Pada 9 September 2019 lalu, CA/B Forum mengadakan pemungutan suara untuk mengurani masa aktif sertifikat dari dua tahun menjadi setahun (397 hari – 13 Bulan). Pemungutan suara ini disebut Ballot SC22.

Namun, ballot tersebut gagal karena perolehan suara tidak setuju yang unggul 20 suara, 18 suara setuju, dan 2 suara tidak memilih (golput). Padahal hampir semua browser yang menyatakan setuju untuk mengurangi masa aktif sertifikat menjadi setahun dan didukung juga oleh CA ternama seperti Let’s Encrypt, Sectigo, Amazon, SHECA, dan lainnya.

Yang diseberangnya, suara-suara yang tidak setuju adalah Entrust Datacard, GlobalSign, Certum, GoDaddy dan 15 Otoritas Sertifikat yang berpatisipasi.

Ini adalah kedua kalinya ballot pengurangan masa aktif sertifikat ditolak dan gagal. Sebelumnya sudah dibahas untuk memperpendek masa aktif sertifikat, dan dua tahun adalah hasil kompromi dari diskusi pertama. Dan pada diskusi ballot kedua ini, satu-satunya kompromi yang diberikan kepada CA adalah menunda tanggal efektif voting selama sebulan, yaitu Maret 2020 s/d April 2020.

Mengutip dari 4.000 hasil survei dari 3 CA, sebanyak 83% pemilik website menentang perubahan masa aktif sertifikat. Dan CA menolak hitungan yang seharusnya perbandingan suara menjadi 20 – 11. Di mana ketujuh vendor browser semuanya sepakat untuk memberikan suara setuju terhapad ballot. Selama proses ini secara perlahan mengungkapkan kelemahan CA/B Forum dan kemungkinan memperdalam kesenjangan hubungan antara CA dengan browser.

Mengapa Ballot SC22 Gagal?

Ada sebagian komentar CA yang sebenarnya tidak keberatan dengan gagasan perubahan masa aktif sertifikat ini yang sama seperti hasil diskusi penggunaan ulang informasi pelanggan pada perpanjangan sertifikat dalam jangkat waktu tertentu. Ini disebabkan dengan dua faktor waktu utama:

  1. Belum lama kemarin sertifikat SSL/TLS dipersingkat menjadi 2 tahun validasi dan pelanggan tidak peduli dengan itu, mereka tidak peduli dengan hasil diskusi dari CA/B Forum. Mereka hanya mengkhawatirkan tentang pembaharuan sertifikat dua kali lebih sering yang bukan hanya menaikkan biaya finansial bahkan waktu yang dihabiskan dan sumber daya yang digunakan. Serta menimbulkan potensi bahaya keamanan dengan melakukan pergantian sertifikat lebih sering.
  2. Tanggal ballot yang efektif adalah 1 Maret dan kemudian diubah menjadi 1 April 2020, yang mana tidak menolong sama sekali. Pihak CA sudah meminta waktu paling cepat setahun sebelum perubahan yang efektif. Namun, pihak vendor Google memberikan waktu tambahan sebanyak sebulan.

Selain itu, pelanggan enterprise juga khawtir dengan pergantian sertifikat tiap tahunnya, tindakan tersebut merupakan usaha dalam skala besar untuk siap dihadapi. Melakukan otomasi pada saat itu juga tidak layak. Berdasarkan survei pelanggan salah satu CA, untuk perusahaan enterprise besar 75% tidak menggunakan otomasi dan 9% hanya menggunakan 1% dari skala 10% otomasi. CA lainnya yang basis pelanggannya merupakan perusahaan kecil, menemukan di antara 2.732 reponden tidak pernah mendengar tentang perangkat otomasi sebanyak 22%, 36% tidak menggunakan otomasi, dan 17% tidak yakin menggunakannya.

Dengan begitu, Ballot SC22 gagal dengan hasil suara CA 20 – 11 (tidak termasuk CA). Dan menjadi 20 – 18 dengan total hitungan CA dan vendor browser. Itu bahkan tetap tidak mendekati angka CA yang menolak ballot. Berikut hasilnya,

Dan ditambah dengan seluruh browser sebanyak 7 suara tanpa paksa.

Sejak adopsi Persyaratan Dasar, CA/B Forum telah membahas manfaat dan nilai dalam mengurangi masa aktif sertifikat yang dapat memadai ekosistem SSL/TLS. Meskipun hasil ballot mengemukakan proposal untuk pembaharuan dan validasi tahunan sertifikat yang efektif, kedua periode tersebut harus dilihat sebagai titik permulaan untuk perbaikan lebih lanjut. Beberapa browser telah mencatat bahawa penggunaan kembali informasi validasi domain saat ini mewakili risiko keamanan yang substansial dan akan diusahakan untuk menguranginya pada di kesimpulan diskusi berikutnya.

Secara general, CA dan pelanggan direkomendasikan untuk mengejar solusi yang dapat mengoperasikan otomasi seperti RFC 8555, dengan tujuan memudahkan proses validasi dan pergantian sertifikat tanpa kendala sehingga menjamin keamanan pengguna lainnya.

Sementara browser baru dapat memberlakukan pengurangan masa aktif sertifikat pada awal April 2020. Karena mereka tidak akan mendapatkan manfaat sepenuhnya dari pengurangan validasi ini sampai 825 hari terakhir setelah sertifikat diterbitkan atau hingga Juni 2022. Sebagai konsekuensinya, penundaan lebih lanjut ke periode implementasi April 2020 akan mewakili risiko keamanan yang bahkan lebih besar bagi pengguna.

Manfaat dari pengurangan masa aktif sertifikat menjadi satu tahun adalah mengurangi potensi risiko dari private key yang dirusak dan memberikan reaksi cepat dalam menghadapi perubahan industri. Dan adapun kekurangan yang didapat adalah diperlukannya biaya tambahan untuk memperbaharui pembangunan infrastrukstur mereka.

superadmin
superadmin

Would you like to share your thoughts?

Your email address will not be published. Required fields are marked *