Awas sertifikat SSL/TLS expired membahayakan situs web dan bisnis online dalam sekejap mata saja. Mengapa? Ibarat menggunakan token listrik untuk menjalankan seluruh perabotan digital di rumah, Anda tidak akan bisa bekerja apabila peralatan tersebut mati karena kuota listrik yang habis. Sertifikat SSL/TLS tidak abadi atau terus aktif setelah Anda membelinya sekali, namun sayangnya hanya segelintir orang yang mengetahui hal ini. Dengan fakta banyaknya pertanyaan ‘mengapa sertifikat SSL/TLS expired atau kedaluwarsa?’ yang tersebar di internet, membuktikan ada banyak kasus-kasus sertifikat SSL/TLS yang kedaluwarsa di beberapa situs bisnis online. Hingga berakhir pada kerugian finansial serta rusaknya reputasi bisnis.
Hari ini kita akan membahas sertifikat SSL/TLS expired yang membahayakan situs web dan bisnis online Anda beserta contoh kasus sertifikat SSL/TLS expired yang terjadi di beberapa perusahaan bisnis online. Yang mana Anda sebagai pemilik maupun administrator web bisa belajar mengambil langkah pencegahan untuk melindungi bisnis online Anda.
Tetap gulir ke bawah, ya.
1. Sertifikat SSL/TLS dan masa aktif
Sertifikat SSL/TLS berkualitas merupakan layanan sertifikat digital yang bertugas mengamankan koneksi web dengan memanfaatkan teknologi kriptografi, sama seperti layanan digital lainnya sertifikat SSL/TLS memiliki batas penggunaan atau masa aktif selama melindungi situs web Anda. Dalam lingkup sertifikat SSL/TLS terdapat suatu moderator forum yang menjalankan peraturan-peraturan de facto untuk industri SSL/TLS yang harus dijalankan. Dengan nama CA/B Forum, moderator ini mengesahkan juga SSL Certificate Baseline Requirement yang harus dipatuhi oleh seluruh pihak Otoritas Sertifikat (CA) yang menerbitkan sertifikat SSL/TLS, termasuk regulasi masa aktif sertifikat SSL/TLS yang diterbitkan untuk berapa lama.
Dan pada tahun 2020 kemarin, industri SSL/TLS sempat heboh sebab adanya kebijakan baru terkait pengurangan masa aktif sertifikat SSL/TLS berkualitas yang dikeluarkan oleh beberapa browser raksasa (Chrome, Mozilla, dan Safari) yang memaksa Otoritas Sertifikat untuk menerapkan kebijakan tersebut. Hingga saat ini seluruh sertifikat SSL/TLS berkualitas diketahui hanya memiliki masa aktif maksimal 13 bulan atau 398 hari dan 12 bulan atau 365 hari khusus sertifikat SSL/TLS EV.
2. Mengapa sertifikat SSL/TLS bisa expired?
Ini hanya meliputi masalah waktu. Kita tahu betul bahwa waktu mengubah segalanya; situs web yang berubah tampilan, pergantian jabatan, perusahaan yang dibeli terjual, dan juga sertifikat SSL/TLS yang menyimpan informasi suatu bisnis yang tidak akan stagnan dalam setahun. Informasi bisnis yang tercantum pada sebuah sertifikat SSL/TLS agar dapat dipercaya sepenuhnya sebelumnya telah dilakukan proses validasi, autentikasi, dan audit. Dan tentu saja waktu juga mengubah keabsahan informasi tersebut, baik alamat perusahaan yang berubah, perubahan nama legal, pertukaran organization contact, kepemilikan domain, dan lain-lain. Apabila informasi tersebut tidak diperbarui dalam jangka waktu lama, maka informasi pada sertifikat SSL/TLS tidak bisa dipercaya sepenuhnya dan bisa dikatakan melanggar web security compliance.
Mari bayangkan perusahaan A memiliki situs bisnis online dengan memasang sertifikat SSL/TLS EV untuk menunjukan keabsahan identitasnya tanpa memiliki batasan masa validasi. Yang setahun kemudian perusahaan A dijual dan dibangun ulang dengan informasi bisnis yang berbeda… bisa ditebak bukan bahwa sertifikat SSL/TLS EV atas nama perusahaan A tersebut masih bisa digunakan oleh siapapun tanpa perlu melakukan validasi, autentikasi, dan audit ulang. Penjahat yang enggan menyerahkan identitas aslinya tak memungkiri untuk mengambil kesempatan ini, mereka bisa membangun situs web dengan nama domain serupa milik perusahaan A dan kemudian menginstal sertifikat SSL/TLS EV tersebut pada situs palsunya. Pengguna yang cermat sekalipun mungkin berpikir itu adalah situs web asli perusahaan A karena pada sertifikat SSL/TLS EV menyatakan informasi bisnis yang absah dan valid.
