertifikat Bertahan Pendek Meningkatkan Keamanan?

Capping sertifikat seumur hidup meningkatkan keamanan situs web, paling tidak karena mengurangi kemungkinan penjahat mencuri sertifikat yang diabaikan untuk meningkatkan serangan phishing dan malware.

Kedua, versi seluler Chrome dan Firefox tidak secara proaktif memeriksa status sertifikat, menyiratkan situs web yang sertifikatnya dicabut masih akan terus dimuat tanpa memberi peringatan kepada pengguna.

Ini untuk alasan kinerja karena browser harus mengunduh daftar pencabutan sertifikat (CRL) yang ukurannya bisa cukup besar, sehingga mempengaruhi pemuatan halaman.

Sebagai gantinya, Chrome menggunakan CRLSets untuk "memblokir sertifikat dalam situasi darurat," sementara Mozilla telah bereksperimen dengan CRLite di gedung malamnya.

Selain teknik-teknik ini, pembuat Firefox juga telah mengumumkan spesifikasi teknis untuk protokol kriptografi baru yang disebut "Kredensial Delegasi untuk TLS," yang "memungkinkan perusahaan untuk mengambil kendali parsial atas proses penandatanganan sertifikat baru untuk diri mereka sendiri – dengan periode validitas tidak. lebih dari 7 hari dan tanpa sepenuhnya bergantung pada otoritas sertifikat. "

Tak usah dikatakan lagi AppleKeputusan untuk memangkas masa berlaku sertifikat adalah langkah maju yang signifikan untuk keamanan. Dan jika itu membantu secara proaktif mencegah pengguna terhubung ke situs web yang disusupi, itu hanya akan menjadi hal yang baik.

Pos terkait

Back to top button