Perbandingan Let’s Encrypt, Komersial dan Private Certificate, dan Sertifikat SSL Self-Signed

0
25
views

Dorongan untuk mendapatkan lebih banyak lalu lintas web yang diamankan dengan enkripsi SSL berarti bahwa peningkatan jumlah layanan dan beberapa kasus-kasus memerlukan solusi untuk mendapatkan sertifikat yang tepat. Entah itu situs web publik, lalu lintas intranet, atau server pementasan untuk aplikasi web Anda, Anda memerlukan sertifikat untuk melindungi data Anda dan memenuhi harapan keamanan modern bagi  pengguna Anda.

Manfaat utama koneksi SSL diantaranya seputar privasi dan integritas data . Koneksi bersifat pribadi karena enkripsi mencegah menguping/melihat. Integritas data dipastikan dengan memverifikasi secara kriptografis bahwa Anda terhubung ke server yang benar (dan bukan penipu), dan dengan memverifikasi bahwa setiap pesan tidak dirusak saat transit.

Ada beberapa cara berbeda untuk mendapatkan sertifikat SSL, dan bergantung pada anggaran, pemirsa, dan beberapa faktor lainnya, Anda dapat memilih antara otoritas sertifikat komersial, otoritas sertifikat otomatis dan gratis yang baru, sertifikat yang ditandatangani sendiri, dan Memiliki otoritas sertifikat pribadi. Mari kita bahas perbandingan opsi ini, dan diskusikan kapan sebaiknya mengunakan masing-masing hal tersebut.

OpenSSL-Essentials
OpenSSL-Essentials

Sebelum memulai, kita akan mengenal beberapa istilah umum yang digunakan saat membahas keamanan SSL:

Transport Layer Security (TLS)

Transport Layer Security adalah protokol keamanan baru yang menggantikan Secure Sockets Layer (SSL).Meskipun kemungkinan koneksi modern yang terenkripsi menggunakan TLS, nama SSL telah terjebak dalam bahasa populer dan inilah yang akan kita gunakan di sini.

Sertifikat

Pada artikel ini kita akan mengacu pada sertifikat server SSL secara eksklusif. Sertifikat server disajikan oleh server web setiap kali ada koneksi SSL yang baru. Mereka berisi nama host sertifikat dikeluarkan untuk (yang seharusnya sesuai dengan server yang ingin Anda hubungi) dan ditandatangani oleh Otoritas Sertifikat untuk membangun kepercayaan.

Otoritas Sertifikat (CA)

Otoritas sertifikat memverifikasi rincian tentang permintaan pemilik domain untuk sertifikat SSL, lalu – jika semuanya memeriksa masalah dan menandatangani sertifikat server. Browser dan sistem operasi menyimpan daftar otoritas sertifikat tepercaya. Jika sertifikat server ditandatangani oleh salah satu CA yang terpercaya ini, itu juga akan dipercaya.

Validasi Domain (DV)

Sertifikat yang divalidasi domain akan diberikan kepada seseorang yang telah membuktikan bahwa mereka mengendalikan nama domain yang diminta untuk mendapatkan sertifikat. Bukti ini sering kali berupa penyajian token unik dari server web atau data DNS Anda, yang akan diperiksa CA sebelum mengeluarkan sertifikat.

Validasi Organisasi (OV)

Sertifikat yang divalidasi oleh organisasi berarti bahwa otoritas sertifikat juga memverifikasi nama dan alamat perusahaan di database publik. Informasi ini dimasukkan ke dalam sertifikat, dan biasanya ditampilkan hanya bila pengguna mengklik ikon gembok hijau untuk menyelidiki lebih lanjut.

Extended Validation (EV)

Validasi yang diperluas lebih menyeluruh daripada validasi domain atau organisasi. Sertifikat EV dikeluarkan setelah mengecek tidak hanya kepemilikan domain, namun juga memverifikasi keberadaan dan lokasi badan hukum yang meminta sertifikat tersebut, dan entitas tersebut mengendalikan domain yang telah diverifikasi.

Tidak seperti sertifikat DV dan OV, EV tidak dapat diterbitkan sebagai sertifikat wildcard.

Sertifikat EV juga mendapat perlakuan khusus di web browser. Sedangkan browser biasanya menunjukkan sertifikat DV dengan ikon gembok hijau, sertifikat EV juga menampilkan bar hijau yang lebih besar yang berisi nama organisasi yang dikeluarkannya. Hal ini dimaksudkan untuk mengurangi serangan phishing, meski beberapa penelitian menunjukkan bahwa pengguna cenderung tidak memperhatikan kapan green bar ini hilang.

Sertifikat Wildcard

Alih-alih dikeluarkan untuk nama domain yang memenuhi syarat tertentu ( app.example.com , misalnya), sertifikat wildcard berlaku untuk keseluruhan jenis nama subdomain. Jadi sertifikat yang dikeluarkan untuk * .example.com akan mencakup sub domain dari example.com seperti app.example.com dan database.example.com . Karakter asterisk adalah wildcard , dan dapat diganti dengan nama host yang valid.

