Digital Certificate

     

        SSL(Secure Socket Layer)/TLS(Transport Layer Security) Certificate adalah sebuah objek digital yang dapat memverifikasi identitas dan membuat website terenkripsi, sehingga saat terjadi perpindahan data antara user dan server, informasi tersebut tidak dapat dilihat langsung oleh peretas, karena informasi tersebut terenkripsi.

        Sebuah website terenkripsi SSL/TLS apabila terdapat lambang gembok di address bar dan alamat web diawali https. Ketika sebuah web menggunakan sertifikat SSL/TLS, maka hanya client dan web server yang dapat melihat data yang dikirimkan (end-to-end).

Diatas adalah youtube.com, contoh website yang menggunakan digital certificate

Diatas adalah contoh website tanpa digital certificate.

        Certificate SSL/TLS dikeluarkan oleh Certificate Authority (CA). Certificate Authority adalah sebuah organisasi atau entitas yang bertanggung jawab menerbitkan dan memvalidasi sertifikat digital (SSL/TLS) yang digunakan untuk mengenkripsi komunikasi di internet. CA dengan sertifikatnya menjamin keabsahan pemilik sertifikat sebagai seorang atau organisasi yang sah. Beberapa perusahaan terkenal yang mengeluarkan sertifikat digital antara lain: Let’s Encrypt, Comodo, dan Symantec.

 

Cara kerja sertifikat digital.

        Sertifikat digital sendiri terbagi atas dua jenis, yaitu sertifikat umum (Public Certificate) dan sertifikat pribadi (Private Certificate). Sertifikat umum atau sertifikat SSL/TLS diterbitkan oleh CA dan digunakan oleh individu atau organisasi untuk memverifikasi identitas dan mengenkripsi komunikasi antara peladen dan pengunjungnya. Sertifikat umum ini juga berisi kunci publik (public key) yang digunakan untuk mengenkripsi data. Sertifikat umum dapat digunakan oleh siapa saja untuk memverifikasi keabsahan sebuah website.

 

Sertifikat SSL/TLS adalah sebuah file data yang berisi informasi sebagai berikut:

  1. Nama domain situs web yang bersangkutan.
  2. Informasi tentang Certificate Authority (CA) yang mengeluarkan sertifikat, seperti nama dan nomor sertifikat CA.
  3. Nomor seri sertifikat, yang unik untuk setiap sertifikat.
  4. Tanggal kadaluarsa sertifikat, yang menunjukkan kapan sertifikat tersebut tidak lagi valid.
  5. Kunci publik situs web, yang digunakan untuk enkripsi data saat terhubung ke situs web.
  6. Nama organisasi atau perusahaan yang memiliki situs web.
  7. Lokasi fisik atau alamat kantor pusat organisasi atau perusahaan.
  8. Informasi tentang jenis sertifikat, seperti apakah sertifikat tersebut digunakan untuk enkripsi data atau untuk tanda tangan digital.
  9. Tanda tangan digital, yang menunjukkan bahwa sertifikat tersebut berasal dari CA yang sah dan bahwa informasi dalam sertifikat tidak dimanipulasi atau diubah.

 

Cara kerja public certificate adalah sebagai berikut:

  1. User (individu atau organisasi) membuat pasangan public & private key.
  2. User meminta sertifikat digital, memberikan public key dan informasi atau identitas tentang user kepada CA.
  3. CA memverifikasi identitas user dan menerbitkan sertifikat yang berisi public key tadi dan informasi tentang user dengan signature CA.
  4. Saat user terhubung ke sebuah website (website user diatas), maka perangkat mereka akan mengecek validasi sertifikat web yang dikunjungi dengan mengidentifikasi signature CA, dan memverifikasi kesamaan public key di sertifikat dan web yang dikunjungi.
  5. Jika tervalidasi dengan benar, maka pengunjung dapat berkomunikasi dengan aman dengan website tersebut, karena data akan terenkripsi oleh public key dan didekripsi oleh private key milik website.

        Jika diatas yang dibahas adalah sertifikat umum / publik, maka sekarang kita akan membahas sertifikat pribadi (private certificate). Sertifikat pribadi adalah sertifikat yang digunakan oleh user untuk memvalidasi identitas mereka saat menggunakan layanan dalam jaringan tertentu. Sertifikat pribadi berisi informasi berupa nama individu atau organisasi, alamat email, dan kunci publik. Sertifikat ini tidak dapat diakses oleh publik dan hanya dapat digunakan sebagai alat validasi identitas pengguna.

 

Cara kerja sertifikat pribadi adalah sebagai berikut:

  1. User (individu atau organisasi) membuat pasangan public & private key.
  2. User meminta sertifikat pribadi, memberikan public key dan informasi untuk identifikasi tentang user ke CA.
  3. CA memverifikasi identitas user dan menerbitkan sertifikat pribadi untuk memvalidasi diri mereka sendiri. Sistem atau server akan mengecek keabsahan pengunjung atau user ketika mereka mencoba mengakses sebuah layanan dalam sebuah jaringan. Sistem akan mengecek validasi private certificate dengan membandingkan public key user dan sertifikat, dan signature dari CA.
  4. Jika tervalidasi dengan benar, maka user akan diberikan akses ke layanan oleh sistem dan dapat berkomunikasi dengan aman.

 

Manfaat penggunaan sertifikat digital:

  1. Validasi dan otentikasi yang kuat. Sertifikat digital memastikan bahwa perpindahan data hanya terjadi antara dua pihak yang dipercaya.
  2. Data yang dikirim melalui internet terenkripsi oleh public key, sehingga kerahasiaan data terjaga.
  3. Setiap bentuk perpindahan data tercatat, sehingga kedua belah pihak tidak dapat menyangkal ketika terjadi komunikasi.
  4. Pengguna sertifikat merupakan pihak yang dapat dipercaya, karena identitas pengguna telah diverifikasi oleh CA.
  5. Sertifikat digital lebih murah dibandingkan menggunakan token fisik dan kartu pintar.
  6. Proses pembuatan hampir sepenuhnya otomatis.

 

Kekurangan penggunaan sertifikat digital:

  1. Ketergantungan pada CA. Apabila CA disusupi atau terganggu, maka validasi semua sertifikat yang diterbitkan akan terganggu.
  2. Sertifikat digital rentan terhadap serangan yang menargetkan private key, serangan phishing, dan man-in-the-middle.
  3. Dalam organisasi besar, manajemen sertifikat digital akan menjadi sulit dilakukan. Organisasi dapat menggunakan vendor/pihak ketiga untuk melakukan manajemen, yang akan memakan biaya yang mahal.

 

References:

  1. https://resources.infosecinstitute.com/topic/ssl-dot-net-volume-1-hypothesis/
  2. https://www.digicert.com/support/resources/faq/trust-and-pki/what-is-a-digital-certificate-and-why-are-digital-certificates-important
  3. https://www.fortinet.com/resources/cyberglossary/digital-certificates
  4. https://www.docusign.com/how-it-works/electronic-signature/digital-signature/digital-signature-faq#:~:text=A%20digital%20certificate%20is%20an,belongs%20to%20the%20specific%20organization.
  5. https://www.sangfor.com/glossary/cybersecurity/what-is-digital-certificate-and-how-does-it-work
Jonathan & Johanes