Masa kedaluwarsa AddTrust Root akan datang, apa yang perlu diketahui?

Saat ini Sectigo menawarkan kemampuan sertifikat cross-sign (tandatangan silang) dengan pembaruan root AddTrust untuk meningkatkan dukungan di antara sistem dan perangkat lama. Root ini akan habis masa berlakunya pada 30 Mei 2020. Aplikasi dan instalasi apapun yang bergantung pada root cross-sign ini harus diupdate selama bulan Mei 2020 atau akan menerima risiko penghentian sistem maupun menampilkan pesan eror.

Sebagian besar kasus penggunaan, root standard Sectigo memasok dukungan klien yang diperlukan sepenuhnya. Untuk kasus yang tidak biasa, Sectigo menawarkan opsi cross signing dengan root AAA, yang berlaku hingga 2028.

Mohon dibaca artikel ini untuk penjelasan lebih lanjut terkait cross-signing, masa habis AddTrust, dan potensi alternatif setelah tanggal kedaluwarsa.

Apa itu Sertifikat Root?

Sertifikat Root merupakan sertifikat self-sign (yang ditandatangani sendiri oleh penerbitnya).Yang berarti Penerbit dan Subjek itu sama, sebuah root menjadi sertifikat root yang dipercaya (dari CA/Otoritas yang dipercaya) dengan dimasukkan secara default di tempat penyimpanan software seperti browser atau OS. Tempat penyimpanan yang sering diperbarui oleh browser atau OS, sering kali sebagai bagian dari pembaruan keamanan, tetapi pada platform lama/usang sering memperbarui hanya sebagai bagian dari pembaruan software–semisal paket Windows Service.

Sertifikat yang digunakan pada website diterbitkan dari penerbitan chain (rantai) atau CA Intermediate yang melengkapi jalur kembali ke sertifikat root.

Penting untuk mencatat jika pembaruan keamanan merupakan hal terpenting sekarang ini. Mungkin ada perangkat-perangkat yang tidak melakukan pembaruan untuk menyertakan root modern (terbaru). Namun dengan konsekuensi, tidak mendukung standar yang dibutuhkan oleh internet modern. Contohnya Android, gingerbread 2.3 yang tidak mempunyai root modern terinstal dan mengandalkan AddTrust. Juga tidak mendukung TLS 1.2 dan TLS 1.3 dan dicap ‘ketinggalan zaman’ oleh Vendor.

Apa yang dimaksud dengan Cross-Signing?

Pihak CA sering mengendalikan multipel sertifikat  root dan umumnya root lama yang secara luas sering didistibusi ke platform lama. Untuk mengambil manfaat pada fakta ini, CA menghasilkan sertifikat cross (bersilangan) untuk memastikan bahwa sertifikat mereka didukung seluas mungkin. Sebuah sertifikat cross menggunakan public key yang sama dan Subjek sebagai root yang ditandatangani.

Contohnya, sebuah sertifikat cross bisa merupakan:

Subjek: COMODO RSA Certification Authority

Issuer: AddTrust External CA Root

https://crt.sh/?id=1044348

Dengan menggunakan Subjek dan public key sebagai sertifikat root COMODO self-signed.

Browser dan Client akan rantai kembali ke sertifikat root terbaik yang mereka percaya.

Masa kedaluwarsa AddTrust External CA

Sectigo mengontrol sebuah sertifikat root yang disebut AddTrust External CA Root, yang mana telah digunakan untuk menciptakan sertifikat cross untuk root modern Sectigo, COMODO RSA         Certification Authority, dan USERTrust RSA Certification Authority (juga untuk versi ECC dari root tersebut). Root ini berlaku hingga 2028.

Akan tetapi, kita sudah tahu jika AaddTrust External CA Root akan habis pada 30 Mei 2020.

Setelah tanggal tersebut lewat, Client dan Browser akan merantai kembali ke root modern yang digunakan untuk cross-sign oleh AddTrust lama. Tidak akan ada eror yang tampil di pembaruan apapun, perangkat baru atau platform yang sudah diperbarui.

Diagram Sertifikat Chain

Browser atau perangkat lama yang tidak mempunyai USERTrust modern tidak akan mempercayainya dan akan terus merantai ke root yang dipercaya yaitu AddTrust External CA Root. Browser modern telah mempunyai root USERTrust yang terisntal dan mempercayainya tanpa perlu mengandalkan root lama AddTrust.

Yang perlu diketahui

Di kebanyakn kasus, memasukkan pelayanan sertifikat untuk Client modern atau sistem server itu tidak diperlukan, baik Anda telah mengeluarkan sertifikat yang cross-chained ke root AddTrust atau tidak.

Pada 30 April 2020, bagi bisnis yang memproses dengan menggunakan sistem yang usang/lama, Sectigo telah menyediakan (secara default di bundel sertifikat) sebuah root baru untuk cross-signing yaitu root AAA Certificate Services. Namun, mohon berhati-hati terhadap proses apapun yang bergantung pada sistem lama. Sistem yang tidak menerima kebutuhan pembaruan untuk mendukung root terbaru seperti root COMODO nya Sectigo pasti akan hilang pembaruan keamanan penting lainnya dan akan dianggap tidak aman. Apabila Anda masih ingin melakukan cross-signing ke root AAA Certificate Services, mohon menghubungi langsung tim Sectigo.