Kita tidak mau hal buruk tersebut terjadi, demikian memberikan masa valid terhadap semua jenis dan tipe sertifikat SSL/TLS berkualitas dalam jangka waktu terbatas akan menyelamatkan semuanya dari tipuan jahat tersebut.
Situs web yang eror karena sertifikat SSL/TLS expired juga umumnya terjadi karena kelalaian pengguna yang lupa atau sengaja tidak memperpanjangnya (renewal), bahkan dibeberapa kasus menganggap remeh terhadap fungsi sertifikat SSL/TLS berkualitas yang bekerja pada situs web. Meskipun pihak Otoritas Sertifikat selalu mengirimkan pesan reminder terkait perpanjangan sertifikat SSL/TLS berkualitas secara berkala (biasanya dalam 90,60,30, 14, 7, 3, 1 hari dari tanggal expired), beberapa pengguna masih sering terlewat untuk segera memperpanjang sertifikat SSL/TLS. Ini menjadi bukti adanya ketidakefektifan dalam manajemen sertifikat SSL/TLS yang dilakukan oleh pengguna, bukan karena sertifikat SSL/TLS yang memiliki batas penggunaan atau masa aktif.
3. Apa yang terjadi bila sertifikat SSL/TLS menjadi expired pada situs web Anda?
Bencana mengerikan yang memberikan dampak negatif pada situs web dan bisnis online Anda.
Beli sertifikat SSL/TLS berkualitas memberikan manfaat bagi situs web Anda untuk membuka indikator keamanan web berupa gembok hijau dan status HTTPS, yang mana menjadi penyelamat situs web dari peringatan Not Secured browser, terutama di Google Chrome. Di mana browser raksasa ini mewajibkan seluruh situs web menjadi HTTPS sejak 2014 dan akan melabeli situs yang masih http dengan pesan peringatan Not Secured baik di URL web maupun halaman akses.
Pesan peringatan dan status Not Secured tersebut tidak menyedapkan pandangan mata pengunjung untuk lanjut masuk ke situs web tersebut. Buruknya, memungkinkan pengunjung memutuskan untuk tidak akan pernah datang kembali ke situs web Anda atau membuat ulasan negatif terkait ketidakprofesionalan Anda sebagai pemilik situs web karena membahayakan privasi pengunjung. Dampak besar pertama, menghilangkan nilai konversi sekaligus web traffic.
Masih dalam pengumuman yang sama terkait kewajiban situs ber-HTTPS, Google memprioritaskan pencarian situs web yang menjamin keamanan komunikasi webnya. Apabila Anda masih belum perpanjang sertifikat SSL/TLS DigiCert untuk melapisi perlindungan pada situs, maka jangan berharap besar situs Anda dapat dicari oleh pengguna dengan mudah di mesin pencari alias menurunkan SEO situs web.
Kemudian disusul fakta besar bahwa situs yang tidak dilengkapi keamanan web sertifikat SSL/TLS memiliki peluang lebih besar untuk diserang oleh penjahat dengan berbagai macam serangan siber mulai Eavesdropping, Man In the Middle Attack, mencuri informasi rahasia maupun privasi pengunjung, dan bahkan mengambil alih situs Anda untuk tujuan jahat. Situs web HTTP tidak memberikan komunikasi yang aman ke server, tidak ada pelapis kriptografi untuk mengenkrip data-data sensitif yang ditransmisi sehingga siapapun bisa melihatnya. Ini adalah skenario terburuk yang tidak hanya merugikan Anda dan pelanggan secara finansial, melainkan mengakhiri hubungan juga bisnis dengan pelanggan yang telah hilang kepercayaannya (customer trust).
Namun, itu semua tidak akan terjadi apabila Anda berhasil menjaga sertifikat SSL/TLS untuk tetap aktif dan tidak telat untuk melakukan perpanjang sertifikat SSL/TLS dengan harga murah.