Daftar Pencabutan Sertifikat (CRL)

Sertifikat SSL dapat mencakup informasi tentang cara mengakses daftar pencabutan sertifikat. Klien akan mendownload dan memeriksa daftar ini untuk memastikan sertifikat belum dicabut. CRL sebagian besar telah diganti oleh responden OCSP.

Online Certificate Status Protocol (OCSP)

Protokol OCSP adalah pengganti CRL, dengan manfaat lebih real-time dan membutuhkan bandwidth yang lebih sedikit. Operasi umum serupa: klien meminta kueri OCSP untuk memeriksa apakah sertifikat telah dicabut.

Otoritas Sertifikat Komersial

Otoritas sertifikat komersial memungkinkan Anda membeli sertifikat DV, OV, dan EV. Beberapa menawarkan sertifikat Domain Validated gratis dengan batasan tertentu (tidak ada wildcard, misalnya).

  • Proses: Proses manual untuk penyiapan dan pembaharuan awal
  • Biaya: kira-kira $ 10 – $ 1000
  • Validasi: DV, OV, dan EV
  • Kepercayaan: Terpercaya secara default di kebanyakan browser dan sistem operasi
  • Sertifikat Wildcard: Ya
  • Sertifikat IP saja: Beberapa akan mengeluarkan sertifikat untuk alamat IP publik
  • Periode Kadaluarsa: 1-3 tahun

Sebagian besar otoritas sertifikat komersial dipercaya secara default di kebanyakan browser. Proses untuk memperbarui biasanya manual, jadi Anda harus mencatat tanggal kadaluarsa sertifikat Anda dan mengingatkan diri Anda untuk memperbarui waktu.

Komersial CA secara tradisional merupakan satu-satunya pilihan nyata untuk mendapatkan sertifikat yang dipercaya oleh sebagian besar browser utama. Ini telah berubah dengan otoritas sertifikat otomatis baru seperti Let’s Encrypt. Namun, CA komersial adalah satu-satunya cara untuk mendapatkan sertifikat EV, dan satu-satunya cara mendapatkan sertifikat wildcard yang secara otomatis dipercaya oleh kebanyakan browser. Mereka juga merupakan pilihan yang baik jika Anda memerlukan sertifikat untuk perangkat yang tidak dapat menjalankan klien Encryption otomatis (karena ketidakcocokan perangkat lunak, atau mungkin perangkat berdaya rendah).

Otoritas sertifikat komersial sering memberikan pilihan untuk kontrak dukungan tambahan, jaminan, dan sertifikasi, yang penting bagi beberapa perusahaan dan industri.

Mari Enkripsi

Let’s Encrypt menyediakan mekanisme otomatis untuk meminta dan memperbarui sertifikat validasi domain gratis. Mereka telah membuat protokol standar – ACME – untuk berinteraksi dengan layanan untuk mengambil dan memperbarui sertifikat secara otomatis. Klien ACME resmi disebut Certbot , meskipun banyak klien alternatif ada.

  • Proses: Penyiapan awal dan pembaharuan otomatis. Hanya setup Apache dan Nginx yang otomatis dengan klien resmi, namun sertifikat dapat didownload dan digunakan secara independen dari perangkat lunak server tertentu.
  • Biaya: Gratis
  • Validasi: DV saja
  • Default: Terpercaya secara default di kebanyakan browser dan sistem operasi
  • Sertifikat Wildcard: Tidak
  • Sertifikat IP saja: Tidak
  • Periode Kadaluwarsa: 90 hari

Mari Enkripsi sertifikat berumur pendek untuk mendorong perpanjangan otomatis dan untuk mengurangi waktu setiap sertifikat yang disusupi dapat disalahgunakan oleh penyerang.

Jika Anda memiliki server yang dapat diakses publik dan memiliki nama domain yang benar yang menunjuknya, Let’s Encrypt bisa menjadi pilihan yang baik. Server Encrypt harus menghubungi server web Anda atau mengambil data DNS publik untuk memverifikasi bahwa Anda mengendalikan domain, sehingga menggunakannya untuk server pribadi di balik firewall di jaringan lokal Anda bisa sedikit rumit. Masih dimungkinkan menggunakan tantangan otorisasi DNS berbasis Enkrip.

Let’s Encrypt tidak akan memberikan sertifikat untuk alamat IP yang kosong.

Jika Anda memerlukan sertifikat EV, atau sertifikat wildcard, Let’s Encrypt bukanlah pilihan. Perhatikan bahwa Let’s Encrypt dapat membuat sertifikat dengan maksimal 100 nama host di dalamnya, jadi mungkin Anda sebenarnya tidak memerlukan wildcard untuk kasus penggunaan Anda, mungkin Anda memerlukan sertifikat yang mencakup semua subdomain yang ada.

Namun, karena batas batas pada API Enkripsi Mari, jika Anda memiliki banyak subdomain, atau subdomain dinamis yang dapat dibuat dengan cepat, Enkripsi Bingkai mungkin tidak sesuai.