FAQ

  1. Apakah sertifikat akan tetap aktif setelah 30 Mei 2020?

Jawab: Ya. Seluruh Client dan OS modern mempunyai root terbaru yaitu root COMODO dan USERTrust yang berlaku hingga 2028.

Dan pada platform di mana tempat penyimpanannya (trust store) dibatasi secara buatan atau tidak dapat diperbarui (misalnya perangkat yang disematkan), Anda perlu memperbarui dan menginstal root terbaru Sectigo. Dan pastikan perangkat mempunyai pembaruan keamanan yang diperlukan dari Vendor.

  1. Apakah perlu melakukan Reissue atau Reinstall sertifikat?

Jawab: Tidak. Sertifikat (SSL) Anda akan tetap berjalan sampai tanggal kedaluwarsanya dan tidak membutuhkan penerbitan ulang (reissue) maupun instalasi kembali. Anda bisa memilih untuk berhenti menginstal sertifikat cross pada server jika perlu. Jika Anda memerlukan kompatiiltas lama setelah habis berlakunya AddTrust, Sectigo memiliki sertifikat cross pengganti yang bisa Anda instal di server dimana AddTrust diinstal sebelumnya.

  1. Bisakah pengguna mencoba atau memeriksa untuk memastikan eror?

Jawab: Ya bisa. Jika Anda memiliki sertifikat yang masa aktifnya 20 Juni 2020, Anda bisa menyetel ulang jam waktu pada sistem menjadi 20 Juni 2020, dan coba periksa website kembali.

Browser modern tidak akan menampilkan eror dan Anda akan melihat jika sertifikat merantai ke root COMODO atu USERTrust. (Catatan, beberapa browser seperti Google Chrome, akan mendeteksi jika jam waktu Anda ‘salah’ dan menampilkan peringatan yang tidak berhubungan dengan sertifikat).

Berikut ini adalah sebuah situs percobaan yang dapat digunakan untuk mengevaluasi lingkungan situs Anda.

  • Link tersebut memberikan sertifikat valid yang diterbitkan dari spesifik chain.
  • Mereka bisa digunakan untuk mencoba root apa yang Client dukung.
  • Bisa menyesuaikan dengan sistem jam waktu Anda untuk melihat bagaimana Client berfungsi setelah masa kedaluwarsa root AddTrust dan sertifikat cross.

Untuk root modern: COMODO RSA/ECC Certification Aauthority dan USERTrust ECC Certification Authority:

Klik tombol ‘Certificate’ pada tabel link crt.sh untuk mengunduh sertifikat.

Root-root tersebut sudah ditambahkan ke masing-masing platform sejak:

Apple – MacOS Sierra 10.12.1 Public Beta 2 dan iOS 10

Microsoft – Windows XP (melalui Automatic Root Update, catat bahwa ECC tidak didukung oleh Windows hinggaVista) dan Windows Phone 7

Mozilla – Firefox 3.4.0 dan Firefox 36

Google – Android 2.3 dan Android 5.1

Oracle – Java JRE 8u51

Opera – (pertama kali browser rilis Desember 2012)

360 Browser – SE 10.1.1550.0 dan Extreme Browser 11.0.2031.0

Sertifikat cross dengan AAA Certificare Services menyediakan kompatibilitas pada versi browser terlama:

  • Apple iOS 3
  • Apple MacOS 10.4
  • Google Android 2.3
  • Mozilla Firefox 1
  • Oracle Java JRE 1.5.0_08

Root self-sign AAA Certificate Services (valid 2028) – https://crt.sh/?id=331986

  1. Bagaimana jika infrastruktur atau aplikasi hanya mempercayai AddTrust?

Jawab: Apabila sistem atau aplikasi hanya mempercayai root AddTrust External CA dan bukannya root COMODO atau UserTrust maka eror akan muncul setelah 30 Mei 2020.

Tindakan pencegahan dan catatan untuk lingkungan/perangkat lama:

  • Diperlukan pembaruan sistem apapun termasuk root modern jika bisa dilakukan. Apabila platformnya tidak mendukung algoritma modern (contoh, SHA-2) maka pengguna perlu memberitahu kepada vendor sistem.
  • Pengguna yang telah menyematkan root AddTrust External CA pada aplikasi maupun perangkat lama bisa memerlukan pengganti root USERTrust External CA sebelum 30 Mei 2020.
  • Sectigo mempunyai root lainnya, terlama, root lama yang berbeda dari AddTrust Root dan telah mengeluarkan satu sertifikat cross untuk memperluas kompatibiltas sebelumnya. Sertifikat cross ditandatangani oleh root yang disebut AAA Certificate Services. Mohon menghubungi manajer akun Anda untuk detail informasi.
superadmin
superadmin

Would you like to share your thoughts?

Your email address will not be published. Required fields are marked *