4. Sertifikat SSL/TLS milik perusahaan besar expired!
1). Kedua kalinya LinkedIn menunda perpanjangan sertifikat SSL/TLS hingga expired
Untuk kedua kalinya lagi sejak Desember 2017, LinkedIn platform online business directory membiarkan sertifikat SSL/TLS yang melindungi situsnya expired. Kasus ini terjadi pada dua domain yang dispesifikasikan untuk wilayah UK yaitu uk.linkedin.com dan de.linkedin.com untuk wilayah Jerman. Pada tanggal 21 Mei 2019 pengguna LinkedIn mengalami kendala di mana tautan LinkedIn diperpendek menjadi lnkd.in yang menunjukan situs tidak bisa dijangkau setelah diklik, bukan itu saja seluruh tautan yang telah dibagikan sebelumnya juga memiliki rupa tautan yang sama. Beberapa kritikus siber menyayangkan kasus ini sebab LinkedIn adalah bisnis yang memiliki jutaan data dan privasi pengguna, namun tidak proaktif terhadap isu keamanan web hingga kasus yang sama harus terulang lagi.
2). Oops! Sertifikat SSL/TLS milik Ericsson expired hingga menggangu jaringan seluler lainnya
Desember 2018 lalu Ericsson mengaku bahwa ada salah satu sertifikat Root utama mereka yang ternyata sudah kedaluwarsa dan terlewat untuk diperbarui dengan yang baru. Sertifikat SSL/TLS yang expired memengaruhi jaringan bahkan software yang digunakan oleh O2 dan Softbank Japan. Mereka melaporkan bahwa kasus ini terjadi dalam beberapa jam sebelum akhir di-restore ulang. Ericsson, perusahaan seluler terbesar di Swedia, mengatakan bahwa kejadian seperti ini dapat dicegah di kemudian hari dengan menggunakan sertifikat SSL/TLS berkualitas yang memastikan validitas software menjaga keamanan mereka, tetapi faktanya salah satu sertifikat SSL/TLS mereka menjadi kedaluwarsa karena security management yang tidak memadai.
3). Sertifikat SSL/TLS yang expired menyerang game online Pokemon Go
Januari 2018 lalu terjadi isu sertifikat SSL/TLS expired di salah satu platform game online yang sedang naik daun, Pokemon Go. Yang mana hampir 30 menit platform tersebut down sementara karena sertifikat SSL/TLS yang tidak diperpanjang oleh pihak Niantic. Untungnya, kasus ini tidak memberikan dampak besar kepada pengguna melainkan hanya menjadi masalah bug yang biasa terjadi. Tetapi, sebagai platform game yang sedang digemari oleh pengguna di seluruh dunia akan lebih baik memiliki infrastruktur yang lebih efektif dan berskala untuk mencegah masalah serupa serta tidak melewatkan waktu perpanjangan sertifikat SSL/TLS.
4). Situs Partai Konservatif di UK tidak HTTPS akibat sertifikat SSL/TLS expired
Pada Januari 2018, jagat sosmed di UK dihebohkan dengan adanya koneksi HTTP pada situs Conservatif Party UK. Para pengguna yang mengunjungi situs tersebut mendapatkan halaman peringatan bahwa koneksi pada situs Partai Konservatif UK tidak privasi.
Banyak kritikus yang menyayangkan insiden ini mengingat pemerintah Inggris telah mengeluarkan ultimatum pada Oktober 2016 bahwa seluruh situs instansi pemerintahan harus memiliki koneksi yang aman dengan sertifikat SSL/TLS berkualitas untuk mendukung kenyamanan pengguna dan menghindari ancaman siber yang merusak informasi.
5). Jutaan Privasi Pelanggan Equifax Bocor karena Tidak Memperpanjang Sertifikat SSL/TLS
Pada laporan kongres yang dirilis pada 2017 menyatakan adanya pelanggaran data milik 148 juta individu di Equifax karena sertifikat SSL/TLS yang expired, di mana sertifikat tersebut melindungi sistem web and security monitoring. Dan yang lebih mengejutkannya adalah perangkat monitoring tersebut tidak berfungsi karena sertifikat SSL/TLS yang expired sejak dua bulan sebelum insiden terjadi. Bisa dibayangkan seberapa besar peluang bagi para cyber criminal untuk memanen data-data sensitif serta PII (Personally Identifiable Information) milik pelanggan.