Sertifikat Diri Sendiri

Anda dapat menggunakan sertifikat SSL yang telah ditandatangani oleh kunci privatnya sendiri, dengan mengabaikan kebutuhan akan otoritas sertifikat sama sekali. Ini disebut sertifikat yang ditandatangani sendiri dan cukup disarankan saat menyiapkan aplikasi web untuk pengujian atau penggunaan sejumlah pengguna tech-savvy.

  • Proses: Pembuatan sertifikat manual, tidak ada mekanisme perpanjangan
  • Biaya: Gratis
  • Validasi: DV dan OV
  • Kepercayaan: Tidak ada secara default. Setiap sertifikat harus ditandai secara manual sebagai terpercaya, karena tidak ada CA umum yang terlibat
  • Sertifikat Wildcard: Ya
  • Sertifikat IP saja: Ya, IP apapun
  • Periode Kadaluarsa: Any

Sertifikat self-signed dapat dilakukan dengan opensslperintah yang dikirimkan bersama perpustakaan OpenSSL. Anda dapat menemukan perintah yang tepat yang diperlukan, dan lebih banyak latar belakang tentang OpenSSL, di tutorial OpenSSL Essentials: Bekerja dengan Sertifikat SSL, Tombol Pribadi dan CSR .

Karena sertifikat yang ditandatangani sendiri tidak ditandatangani oleh CA yang tepercaya, Anda harus secara manual menandai sertifikat sebagai yang terpercaya, sebuah proses yang berbeda di setiap browser dan sistem operasi. Setelah itu, sertifikat tersebut akan bertindak seperti sertifikat CA-signed biasa.

Sertifikat yang ditandatangani sendiri bagus untuk penggunaan satu kali bila Anda hanya perlu mengelola kepercayaan secara manual pada beberapa klien, dan tidak peduli fakta bahwa hal itu tidak dapat dicabut atau diperbarui tanpa upaya manual yang lebih banyak. Hal ini sering cukup baik untuk tujuan pengembangan dan pengujian, atau untuk aplikasi web yang dihosting sendiri yang hanya akan digunakan beberapa orang saja.

Otoritas Sertifikat Pribadi

Anda bisa membuat otoritas sertifikat pribadi sendiri dan menggunakannya untuk menandatangani sertifikat. Pengguna Anda perlu menginstal dan mempercayai CA pribadi Anda secara pribadi sebelum sertifikatnya dipercaya.

  • Proses: Pembuatan dan pembaharuan sertifikat manual, ditambah penyiapan manual CA itu sendiri
  • Biaya: Gratis
  • Validasi: DV dan OV
  • Kepercayaan: Tidak ada secara default. Anda harus mendistribusikan secara manual sertifikat CA pribadi Anda kepada klien untuk membangun kepercayaan
  • Sertifikat Wildcard: Ya
  • Sertifikat IP saja: Ya, IP apapun
  • Periode Kadaluarsa: Any

Seperti sertifikat self-signed Anda dapat membuat CA pribadi menggunakan alat baris perintah yang disertakan dengan perpustakaan OpenSSL, namun beberapa antarmuka alternatif telah dikembangkan untuk mempermudah prosesnya. TinyCA adalah antarmuka grafis untuk proses ini, dan caman adalah program baris perintah. Keduanya mempermudah pembuatan CA dan kemudian mengeluarkan, memperbarui, dan mencabut sertifikat.

CA pribadi adalah pilihan yang baik jika Anda memiliki beberapa sertifikat untuk dibuat dan dapat mendistribusikan dan menginstal CA Anda untuk pengguna Anda secara manual. Ini mungkin membatasi Anda untuk menggunakan internal dalam organisasi atau kelompok kecil pengguna yang mengerti secara teknis yang dapat menginstal CA dengan benar. Departemen TI yang lebih besar sering kali memiliki sarana untuk menerapkan CA kepada pengguna mereka secara otomatis, membuat solusi ini lebih menarik bagi mereka.

Tidak seperti sertifikat yang ditandatangani sendiri, di mana setiap sertifikat harus ditandai sebagai yang terpercaya secara manual, Anda hanya perlu memasang CA pribadi satu kali. Semua sertifikat yang dikeluarkan dari CA kemudian akan mewarisi kepercayaan itu.

Satu downside adalah ada sedikit overhead untuk menjalankan CA, dan dibutuhkan beberapa cara untuk mengatur dan memelihara dengan aman.

Jika pembatalan yang benar penting untuk penggunaan Anda, Anda juga perlu mengelola server HTTP untuk daftar pencabutan sertifikat, atau responden OCSP.

Jika Anda ingin menyelam lebih dalam ke SSL dan pilihan yang telah kami diskusikan, tautan berikut mungkin bisa membantu:

  • The dokumentasi OpenSSL menggambarkan perpustakaan dan perintah secara rinci
  • The Forum CA / Browser adalah di mana otoritas sertifikat dan vendor browser bekerja di luar persyaratan dan praktik terbaik untuk bagaimana CA beroperasi. Ini termasuk aturan seperti berapa lama sertifikat harus valid, dan apakah harus dikeluarkan untuk nama domain non-publik
  • The Let’s Encrypt CA memiliki lebih banyak informasi tentang protokol ACME

LEAVE A REPLY

Please enter your comment!
Please enter your name here