Perusahaan enterprise sudah lama membutuhkan sertifikat untuk keperluan server internal, dimana mereka bisa memberikan penamaan sendiri yang tidak meminjamkan mereka untuk menggunakan top level domain yang terdaftar dan hanya valid dalam jaringan lokal. Akan tetapi, pada 1 November 2015, CA/B Forum (moderator yang mengatur Baseline Requirements) menyatakan tidak validnya sertifikat SSL/TLS yang diterbitkan oleh CA untuk domain lokal, seperti server internal dan alamat IP yang di-reserved.

Fun fact: Baseline Requirement diefektifkan pada 12 Juli 2012, dengan memberikan spesifikasi “CA tidak akan menerbitkan sertifkat SSL/TLS dengan tanggal kedaluarsa selambat-lambatnya 1 November 2015 dengan alamat IP reserved atau domain server internal sebagai common name maupun SAN, CA akan mencabut seluruh sertifikat bahkan yang masih valid.” Kami akan berhenti menerbitkan sertifikat berdasarkan ketentuan dan mencabut sertifikat yang masih valid sampai batas 1 Oktober 2016.

Apa sih yang dimaksud dengan domain server internal?

Domain server internal merupakan salah satu domain yang tidak dapat resolve dengan menggunakan DNS publik (domain yang tidak terdaftar), contoh:

  • Server yang memiliki akhiran domain non-public ( Mis: mydomain.local, mydomain.internal).
  • Domain NetBIOS atau hostname pendek, apapun yang tanpa domain publik.

Lalu, alamat IP yang di-reserved itu apa?

IP yang di-reserved adalah sebuah alamat IPv4 dan IPv6  yang IANA tandakan sebagai reserved. Contohnya:

  • Alamat IPv4 pada RFC 1918 (Mis: 10.0.0.0. 172.16.0.0, 192.168.0.0).
  • Alamat IPv6 pada RFC 4193

Opsi Solusi bagi domain internal atau lokal

Jadi, yang bisa Anda lakukan jika memiliki server dengan domain internal dan alamat IP reserved yang ingin diamankan dengan SSL/TLS? Berikut adalah pilihan untuk dapat Anda gunakan:

  • Migrasi ke domain yang terdaftar – opsi jangka panjang yang bagus dan mengizinkan Anda untuk melanjutkan memperoleh sertifikat dari CA terpercaya yang disukai.
  • Membuat dan menjalankan CA enterprise Anda sendiri – namun, opsi ini akan memberikan biaya pengadaan, konfigurasi dan menjalankan CA Anda sendiri dan servis OCSP.
  • Menggunakan sertifikat Self-Signed – opsi ini hanya ideal untuk lingkup yang sangat dibatasi (Mis: test server). Mengajarkan pengguna untuk mengabaikan peringatan penting dari browser yang mana bisa menunjukkan isu keamanan apabila mereka menerima sertifikat self-signed di luar perusahaan.
  • Memperoleh sertifikat di bawah root non-public dari provider CA terpercaya – ini merupakan opsi bagus jika Anda ingin melanjutkan menggunakan domain yang tidak terkualifikasi (unqulified), namun tidak ingin menjalana CA Anda sendiri atau mengandalkan sertifikat self-signed.

Mengapa domain server internal dan alamat IP reserved tidak boleh tercantum pada sertifikat SSL/TLS publik?

Ini dikarenakan adanya domain-domain yang tidak unik dan digunakan hanya untuk internal, jadi tidak ada alasan bagi  CA untuk memverifikasi perusahaan yang mempunyainya. Juga adanya potensi penyalahgunaan jika sertifikat disertai domain-domain tidak unik tersebut. Coba gunakan skenario ini, ada organisasi atau perusahaan menggunakan https://mail/ untuk sistem mailnya. Dikarenakan nama tersebut tidak unik, siapapun memiliki  kesempatan untuk memperolehnya https://mail/, akan membawakan serangan spoofing di dalam domain lokal dan jaringan korporat. Menirukan mail server asli untuk dapat mengakses keseluruhan isi email.

Perusahaan enterprise bisa dengan mudah mendorong kebutuhan SSL/TLS Intranet root non-public ke pengguna mereka melalui Group Policy Object (GPO) atau sistem management pusat yang bisa membuat sertifkat terpercaya di dalam komunitasnya.

superadmin
superadmin

Would you like to share your thoughts?

Your email address will not be published. Required fields are marked *