6). Spotify sempat down karena dertifikat SSL/TLS yang expired
Agustus 2020 banyak pendengar musik mengeluh lantas situs Spotifiy yang tidak bisa dibuka. Ini pertama kalinya bagi platform musik terbesar tersebut mengalami downtime karena kelalaian tidak memperpanjang sertifikat SSL/TLS tepat waktu. Dan untungnya, Spotify segera bertindak cepat untuk mengganti sertifikat SSL/TLS yang expired dengan sertifikat SSL/TLS Digicert. Tetapi tetap saja sangat disayangkan bahwa platform musik yang paling berpengaruh didunia tidak melakukan prediksi dan pencegahan terhadap performa situs web yang menjadi destinasi jutaan pengguna setiap harinya.
5. Bagaimana Menghindari Sertifikat SSL/TLS Expired
Apabila Anda merupakan pebisnis kecil yang memiliki sertifikat SSL/TLS berkualitas dalam hitungan jari, maka bisa menerapkan tindakan-tindakan pencegahan konvensional untuk menghindari insiden sertifikat SSL/TLS yang expired, namun bagi beberapa perusahaan besar yang mempunyai ribuan sertifikat SSL/TLS berkualitas tersebar di seluruh titik jaringan tidak bisa mengandalkan reminder manual untuk melakukan perpanjangan sertifikat SSL/TLS. Dan sudah menjadi lagu lama bahwa perusahaan-perusahaan enterprise sangat disarankan mengandalkan sejenis Certificate Manager dan otomasi pada lingkungan SSL/TLS untuk mengatur keseluruhan sertifikat SSL/TLS secara efektif tanpa melewati tanggal kedaluwarsa.
Adapun untuk memaksimalkan keamanan dan pemeliharaan sertifikat yang aktif, berikut beberapa langkah yang bisa digunakan unttuk menghindari sertifikat SSL/TLS expired.
a). Menyetel renewal reminder yang bisa diterima oleh semua orang, jangan menyetel reminder personal karena kita tidak tahu apakah Anda masih bisa bertanggung jawab dalama managing sertifikat SSL/TLS atau dipindahkan ke divisi lain ketika terjadi job shuffle.
b). Identifikasi channel-channel reminder, misal dalam 90 hari pertama hanya Anda yang menerima pesan reminder CA, kemudian 60 hari mengirimnya ke tim divisi Anda, hingga 30 hari dari tanggal expired bisa Anda kirim ke IT Manager untuk ditindaklanjuti perpanjangannya.
c). Memilih Certificate Manager yang tepat sebagai visibilitas terhadap ribuan sertifikat SSL/TLS yang tersebar di jaringan enterprise perusahaan. Dengan begitu Anda bisa mengatur dan memantau sertifikat SSL/TLS sekaligus secara efektif. Pastikan untuk login sesering mungkin untuk berjaga terhadap perpanjangan sertifikat SSL/TLS berkualitas selanjutnya.
Akhir Kata….
Saat Anda mengetahui ada berapa banyak dan di mana sertifikat SSL/TLS berkualitas yang tersebar, maka keputusan menggunakan otomasi Certificate Manager adalah solusi tepat, namun juga dengan tindakan pemeliharaan dan pantauan secara reguler sehingga Anda tidak tertinggal maupun terlewat informasi penting dari sertifikat SSL/TLS yang dimiliki. Selain itu, bagi pengguna yang beli sertifikat SSL/TLS berkualitas dalam kuantitas kecil tak perlu repot memilih Certificate Manager agar pengeluaran tetap ekonomis, tandai dengan sesuai masing-masing jadwal perpanjangan sertifikat SSL/TLS minimal 30 hari dari tanggal expired, jangan lupa untuk membagikan reminder dan jadwal dengan pihak-pihak terkait sehingga tidak terputus di tengah jalan. Di samping itu, dengan adanya masa kedaluwarsa pada sertifikat SSL/TLS membantu Anda untuk meningkatkan security awareness.
Adapun PusatSSL jual sertifikat SSL/TLS berkualitas yang juga memberikan reminder full 90 hari dari tanggal expired baik melalui email, whatsapp, dan telepon. Dengan begitu menutup kemungkinan perpanjangan sertifikat SSL/TLS yang terlewat dan situs bisnis web tetap terlindungi 24 jam tanpa membahayakan bisnis online Anda.